Глава 10

информации; организационно-правовое обеспечение защиты информа­ции.

Этот перечень и включается в общую классификационную структу­ру системы типовых документов по защите информации.

К инструкциям как группе СТДЗИ предлагается отнести системати­зированные наборы типовых инструкций для различных категорий под­разделений и лиц, имеющих отношение к защите информации. Инструк­ции должны быть утверждены полномочными органами, причем утверж­дение дает инструкциям статус типовых, на основе которых на каждом конкретном предприятии (учреждении, заведении) должны разрабаты­ваться и утверждаться соответствующими должностными лицами рабо­чие инструкции, учитывающие специфику предприятий (учреждений, за­ведений). При этом, поскольку основными категориями пользователей и лиц, непосредственно связанных с защитой информации, являются поль­зователи (абоненты) АСОД, сотрудники самой АСОД и служба защиты информации, причем место, заинтересованность, компетентность и ответ­ственность при решении вопросов защиты названных категорий различ­но, очевидно, целесообразно предусмотреть для каждой из них свою раз­новидность типовых инструкций.

С учетом изложенного классификационная структура системы ти­повых документов по защите информации представлена на рис. 10.5.

Однако, чтобы документы по защите информации были системой, а не конгломератом, необходимо предусмотреть единую их идентифика­цию, причем идентификация должна быть однозначной, информативной и наглядной.

Нетрудно видеть, что в соответствии с рис. 10.5 однозначность идентификации может быть обеспечена лишь в том случае, если иденти­фикатор будет четырехуровневым, т.е. содержать элементы, идентифици­рующие последовательно соответственно принадлежность к системе до­кументов по защите, группу документов, подгруппу документов и доку­мент в подгруппе. Чтобы идентификаторы были информативными и на­глядными, предлагается первые три их элемента (систему документов, группу документов и подгруппу документов) представить в буквенном мнемоническом выражении, а документы в каждой из подгрупп незави­симо обозначать последовательными цифровыми номерами. Тогда структуру и содержание идентификатора можно представить так, как по­казано на рис. 10.6.

Организация и обеспечение работ по защите информации

Примем следующие мнемонические обозначения: СТДЗИ- система типовых документов по защите информации: СИН - справочно-информационные документы: СЛВ - словари, КОН - концептуальные до­кументы, СПР - справочники; СТН - стандарты: КОН - концептуальные, СЗИ - системы защиты информации, МЭИ - механизмы защиты инфор­мации, СРЗ - средства защиты информации, СКЗ - средства контроля и сертификации систем, механизмов и средств защиты, ЗТХ - защищенные информационные технологии; РММ - руководящие методические мате­риалы: КОН - концептуальные, УИН - уязвимость информации и мето­дология ее оценки, ТНЗ - требования к защите информации и нормы за­щищенности, ФЗИ - функции и задачи защиты, СРЗ - средства защиты информации, ТСЗ - технические средства защиты, ПСЗ - программные средства защиты, ОСЗ - организационные средства защиты, КСЗ - крип­тографические средства защиты, МЗИ - механизмы защиты информации, СЗИ - система защиты информации, МПС - методология проектирования систем защиты, ОРЗ - организация работ по защите информации, ОПЗ -организационно-правовое обеспечение защиты информации, УСЗ - усло­вия, способствующие повышению эффективности защиты информации, ИНС - инструкции: ПЛЗ - пользователям (абонентам) АСОД, ДЛЦ -должностным лицам АСОД, СЛЗ - службе защиты информации АСОД.

В соответствии с изложенным, все документы системы можно иден­тифицировать так, как показано на рис. 10.7. Идентификация РММ при­ведена в табл. 10.1.