Принципы проектирования и этапы разработки АСЗИ (автоматизированной системы в защищенном исполнении).

Типовая структура и задачи АСЗИ (автоматизированной системы в защищенном исполнении). Состав и функции основных подсистем АСЗИ.

 

Комплекс работ по созданию СЗИ

В 2014 году был введен в действие национальный стандарт ГОСТ P 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения", который определил комплекс работ по созданию системы защиты информации для создаваемых (модернизируемых) автоматизированных систем, в отношении которых законодательством или заказчиком установлены требования поих защите.

Автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации[111]. В качестве основных видов автоматизированных систем ГОСТ рассматривает автоматизированные рабочие места и информационные системы. В этой лекции будет рассматриваться информационная система как наиболее часто защищаемый объектинформатизации.

В ГОСТ P 51583-2014 выделен следующий комплекс работ по созданию системы защиты информации:

1. формирование требований к системе защиты информации АСЗИ;

2. разработка (проектирование) системы защиты информации АСЗИ;

3. внедрение системы защиты информации АСЗИ;

4. аттестация АСЗИ по требованиям безопасности информации и ввод в действие;

5. сопровождение системы защиты информации в ходе эксплуатации АСЗИ.

В "Требования по защите информации и созданию системы защиты информации" были рассмотрены стадии создания СЗИ в соответствии с СТР-К (предроектная, проектирование, ввод в действие СЗИ). ГОСТ Р 51583-2014 не противоречит СТР-К, а лишь более подробно раскрывает комплекс работ по созданию СЗИ. Стоит отметить, что на ГОСТ ссылаются последние документы ФСТЭК.

Формирование требований к системе защиты информации

Формирование требований к системе защиты информации (СЗИ) осуществляется обладателем информации (заказчиком) с учетом требований, закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, и включает в себя:

· принятие решения о необходимости защиты информации, содержащейся в информационной системе;

· классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);

· определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

· определение требований к системе защиты информации информационной системы.

При принятии решения о необходимости защиты информации необходимо:

· проанализировать цели и задачи ИС;

· определить, какая информация обрабатывается в ИС;

· на основе информации, полученной в предыдущих пунктах определить, каким нормативным правовым актам, методическим документам и национальным стандартам должна соответствовать информационная система;

· определить цели и задачи СЗИ, основных этапов создания, обладателя информации(заказчика), оператора и уполномоченных лиц.

Результаты классификации информационной системы оформляются актом классификации.

Составляется техническое задание на создание СЗИ на основе ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве основы для определения угроз ФСТЭК рекомендует использовать банк данных угроз и уязвимостей ФСТЭК, рассмотренный ранее, и иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации. Результатом этого этапа является модель угроз и модель злоумышленника.

Требования к СЗИ определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации. Они включаются в техническое задание на создание СЗИ и должны, в том числе, включать:

· цель и задачи обеспечения защиты информации в информационной системе;

· класс защищенности информационной системы;

· перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;

· перечень объектов защиты информационной системы;

· требования к мерам и средствам защиты информации, применяемым в информационной системе;

· стадии (этапы работ) создания системы защиты информационной системы;

· требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;

· функции заказчика и оператора по обеспечению защиты информации в информационной системе;

· требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);

· требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации[110].

 

Принципы проектирования и этапы разработки АСЗИ (автоматизированной системы в защищенном исполнении).

 

---

Дата добавления: 2019-07-15; просмотров: 2278; Мы поможем в написании вашей работы!

Поделиться с друзьями:

---

---

Мы поможем в написании ваших работ!