Лекция 1. Объект информатизации: понятие, структура, границы защиты¶

• Содержание
• Лекция 1. Объект информатизации: понятие, структура, границы защиты
  • Введение
  • Нормативное определение
  • Состав объекта информатизации
  • Виды объектов информатизации
    • По типу обрабатываемой информации
    • По режиму обработки информации
  • Границы объекта информатизации
    • Физическая граница
    • Логическая граница
    • Административная граница
  • Документирование объекта информатизации
  • Жизненный цикл объекта информатизации
  • Пример: определение границ объекта информатизации
  • Что дальше
  • Список литературы и нормативных актов

Введение¶

Представьте: руководство компании поручает службе ИБ «защитить информационную систему». Специалист приступает к работе — и сразу сталкивается с вопросом, который звучит банально, но определяет всё остальное: а что именно мы защищаем?

Сервер? Сеть? Базу данных? Помещение, где стоит оборудование? Персонал, имеющий доступ к данным? Бумажные документы в том же кабинете?

Ответ на этот вопрос даёт понятие объекта информатизации. Это не технический термин ради термина — это граница, которая отделяет то, за что служба ИБ несёт ответственность, от того, за что она ответственности не несёт. Ошибка в определении этой границы на старте означает либо избыточные затраты на защиту лишнего, либо незащищённые бреши там, где их никто не ожидает.

Данный курс изучает комплексное обеспечение защиты — то есть систему мер, охватывающую технические, организационные и правовые аспекты в их совокупности применительно к конкретному объекту. Прежде чем говорить о мерах защиты, необходимо точно определить объект.

Нормативное определение¶

В российской практике понятие объекта информатизации закреплено в нормативных документах ФСТЭК России.

Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти ресурсы, средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
(ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию»)

Три ключевых элемента в этом определении:

1. Информационные ресурсы и системы — данные и программно-аппаратные средства их обработки.
2. Средства обеспечения — инженерные системы (электропитание, кондиционирование, кабельная инфраструктура).
3. Помещения — физическое пространство, в котором функционирует всё вышеперечисленное.

Таким образом, объект информатизации — не просто сервер или база данных, а система, включающая технику, данные, инфраструктуру и физическое окружение.

Состав объекта информатизации¶

Рассмотрим типовой состав объекта информатизации — например, автоматизированной системы управления предприятием.

Компонент	Примеры	Почему входит в объект
Основные технические средства (ОТС)	Серверы, рабочие станции, сетевое оборудование, принтеры	Непосредственно обрабатывают защищаемую информацию
Вспомогательные технические средства и системы (ВТСС)	ИБП, кондиционеры, охранная сигнализация, телефонные линии, видеонаблюдение	Обеспечивают функционирование ОТС; могут являться каналом утечки (ПЭМИН)
Программное обеспечение	ОС, СУБД, прикладное ПО, средства защиты информации (СЗИ)	Реализует процессы обработки информации
Информационные ресурсы	Базы данных, файловые хранилища, электронная почта, резервные копии	Непосредственный предмет защиты
Помещения	Серверная, рабочие кабинеты, переговорные комнаты	Физический периметр объекта
Каналы передачи данных	Локальная сеть, каналы связи с внешними системами, VPN	Среда передачи защищаемой информации
Персонал	Администраторы, пользователи, обслуживающий персонал	Субъекты доступа; источник внутренних угроз

Виды объектов информатизации¶

По типу обрабатываемой информации¶

Тип	Характеристика	Регулятор
Государственные информационные системы (ГИС)	Обрабатывают информацию ограниченного доступа, не составляющую гостайну	ФСТЭК (Приказ №117)
Информационные системы персональных данных (ИСПДн)	Обрабатывают персональные данные физических лиц	ФСТЭК (Приказ №21), Роскомнадзор
Значимые объекты КИИ	Обрабатывают информацию в системах управления критическими процессами	ФСТЭК (Приказ №239), ФСБ
Объекты, обрабатывающие гостайну	Сведения, составляющие государственную тайну	ФСБ, ФСТЭК
Коммерческие информационные системы	Конфиденциальная информация без государственного статуса	Требования определяются организацией самостоятельно

По режиму обработки информации¶

• Однопользовательские АС — один пользователь, одна рабочая станция.
• Многопользовательские АС без разграничения прав — несколько пользователей с одинаковыми правами доступа.
• Многопользовательские АС с разграничением прав — несколько пользователей с различными уровнями доступа. Наиболее распространённый и сложный с точки зрения защиты случай.

Эта классификация лежит в основе руководящих документов ФСТЭК по классам защищённости АС (РД «Классификация АС»).

Границы объекта информатизации¶

Одна из ключевых задач при организации защиты — определение границы объекта. От неё зависит, какие технические и организационные меры должны быть реализованы.

Физическая граница¶

Физическая граница определяет контролируемую зону (КЗ) — территорию, в пределах которой исключено неконтролируемое пребывание лиц и транспортных средств без пропуска.

Типовая структура контролируемых зон:

1. КЗ первого уровня — периметр организации (забор, проходная).
2. КЗ второго уровня — здание или корпус.
3. КЗ третьего уровня — отдельные помещения (серверная, переговорная).

Важно: одно и то же техническое средство может быть в КЗ или за её пределами. Сетевое оборудование в серверной (внутри КЗ) и выносной маршрутизатор в арендованном помещении (вне КЗ) требуют принципиально разных мер защиты.

Логическая граница¶

Логическая граница определяет, какие информационные потоки и системы входят в область защиты:

• Перечень информационных систем и их компонентов.
• Состав обрабатываемой информации (категории, объёмы, режимы обработки).
• Взаимодействие с внешними системами (интеграции, API, пользователи-подрядчики).

Административная граница¶

Определяет, кто несёт ответственность за объект и его защиту. Один физический объект может содержать несколько логических объектов с разными владельцами — например, в арендуемом ЦОД.

Документирование объекта информатизации¶

Документ	Назначение
Технический паспорт объекта информатизации	Полное описание состава ОТС, ВТСС, ПО, схем размещения
Акт классификации	Присвоение класса (уровня) защищённости
Модель угроз безопасности информации	Описание актуальных угроз — см. Лекцию 3 и Лекцию 4
Техническое задание на создание системы защиты	Требования к СЗИ, исходя из класса и модели угроз
Аттестационная документация	Результаты проверки соответствия — см. Лекцию 11

Жизненный цикл объекта информатизации¶

1. Создание / проектирование — определение состава, границ, категорий информации; разработка модели угроз и ТЗ на СЗИ.
2. Ввод в эксплуатацию — реализация мер защиты; аттестация (для ГИС, ИСПДн, КИИ).
3. Эксплуатация — поддержание актуальности мер защиты; реагирование на инциденты; периодический аудит.
4. Модернизация — изменение состава объекта требует пересмотра модели угроз и при существенных изменениях — повторной аттестации.
5. Вывод из эксплуатации — гарантированное уничтожение защищаемой информации на носителях.

Связь с курсом «Основы менеджмента ИБ»: управление рисками подробно рассматривались в теме «Управление рисками» и теме «Создание СУИБ». В данном курсе акцент смещается с управленческих процессов на технические и организационные меры защиты конкретного объекта.

Пример: определение границ объекта информатизации¶

Организация эксплуатирует информационную систему кадрового учёта, содержащую персональные данные сотрудников.

Шаг 1. Определить состав ОТС.
Три сервера (БД, приложение, резервирование) в серверной, 15 рабочих станций кадровой службы, сетевое оборудование.

Шаг 2. Определить ВТСС.
ИБП серверной, кондиционеры, охранная сигнализация, IP-телефония в кабинете кадровой службы.

Шаг 3. Определить помещения.
Серверная (КЗ-3), кабинет кадровой службы (КЗ-2), здание (КЗ-1). Удалённый доступ сотрудников через VPN — вне контролируемой зоны.

Шаг 4. Определить категорию информации.
Персональные данные → ИСПДн → требования ФСТЭК по Приказу №21.

Шаг 5. Определить взаимодействие с внешними системами.
Интеграция с банком (выплата зарплаты) и с ПФР (отчётность) — пересечение границы объекта, требующее отдельных мер защиты каналов передачи.

На выходе формируется чёткая граница объекта — основа для разработки модели угроз на Лекции 3.

Что дальше¶

• Следующая тема: Информационные активы и модель защищаемых ресурсов
• Связь с моделированием угроз: Угрозы ИБ — модель угроз строится для конкретного объекта, определённого здесь
• Связь с аттестацией: Аттестация объектов — аттестуется объект, описанный в техническом паспорте
• Смежная тема в курсе аудита: Требования ФСТЭК — классификация ГИС и ИСПДн

Список литературы и нормативных актов¶

• ГОСТ Р 51275-2006 — «Защита информации. Объект информатизации. Факторы, воздействующие на информацию»
• ГОСТ Р 51583-2014 — «Защита информации. Порядок создания АС в защищённом исполнении»
• РД «Классификация АС» (ФСТЭК/Гостехкомиссия, 1992) — классификация АС по уровням защищённости
• Приказ ФСТЭК России №117 — требования по защите ГИС; Приложение 1 — классификация ИС
• Приказ ФСТЭК России №21 — состав мер защиты ИСПДн; раздел II — определение уровня защищённости
• 149-ФЗ «Об информации, информационных технологиях и о защите информации» — ст. 16