Заметим, что СЗИ является функциональной подсистемой объекта информатизации. Функциональное построение подсистемы подразумевает организованную совокупность функционально разграниченных элементов СЗИ.
Рис. 1 Схема функционального построения СЗИ организации
1. Подсистема ограничения доступа
Выполняет функции идентификации, аутентификации и контроля пользователей при доступе к конфиденциальной информации, программным ресурсам (системе, терминалам, каналам связи, носителям и т.п.).
Данные функции могут быть реализованы на объекте с помощью СКУД (системы контроля и управления доступом). Кроме того, на объекте информатизации для ограничения доступа используются организационные средства (нормативно-методические и должностные инструкции и т.п.).
При наличии на объекте информатизации информационных ресурсов с несколькими степенями конфиденциальности, подсистема должна обеспечивать разграничение доступа пользователей.
2. Подсистема криптографической защиты
Реализует функцию шифрования конфиденциальной информации и запись на совместно используемые различными субъектами доступа носители информации.
Доступ к операциям шифрования/дешифрования, а также криптографическим ключам контролируется посредством системы управления доступом.
Криптографическая подсистема реализуется в виде программно-аппаратных средств, разработанных и используемых на основе действующих алгоритмов криптографических преобразований и систем распределения криптографических ключей.
3. Подсистема обеспечения целостности
Является обязательной для любой СЗИ и включает организационные, программно-аппаратные и другие средства и методы обеспечивающие:
· контроль целостности программных средств на предмет несанкционированного изменения (например, с использованием имитовставок, дублирования и эталонных копий);
· периодическое тестирование функций СЗИ с помощью специальных программных средств;
· наличие администратора (службы) ИБ, ответственного за ведение, нормальное функционирование и контроль работы СЗИ;
· восстановление СЗИ при отказах и сбоях;
· резервирование информационных ресурсов;
· контроль применения сертификации средств и методов защиты.
4. Подсистема регистрации и учета
Включает средства регистрации и учета событий и ресурсов (с указанием времени и инициатора действий):
· вход/выход пользователей в/из системы;
· выдача документов;
· запуск/завершение программ, использующих защищенные файлы;
· доступ к защищенным каналам связи, базам данных м т.п.;
· изменение полномочий субъектов доступа;
· контроль создания объектов доступа и носителей информации.
Регистрация осуществляется с использованием журналов вручную или с помощью специальных программ журнализации.
Ядро СЗИ представляет собой систему управления рассмотренными подсистемами и предназначено для объединения всех подсистем и синхронизации их деятельности. Ядро включает организационные и технические составляющие.
Организационные составляющие ядра – это специально выделенные сотрудники для обеспечения защиты информации, выполняющие свои функции в соответствии с разработанными должностными обязанностями, а также нормативная база, регламентирующая выполнение этих функций.
Техническая составляющая ядра – это совокупность технических средств, отображающих состояние элементов СЗИ, контроль доступа к элементам СЗИ и т.п. Эти средства, как правило, объединяются в соответствующий пульт управления СЗИ.