6.3.2. Архитектура исполнительного механизма СОБИ ФНС России

Исполнительный механизм СОБИ является вспомогательной подсистемой ИС. В отличие от главной целевой функции ИС налоговых органов является - обработка (сбор, накопление, преобразование, хранение) и доставка информации пользователям, СОБИ непосредственно не участвует в процессе обработки информации и ее целевая функция состоит в обеспечении исполнения и контроля установленных правил доступа к ИР ФНС России, то есть в регулировании отношений между субъектами и защищаемыми ИР. Общая архитектура исполнительного механизма СОБИ должна формироваться на основе объединения механизмов защиты различных элементов ИС налоговых органов в функциональные контуры, реализующие те или иные функции безопасности, а не на основе основных процессов обработки информации (Рис. 12, Приложение N 1). Общая архитектура исполнительного механизма СОБИ может не повторять архитектуру ИС налоговых органов.

Исполнительный механизм, непосредственно не влияя на информацию в процессе ее обработки, реализует свои функции через механизмы защиты элементов инфраструктуры и глубоко интегрирован в элементы ИС налоговых органов.

Исполнительный механизм СОБИ ФНС России строится как матричная структура, позволяющая обеспечить надежные горизонтальные связи взаимодействия между отдельными СЗИ, встроенными функциями безопасности общесистемного и прикладного ПО, а также с элементами системы активной защиты (при необходимости). При этом должно обеспечиваться централизованное управление всеми процессами защиты информации.

Роль исполнительного механизма СОБИ исполняет СиЗИ, которая строится как территориально распределенная централизованная автоматизированная система, которая может быть структурирована по следующим функциям:

контур поддержки доверенной среды (ПДС);

контур идентификации и аутентификации субъектов (ИАС);

контур контроля и управления доступом субъектов (КДС);

контур защиты потоков информации (ЗПИ);

контур регистрации и аудита событий (РАС);

контур управления информационной безопасностью (УИБ).

Контур ПДС предназначен для поддержания целостной программно-аппаратной среды ИС налоговых органов и обеспечения гарантий доверительности пользователей при использовании предоставляемых сервисов и оказании государственных услуг. В состав контура ПДС также входят средства защиты от вредоносных программ и вирусов (антивирусные средства), которые охватывают два подуровня: пользовательский и сетевой.

Контур ИАС предназначен для проведения процедур аутентификации/идентификации субъектов доступа, пользующихся ИС налоговых органов на всех этапах обработки и обращения в ней информации. Контур ИАС должен обеспечивать поддержку процесса идентификации (аутентификации) пользователей ИС налоговых органов в случае использования субъектами доступа в качестве средств идентификации (аутентификации) цифровых сертификатов, а также в случае использования в ИС налоговых органов при межведомственном информационном обмене средств подтверждения (проверки) подлинности электронных документов (электронных подписей).

В состав контура ИАС входит Удостоверяющий центр, имеющий в своем составе Центр сертификации (хранилище и центр выдачи сертификатов), Центры регистрации, рабочие станции (АРМ) администраторов Центров регистрации, являющиеся точками регистрации пользователей ИС налоговых органов. УЦ предназначен для обеспечения юридически значимого защищенного электронного документооборота между налоговыми органами и взаимодействия с другими органами государственной власти, а также для формирования идентификаторов (цифровых сертификатов) пользователей ИС налоговых органов.

Контур КДС предназначен для управления и контроля за доступом пользователей ИС налоговых органов к объектам защиты, АРМ, серверам, а также к прикладным системам и сервисам при исполнении им государственных функций и оказании государственных услуг.

Контур ЗПИ предназначен для создания доверенных каналов связи между структурными элементами ИС налоговых органов, а также между ИС налоговых органов и другими взаимодействующими ИС.

Контур РАС предназначен для оперативного оповещения специального подразделения и уполномоченных сотрудников (администраторы безопасности) ФНС России, отвечающих за обеспечение ИБ о состоянии (изменениях) ПО и технических средств обработки информации, используемых в ИС налоговых органов, действиях администраторов и пользователей по конфигурированию ПО и технических средств обработки информации.

Контур УИБ предназначен для оперативного управления отдельными контурами СОБИ и обеспечением безопасности информации в целом на основе установленных правил (политики) ИБ. Входящие в состав контуров элементы должны реализовывать функции безопасности, предусмотренные техническими требованиями Политики ИБ ФНС России или аналогичными требованиями в объеме, необходимом для обеспечения требуемого уровня защищенности ИС налоговых органов.

Функции, которые должны быть реализованы каждым функциональным контуром исполнительного механизма СОБИ для достижения поставленной цели ИБ ФНС России, приведены в Приложении N 7 к настоящей Концепции.

Используемые в СиЗИ средства защиты информации должны пройти оценку соответствия, подтверждающую выполнение ими специальных функций по защите, в соответствии с требуемым классом защищенности, а также (в зависимости от установленного класса защищенности) отсутствие недекларированных возможностей (для программных и программно-аппаратных средств).

Архитектура СиЗИ не должна накладывать жестких ограничений на информационные технологии, используемые в ИС налоговых органов и должна обеспечивать реализацию функций безопасности на всех этапах обработки информации, в том числе при техническом обслуживании и ремонте оборудования ИС налоговых органов.