Осуществляет ли автоматизированная система

Обновлено: 04.07.2024

Подавляющее большинство информации в современном мире обрабатывается в автоматизированных системах. У внимательного читателя может возникнуть вопрос: чем отличаются понятия "информационная система" и " автоматизированная система "?

Давайте сравним определения.

Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Информационная система (ИС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Определение автоматизированной системы взято из ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения", который был введен в действие в 1992 году. В этом же году был введен действие Руководящий документ Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации". Определение информационной системы взято из Федерального закона "Об информации, информационных технологиях и о защите информации", который вступил в силу в 2006 году. На текущий момент есть действующие ГОСТ и руководящие документы 1992 года и новый Федеральный закон 2006 года - и в документах используется разная терминология. ФСТЭК в своих нормативно-правовых актах использует понятие "информационная система", опираясь на более новое законодательство. После публикации ФСТЭК новых документов по персональным данным, к регулятору возник ряд вопросов, в том числе по отличиям в терминологии.

"В Требованиях, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составе и содержании мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, используется понятие "информационная система", установленное Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"…

В иных методических документах и национальных стандартах в области защиты информации используется понятие "автоматизированная система", определенное национальным стандартом ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".

Учитывая, что Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, разрабатывались во исполнение федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 г. N 152-ФЗ "О персональных данных" соответственно, в которых используется понятие "информационная система", в нормативных правовых актах ФСТЭК России также использовано указанное понятие.

Исходя из родственных определений понятия "информационная система", установленного Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", и понятия "автоматизированная система", установленного национальным стандартом ГОСТ 34.003-90, а также из содержания Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, использование в нормативных правовых актах ФСТЭК России понятия "информационная система" не влияет на конечную цель защиты информации".[27]

То есть ФСТЭК признает определения родственными.

В более новом ГОСТ РО 0043-004-2013 " Программа и методики аттестационных испытаний" даны следующие определения:

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Примечание: Информационные системы являются одной из разновидностей автоматизированных систем, результатом функционирования которых является представление выходной информации для последующего использования[20].

Таким образом, в соответствии с ГОСТ, информационная система является частным случаем автоматизированной системы. В свою очередь автоматизированная система является частным случаем объекта информатизации.

Все действующие автоматизированные системы классифицируются в соответствии с Руководящим документом Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".

Классификация АС включает следующие этапы:

  1. Разработка и анализ исходных данных.
  2. Выявление основных признаков АС, необходимых для классификации.
  3. Сравнение выявленных признаков АС с классифицируемыми.
  4. Присвоение АС соответствующего класса защиты информации от НСД.

Исходными данными для классификации АС являются:

  1. Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.
  2. Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.
  3. Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.
  4. Режим обработки данных в АС.

Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

К числу определяющих признаков классификации АС относится следующее:

  • наличие в АС информации различного уровня конфиденциальности;
  • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  • режим обработки данных в АС - коллективный или индивидуальный.

Устанавливаются 9 классов защищённости АС от НСД к информации, каждый класс характеризуется определённой минимальной совокупностью требований по защите. Классы подразделяются на 3 группы:

III группа - классы 3Б и 3А

Классы соответствуют автоматизированным системам, в которых работает один пользователь , допущенный ко всей информации в АС , размещённой на носителях одного уровня конфиденциальности.

II группа - классы 2Б и 2А

Классы данной группы соответствуют автоматизированным системам, в которых пользователи имеют одинаковые права доступа ко всей информации в АС , обрабатываемой или хранимой на носителях различного уровня конфиденциальности.

I группа - классы 1Д, 1Г, 1В, 1Б и 1А

В этих автоматизированных системах одновременно обрабатывается или хранится информация разных уровней конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС .

Интересно, что документ выделяет 4 подсистемы для обеспечения защиты от НСД:

  • управления доступом;
  • регистрации и учета;
  • криптографической;
  • обеспечения целостности.

В зависимости от класса АС требования к перечисленным подсистемам различаются (таблицы 3.1, 3.2, 3.3). Приняты следующие обозначения:

" - " - нет требований к данному классу;
" + " - есть требования к данному классу.

Более детально требования в зависимости от класса защищенности описаны в Руководящем документе Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен. Если АС , классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.

Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС , за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности.

Читайте также: