Главная страница
Навигация по странице:

  • Стадия проектирования (разработка проекта)

  • Предпроектное обследование

  • Содержание аналитического обоснования

  • Аналитическое обоснование подписывается

  • Содержание технического задания на разработку СЗИ

  • Техническое задание на разработку СЗИ подписывается

  • Техническое задание на проектирование ОИ оформляется

  • Ввод в действие ОИ и СЗИ

  • На стадии ввода в действие ОИ и СЗИ оформляются

  • Таким образом сделаем вывод, что организация ЗИ в АИ включает следующие направления защиты АС

  • Правовая защита

  • Инженерно-техническая защита

  • Принципы построения СЗИ АС Системность

  • Разумная достаточность

  • Открытость алгоритмов и механизмов защиты

  • Простота применения средств защиты

  • Создание СЗИ. Рекомендуемые стадии создания сзи предпроектная стадия


    Скачать 219.56 Kb.
    НазваниеРекомендуемые стадии создания сзи предпроектная стадия
    Дата06.03.2023
    Размер219.56 Kb.
    Формат файлаdocx
    Имя файлаСоздание СЗИ.docx
    ТипДокументы
    #971696

    Рекомендуемые стадии создания СЗИ

    Предпроектная стадия

    • предпроектное обследование ОИ

    • разработка аналитического обоснования и ТЗ

    Стадия проектирования (разработка проекта)

    • разработка СЗИ в составе ОИ

    Стадия ввода в действие СЗИ

    • опытная эксплуатация

    • приемо-сдаточные испытания средств защиты информации

    • аттестация ОИ



    Предпроектное обследование

    1. Устанавливается необходимость обработки информации

    2. Определяется перечень сведений конфиденциального характера

    3. Определяются условия расположения АС относительно границ контролируемой зоны

    4. Определяются конфигурация и топология АС в целом и ее отдельных компонент

    5. Устанавливаются и фиксируются функциональные и технологические связи внутри системы

    6. Определяются:

    • ТСС, предполагаемые к использованию

    • условия расположения ТСС

    • режимы обработки информации

    • класс АС

    • (уточняются) угрозы безопасности информации

    1. Уточняется степень участия персонала в обработке информации, характер их взаимодействия между собой

    2. Разрабатывается частная модель угроз

    Содержание аналитического обоснования

    1. информационная характеристика и организационная структура ОИ

    2. характеристика комплекса ОТСС и ВТСС, ПО, режимов работы, технологического процесса обработки информации

    3. возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению

    4. перечень предлагаемых к использованию СрЗИ

    5. обоснование необходимости привлечения организаций, имеющих необходимые лицензии на работы по ЗИ

    6. оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ

    7. ориентировочные сроки разработки и внедрения СЗИ

    8. перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования ОИ

    Аналитическое обоснование

    • подписывается руководителем организации, проводившей предпроектное обследование

    • согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство созданием объекта информатизации), руководителем службы безопасности

    • утверждается руководителем организации-заказчика



    Содержание технического задания на разработку СЗИ

    1. Обоснование разработки

    2. Исходные данные ОИ в техническом, программном, информационном и организационном аспектах

    3. Класс защищенности АС

    4. Ссылка на НМД, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию ОИ

    5. Требования к СЗИ на основе НМД и класса защищенности АС

    6. Перечень предполагаемых к использованию СрЗИ

    7. Обоснование проведения разработок собственных СрЗИ

    8. Состав, содержание и сроки проведения работ по этапам разработки и внедрения

    9. Перечень подрядных организаций-исполнителей видов работ

    10. Перечень предъявляемой заказчику научно-технической продукции и документации

    Техническое задание на разработку СЗИ

    • подписывается разработчиком

    • согласовывается со службой безопасности организации заказчика, подрядными организациями

    • утверждается заказчиком

    Проектирование и создание ОИ и СЗИ в его составе

    1. Разработка задания и проекта на строительные, строительномонтажные работы (или реконструкцию) ОИ

    2. Разработка раздела технического проекта на ОИ в части ЗИ

    3. Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком

    4. Разработка организационно-технических мероприятий по ЗИ

    5. Закупка сертифицированных (сертификация) образцов и серийно выпускаемых в защищенном исполнении ТСО

    6. Закупка и установка сертифицированных технических, программных и программно-технических СрЗИ

    7. Разработка (закупка) и последующая сертификация по требованиям

    8. безопасности информации программных СрЗИ в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства

    9. Организация охраны и физической защиты помещений ОИ, исключающих НСД к ТСО

    10. Разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой на ОИ информации.

    11. Определение заказчиком подразделений и лиц, ответственных за эксплуатацию СрЗИ, обучение назначенных лиц специфике работ по ЗИ на стадии эксплуатации ОИ.

    12. Инсталляция пакета прикладных программ в комплексе с программными СрЗИ

    13. Разработка эксплуатационной документации на ОИ и СрЗИ, а также ОРД по защите информации

    14. Выполнение других мероприятий, специфичных для конкретных ОИ и направлений ЗИ

    Техническое задание на проектирование ОИ

    • оформляется отдельным документом

    • согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации

    • утверждается заказчиком

    Технический (техно-рабочий) проект и эксплуатационная документация СЗИ

    Также оформляются технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из следующих документов:

    1. пояснительная записка (изложение решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу СрЗИ с указанием их соответствия требованиям ТЗ)

    2. описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации

    3. план организационно-технических мероприятий по подготовке ОИ к внедрению средств и мер ЗИ

    4. технический паспорт ОИ

    5. инструкции и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности

    Ввод в действие ОИ и СЗИ

    На стадии ввода в действие ОИ и СЗИ оформляются

    • Акты внедрения СрЗИ по результатам их приемо-сдаточных испытаний

    • Протоколы аттестационных испытаний и заключение по их результатам

    • Аттестат соответствия ОИ

    Таким образом сделаем вывод, что организация ЗИ в АИ включает следующие направления защиты АС = нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз и определяющие комплексные меры защиты информации на различных уровнях (государственном, организации, отдельной личности)

    Правовая защита – законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту на правовой основе

    Организационная защита - регламентация служебной и иной деятельности, взаимоотношений исполнителей на нормативно-правовой основе, исключающая (ослабляющая) нанесение ущерба исполнителям

    Инженерно-техническая защита - использование различных технических средств, препятствующих нанесению ущерба служебной и иной деятельности



    Принципы построения СЗИ АС

    1. Системность - учёт всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для понимания и решения проблемы обеспечения безопасности АС.

    2. Комплексность - использование широкого спектра мер, методов и средств защиты при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

    3. Непрерывность - принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

    4. Разумная достаточность - необходимость определения достаточного уровня защиты, при котором риск и размер возможного ущерба может быть приемлемым.

    5. Гибкость системы защиты - возможность варьирования уровнем защищенности.

    6. Открытость алгоритмов и механизмов защиты - защита не должна обеспечиваться только за счёт закрытости (секретности) структурной организации и алгоритмов функционирования подсистем системы защиты АС.

    7. Простота применения средств защиты - механизмы защиты должны быть интуитивно понятны и просты в использовании.


    написать администратору сайта