Разработка системы защиты информации

Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации, руководителем службы безопасности и утверждается руководителем организации-заказчика. Аналитическое обоснование необходимости создания СЗИ включает в себя следующее:

• Информационная характеристика и организационная структура объекта информатизации
• Характеристика комплекса ОТСС и ВТСС, ПО, режимов работы, технологического процесса обработки информации
• Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению
• Перечень предлагаемых к использованию сертифицированных средств защиты информации
• Обоснование необходимости привлечения специализированных организаций
• Оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ
• Ориентировочные сроки разработки и внедрения СЗИ
• Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации

Техническое задание (ТЗ) на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика и утверждается заказчиком. Содержание технического задания должно содержать следующее:

• Обоснование разработки
• Исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах
• Класс защищенности АС
• Ссылка на нормативные документы, на основании которых будет разрабатываться СЗИ
• Требования к СЗИ на основе нормативно-методических документов и установленного класса защищенности АС
• Перечень предполагаемых к использованию сертифицированных средств защиты информации
• Обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации
• Состав, содержание и сроки проведения работ по этапам разработки и внедрения
• Перечень подрядных организаций-исполнителей видов работ
• Перечень предъявляемой заказчику научно-технической продукции и документации

Мероприятия по защите информации от утечки по техническим каналам относятся к основным элементам проектных решений, которые включаются в соответствующие разделы проекта, и разрабатываются одновременно с ними. Содержание технического (техно-рабочего) проекта и эксплуатационной документации приведены ниже:

• Пояснительная записка с изложением решений по обеспечению ЗИ, составу средств защиты информации с указанием их соответствия требованиям ТЗ
• Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации
• План организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации
• Технический паспорт объекта информатизации (АС, ЗП)
• Инструкция и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности

Перечень работ, выполняемых на стадии проектирования и создания объекта информатизации:

• Эксплуатация и мониторинг системы
• Политика информационной безопасности организации
• Анализ рисков