deHack.ru » Разработка системы защиты информации

Разработка системы защиты информации

Разработка системы защиты информации производится подразделением организации или специализированными организациями, имеющими лицензии ФСТЭК (Гостехкомиссии) России. При этом разрабатываются методическое руководство и конкретные требования по защите информации, аналитическое обоснование необходимости создания СЗИ, согласовывается выбор ОТСС и ВТСС, технических и программных средств ЗИ, организуются работы по выявлению возможных каналов утечки информации и нарушения целостности защищаемой информации, аттестация объекта информатизации.

Так же разрабатывается «Положении о порядке организации и проведения работ по защите конфиденциальной информации», в котором описывается порядок организации работ по созданию и эксплуатации объектов информатизации и их СЗИ (или в приложении к так же разрабатываемому «Руководству по защите информации от утечки по техническим каналам на объекте»). Этот документ должен предусматривать порядок определения защищаемой информации; порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации; порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов; порядок разработки, ввода в действие и эксплуатации объектов информатизации; ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗИ.

Стадии содзания системы защиты информации:

  • Предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание
  • Стадия проектирования (разработки проектов), включающая разработку СЗИ в составе объекта информатизации
  • Стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ и задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ. Работы, выполняемые на предпроектной стадии:

  • Устанавливается необходимость обработки (обсуждения) КИ информации на данном объекте информатизации
  • Определяется перечень сведений конфиденциального характера, подлежащихзащите
  • Определяются (уточняются) угрозы безопасности информации и модель вероятногонарушителя применительно к конкретным условиям функционирования объекта
  • Определяются условия расположения объекта информатизации относительнограниц КЗ
  • Определяются конфигурация и топология ОТСС в целом и их отдельныхкомпонентов, физические, функциональные и технологические связи ОТСС с другими системами различного уровня и назначения
  • Определяются конкретные технические средства и системы, предполагаемые к использованию в разрабатываемой АС, условия их расположения, их программные средства
  • Определяются режимы обработки информации в АС в целом и в отдельных компонентах
  • Определяется класс защищенности АС
  • Определяется степень участия персонала в информации, характер их взаимодействия между собой и со службой безопасности
  • Определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации

Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации, руководителем службы безопасности и утверждается руководителем организации-заказчика. Аналитическое обоснование необходимости создания СЗИ включает в себя следующее:

  • Информационная характеристика и организационная структура объекта информатизации
  • Характеристика комплекса ОТСС и ВТСС, ПО, режимов работы, технологического процесса обработки информации
  • Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению
  • Перечень предлагаемых к использованию сертифицированных средств защиты информации
  • Обоснование необходимости привлечения специализированных организаций
  • Оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ
  • Ориентировочные сроки разработки и внедрения СЗИ
  • Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации

Техническое задание (ТЗ) на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика и утверждается заказчиком. Содержание технического задания должно содержать следующее:

  • Обоснование разработки
  • Исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах
  • Класс защищенности АС
  • Ссылка на нормативные документы, на основании которых будет разрабатываться СЗИ
  • Требования к СЗИ на основе нормативно-методических документов и установленного класса защищенности АС
  • Перечень предполагаемых к использованию сертифицированных средств защиты информации
  • Обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации
  • Состав, содержание и сроки проведения работ по этапам разработки и внедрения
  • Перечень подрядных организаций-исполнителей видов работ
  • Перечень предъявляемой заказчику научно-технической продукции и документации

Мероприятия по защите информации от утечки по техническим каналам относятся к основным элементам проектных решений, которые включаются в соответствующие разделы проекта, и разрабатываются одновременно с ними. Содержание технического (техно-рабочего) проекта и эксплуатационной документации приведены ниже:

  • Пояснительная записка с изложением решений по обеспечению ЗИ, составу средств защиты информации с указанием их соответствия требованиям ТЗ
  • Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации
  • План организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации
  • Технический паспорт объекта информатизации (АС, ЗП)
  • Инструкция и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности

Перечень работ, выполняемых на стадии проектирования и создания объекта информатизации:

  • разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации
  • разработка раздела технического проекта на объект информатизации в части реализации мероприятий по защите информации
  • строительно-монтажные работы, размещение и монтаж технических средств и систем
  • разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями
  • закупка сертифицированных образцов серийно выпускаемых защищенных технических средств, либо их сертификация
  • закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка
  • разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации (в случае необходимости)
  • организация охраны и физической защиты помещений объекта информатизации разработка разрешительной системы доступа пользователей и эксплуатационного персонала к защищаемой информации
  • определение и обучение подразделений и лиц, ответственных за эксплуатацию средств защиты информации
  • разработка эксплуатационной документации на объект информатизации, средства защиты информации, и организационно-распорядительной документации по ЗИ

При вводе в эксплуатацию выполняются необходимые мероприятия, такие как опытная эксплуатация средств защиты информации с другими техническими и программными средствами для проверки их работоспособности в комплексе и отработки технологического процесса обработки (передачи) информации, приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатацииа, аттестация объекта информатизации по требованиям безопасности информации.

При этом разрабатываются следующие документы:

  • Приемо-сдаточный акт, подписываемый разработчиком (поставщиком) и заказчиком
  • Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний
  • Протоколы аттестационных испытаний и заключение по их результатам
  • Аттестат соответствия объекта информатизации требованиям по безопасности информации
  • Приказ (указание, решение) о назначении лиц, ответственных за эксплуатацию объекта информатизации
  • Приказ (указание, решение) о разрешении обработки в АС (обсуждении в ЗП) конфиденциальной информации

Контроль состояния защиты конфиденциальной информации проводится службой безопасности организации не реже чем один раз в год и федеральными и отраслевыми органами контроля не реже одного раза в два года.

При проведении аттестации объектов информатизации и периодическом контроле состояния защиты конфиденциальной информации организациями могут, при необходимости, использоваться «Временные методики оценки защищенности конфиденциальной информации». При необходимости, по решению руководителя организации, могут быть проведены работы по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, осуществляемые организациями, имеющими соответствующие лицензии или ФСБ России (ФАПСИ).

Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе