Требования к защите информации от несанкционированного доступа - пункт ТЗ на АС, разрабатываемого согласно ГОСТ 34.602. Как элемент иерархической структуры техзадания может быть представлен так: Требования к системе (разд. 4) ⇨ ...в целом (подр. 4.1) ⇨ ...к защите информации от несанкционированного доступа (п. 4.1.9). Чем же заполнять данный пункт? Редакция от 01.04.2021.

Создан 08.04.2018 7:58:00

Из толкового словаря

НЕСАНКЦИОНИРОВАННЫЙ -ая, -ое. Осуществляемый без санкции... Несанкционированная забастовка. Несанкционированный митинг. Несанкционированное использование радиоактивных материалов.

ЗАЩИТА, защиты, мн. нет, жен. 1. Действие по гл. защитить - защищать. Защита крепости. Защита на суде. Для защиты от солнца.

Требования стандартов

В требования к защите информации от несанкционированного доступа включают требования, установленные в НТД, действующей в отрасли (ведомстве) заказчика [из 2.6.1.9 ГОСТ 34.602-89].

В АСУ должны быть предусмотрены меры защиты от неправильных действий персонала, приводящих к аварийному состоянию объекта или системы управления, от случайных изменений и разрушения информации и программ, а также от несанкционированного вмешательства [из 1.1.11 ГОСТ 24.104-85].

И ни слова больше, а фраза «требования, установленные в НТД, действующей в отрасли (ведомстве) заказчика» звучит как отмазка. Так оно и есть, поскольку сама тема широка и многогранна. Обратимся к терминологии.

Комментарии

Несанкционированный доступ к информации известен в нескольких «вариантах исполнения». Приведем три из них.

Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Примечание - Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем [из 4 РД ГТК РФ. Защита от НСД. Термины и определения].

Доступ субъектов или объектов, не имеющих права доступа [из 3.19 ГОСТ Р 51241-2008].

Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа. Примечания:

1. Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.
2. Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них.

[из 3.3.6 ГОСТ Р 53114-2008].

Выводы следующие: налицо нарушение прав (разграничения) доступа, т.е. произошло событие, - Возникновение или наличие определенной совокупности обстоятельств. Примечания:

1. Характер, вероятность и последствия события могут быть не полностью известны.
2. Событие может возникать один или несколько раз.
3. Вероятность, связанная с событием, может быть оценена.
4. Событие может состоять из невозникновения одного или нескольких обстоятельств.
5. Непредсказуемое событие иногда называют «инцидентом».
6. Событие, при котором не происходит никаких потерь, иногда называют предпосылкой к происшествию (инциденту), опасным состоянием, опасным стечением обстоятельств и т.д.

[из 3.2.8 ГОСТ Р 53114-2008].

Определенная совокупность обстоятельств, в свою очередь, вызывает последствие как Результат события. Примечания:

1. Результатом события может быть одно или более последствий.
2. Последствия могут быть ранжированы от позитивных до негативных. Однако применительно к аспектам безопасности последствия всегда негативные.
3. Последствия могут быть выражены качественно или количественно.

[из 3.1.2 ГОСТ Р 51897-2002].

О негативных и позитивных последствиях. Все в мире относительно: когда Клинтонша допустила утечку информации путем использования личного почтового сервера (по техническому каналу) для служебной переписки в бытность госсекретарем США, событие это вызвало скандал, т.е. ряд негативных последствий для североамериканских соединенных штатов. А для ИТР (иностранных технических разведок, не путать с инженерно-техническими работниками), перехвативших эту информацию, последствия весьма и весьма позитивные. Так что применительно к аспектам безопасности последствия далеко не всегда могут стать негативными 😆

Смех смехом, но на использовании гугл-почты для служебной переписки попались и отдельные «альтернативно одаренные» члены российского правительства. Очень хочется надеяться, что в новом составе правительства этих «суперэффективных менеджеров» мы больше никогда не увидим. И не только в правительстве, но и в органах власти вообще.

Негативные последствия наносят определенный ущерб, поэтому сама цель защиты информации есть Заранее намеченный результат защиты информации. Примечание - Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию [из 2.4.2 ГОСТ Р 50922-2006]. А коль скоро есть цель, то всегда можно сформулировать требования к задачам и средствам защиты от НСД, для этого придется поискать «требования, установленные в НТД, действующей в отрасли (ведомстве) заказчика». В том числе национальные, межгосударственные и международные стандарты, а также нормативные документы ФСТЭК.

Вот и все.