Создание СЗИ. Рекомендуемые стадии создания сзи предпроектная стадия
Скачать 219.56 Kb.
|
Рекомендуемые стадии создания СЗИ Предпроектная стадия предпроектное обследование ОИ разработка аналитического обоснования и ТЗ Стадия проектирования (разработка проекта) разработка СЗИ в составе ОИ Стадия ввода в действие СЗИ опытная эксплуатация приемо-сдаточные испытания средств защиты информации аттестация ОИ Предпроектное обследование Устанавливается необходимость обработки информации Определяется перечень сведений конфиденциального характера Определяются условия расположения АС относительно границ контролируемой зоны Определяются конфигурация и топология АС в целом и ее отдельных компонент Устанавливаются и фиксируются функциональные и технологические связи внутри системы Определяются: ТСС, предполагаемые к использованию условия расположения ТСС режимы обработки информации класс АС (уточняются) угрозы безопасности информации Уточняется степень участия персонала в обработке информации, характер их взаимодействия между собой Разрабатывается частная модель угроз Содержание аналитического обоснования информационная характеристика и организационная структура ОИ характеристика комплекса ОТСС и ВТСС, ПО, режимов работы, технологического процесса обработки информации возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению перечень предлагаемых к использованию СрЗИ обоснование необходимости привлечения организаций, имеющих необходимые лицензии на работы по ЗИ оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ ориентировочные сроки разработки и внедрения СЗИ перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования ОИ Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство созданием объекта информатизации), руководителем службы безопасности утверждается руководителем организации-заказчика Содержание технического задания на разработку СЗИ Обоснование разработки Исходные данные ОИ в техническом, программном, информационном и организационном аспектах Класс защищенности АС Ссылка на НМД, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию ОИ Требования к СЗИ на основе НМД и класса защищенности АС Перечень предполагаемых к использованию СрЗИ Обоснование проведения разработок собственных СрЗИ Состав, содержание и сроки проведения работ по этапам разработки и внедрения Перечень подрядных организаций-исполнителей видов работ Перечень предъявляемой заказчику научно-технической продукции и документации Техническое задание на разработку СЗИ подписывается разработчиком согласовывается со службой безопасности организации заказчика, подрядными организациями утверждается заказчиком Проектирование и создание ОИ и СЗИ в его составе Разработка задания и проекта на строительные, строительномонтажные работы (или реконструкцию) ОИ Разработка раздела технического проекта на ОИ в части ЗИ Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком Разработка организационно-технических мероприятий по ЗИ Закупка сертифицированных (сертификация) образцов и серийно выпускаемых в защищенном исполнении ТСО Закупка и установка сертифицированных технических, программных и программно-технических СрЗИ Разработка (закупка) и последующая сертификация по требованиям безопасности информации программных СрЗИ в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства Организация охраны и физической защиты помещений ОИ, исключающих НСД к ТСО Разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой на ОИ информации. Определение заказчиком подразделений и лиц, ответственных за эксплуатацию СрЗИ, обучение назначенных лиц специфике работ по ЗИ на стадии эксплуатации ОИ. Инсталляция пакета прикладных программ в комплексе с программными СрЗИ Разработка эксплуатационной документации на ОИ и СрЗИ, а также ОРД по защите информации Выполнение других мероприятий, специфичных для конкретных ОИ и направлений ЗИ Техническое задание на проектирование ОИ оформляется отдельным документом согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации утверждается заказчиком Технический (техно-рабочий) проект и эксплуатационная документация СЗИ Также оформляются технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из следующих документов: пояснительная записка (изложение решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу СрЗИ с указанием их соответствия требованиям ТЗ) описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации план организационно-технических мероприятий по подготовке ОИ к внедрению средств и мер ЗИ технический паспорт ОИ инструкции и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности Ввод в действие ОИ и СЗИ Опытная эксплуатация средств защиты информации Приемо-сдаточные испытания СрЗИ Организация охраны и физической защиты помещений На стадии ввода в действие ОИ и СЗИ оформляются Акты внедрения СрЗИ по результатам их приемо-сдаточных испытаний Протоколы аттестационных испытаний и заключение по их результатам Аттестат соответствия ОИ Таким образом сделаем вывод, что организация ЗИ в АИ включает следующие направления защиты АС = нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз и определяющие комплексные меры защиты информации на различных уровнях (государственном, организации, отдельной личности) Правовая защита – законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту на правовой основе Организационная защита - регламентация служебной и иной деятельности, взаимоотношений исполнителей на нормативно-правовой основе, исключающая (ослабляющая) нанесение ущерба исполнителям Инженерно-техническая защита - использование различных технических средств, препятствующих нанесению ущерба служебной и иной деятельности Принципы построения СЗИ АС Системность - учёт всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для понимания и решения проблемы обеспечения безопасности АС. Комплексность - использование широкого спектра мер, методов и средств защиты при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Непрерывность - принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. Разумная достаточность - необходимость определения достаточного уровня защиты, при котором риск и размер возможного ущерба может быть приемлемым. Гибкость системы защиты - возможность варьирования уровнем защищенности. Открытость алгоритмов и механизмов защиты - защита не должна обеспечиваться только за счёт закрытости (секретности) структурной организации и алгоритмов функционирования подсистем системы защиты АС. Простота применения средств защиты - механизмы защиты должны быть интуитивно понятны и просты в использовании. |