аис в защите. Особенности построения защищенных автоматизированных систем
 Скачать 15.56 Kb.
|
|
Автоматизированная система в защищенном исполнении (АСЗИ) − это автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации (ЗИ). ОСОБЕННОСТИ ПОСТРОЕНИЯ ЗАЩИЩЕННЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ Требования к защищенным автоматизированным системам . Целью создания системы ЗИ АСЗИ является обеспечение ЗИ от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа, реализация права на доступ к информации. При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями: - комплексное решение задач по ЗИ от НСД, от утечки защищаемой информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на информацию (на носители информации) применительно к конкретной АСЗИ. Состав решаемых задач по ЗИ определяется задачами обработки информации, решаемыми с использованием АСЗИ, ее программным и аппаратным составом, конфигурацией этой системы, условиями функционирования, требованиями, предъявляемыми к обрабатываемой информации, угрозами безопасности информации; - разрабатываться (проектироваться) с учетом возможности реализации требований о защите, обрабатываемой информации при использовании в АСЗИ методов и программно-аппаратных средств организации сетевого взаимодействия; - создаваться с учетом обеспечения возможности формирования различных вариантов ее построения, а также расширения возможностей ее составных частей (сегментов) в зависимости от условий функционирования АСЗИ и требований о ЗИ; - ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой информации; - входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны препятствовать нормальному функционированию АСЗИ; - программное обеспечение системы ЗИ должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ и не должно снижать требуемый уровень защищенности информации в АСЗИ; - программно-технические средства, используемые для построения системы ЗИ, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности информации в АСЗИ. ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем. Обеспечение защиты в АСЗИ достигается заданием, реализацией и контролем выполнения требований о защите информации: - к процессу хранения, передачи и обработки защищаемой в АСЗИ информации; - к системе ЗИ; - к взаимодействию АСЗИ с другими АС; - к условиям функционирования АСЗИ; - к содержанию работ по созданию (модернизации) АСЗИ на различных стадиях и этапах ее создания (модернизации); - к организациям (должностным лицам), участвующим в создании (модернизации) и эксплуатации АСЗИ; - к документации на АСЗИ; - к АСЗИ в целом. АСЗИ должны создаваться в соответствии с ТЗ, являющимся основным документом, на основании которого выполняются работы. Процесс построения АСЗИ должен представлять собой совокупность упорядоченных во времени, взаимосвязанных, объединенных в стадии и этапы работ, выполнение которых необходимо и достаточно для создания АСЗИ, соответствующей заданным к ней требованиям. Содержание работ по созданию АС в защищенном исполнении Стадии и этапы работ по созданию АСЗИ устанавливаются в ТЗ на АСЗИ на основе ГОСТ 34.601 с учетом положений настоящего стандарта. Содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении Защита информации в АСЗИ обеспечивается системой защиты АСЗИ. Создание системы защиты АСЗИ обеспечивается следующим комплексом работ: - формирование требований к системе ЗИ АСЗИ; - разработка (проектирование) системы ЗИ АСЗИ; - внедрение системы ЗИ АСЗИ; - аттестация АСЗИ на соответствие требованиям безопасности ин- формации и ввод ее в действие; - сопровождение системы ЗИ в ходе эксплуатации АСЗИ. Формирование требований к системе ЗИ АСЗИ организуется заказчиком и осуществляется разработчиком на основе требований по предотвращению утечки информации по техническим каналам, несанкционированного доступа к ней, несанкционированных и непреднамеренных воздействий на информацию, в том числе требований по криптографической и антивирусной защите, по обнаружению вторжений (атак), обеспечению устойчивости и непрерывности функционирования АСЗИ и др., закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, с учетом целей и задач АСЗИ, свойственных ей угроз безопасности информации и возможных последствий реализации этих угроз. Формирование требований к системе ЗИ АСЗИ осуществляется на следующих стадиях создания АСЗИ, определенных ГОСТ 34.601: - "Формирование требований к АС"; - "Разработка концепции АС"; - "Техническое задание". Требования к системе ЗИ АСЗИ уточняются на последующих стадиях создания АСЗИ, с конкретизацией требований к ее построению |