Разработка (проектирование) системы защиты информации

Следующая стадия - разработка СЗИ - осуществляется на основе ТЗ и включает в себя:

· проектирование системы защиты информации информационной системы;

· разработку эксплуатационной документации на систему защиты информации информационной системы;

· макетирование и тестирование системы защиты информации информационной системы (при необходимости).

При разработке СЗИ ИС учитываются взаимодействие ИС с другими ИС и информационно-телекоммуникационными сетями и применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

При проектировании СЗИ ИС:

· определяются типы субъектов доступа и объектов доступа, являющихся объектами защиты (пример субъекта доступа - пользователь ИС, объекта доступа - объект файловой системы;

· определяются методы управления доступом, типы доступа и правила разграничения доступа субъектов доступа к объектам доступа, подлежащие реализации в информационной системе;

· выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;

· определяются виды и типы средств защиты информации;

· определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;

· осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации (если того требует законодательство), с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;

· определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;

· определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Результаты проектирования СЗИ отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем".

Эксплуатационная документация на СЗИ ИС разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:

· структуры системы защиты информации информационной системы;

· состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;

· правил эксплуатации системы защиты информации информационной системы.

При макетировании и тестировании СЗИ ИС осуществляются:

· проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;

· проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;

· корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы.

Макетирование системы защиты информации информационной системы и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.

 

34. Основные стадии проектирования АСЗИ (автоматизированной системы в защищенном исполнении).

Порядок создания защищенных АС определен ГОСТ Р 51583-2000. «Порядок создания автоматизированных систем в защищенном исполнении».

Процесс создания АСЗИ заключается в выполнении совокупности мероприятий, направленных на разработку и/или практическое применение информационной технологии, реализующей функции по ЗИ, установленные в соответствии с требованиями стандартов и/или НД по ЗИ как во вновь создаваемых, так и в действующих АС.

Целью создания АСЗИ является исключение или существенное затруднение получения злоумышленником защищаемой информации, обрабатываемой в АС, а также исключение или существенное затруднение несанкционированного и/или непреднамеренного воздействия на защищаемую информацию и ее носители.

Таблица 1.2

ГОСТ 34.601		Типовое содержание работ
Стадия	Этап работы	по защите информации
1 Формирование требований к АС	1.1 Обследование объекта и обоснование необходимости создания АСЗИ	Сбор данных о проводимых работах на объекте информатизации по обработке информации различной степени секретности. Определение факторов, воздействующих на информацию в соответствии с требованиями ГОСТ Р 51275. Оценка целесообразности создания АСЗИ
	1.2 Формирование требований пользователя к АСЗИ	Подготовка исходных данных для формирования требований по ЗИ на АС и процессов ее создания и эксплуатации. Разработка предварительных требований к СЗИ на АСЗИ
	1.3 Оформление отчета о выполняемой работе и заявки на разработку АСЗИ	Разработка предложений по ЗИ в отчетной НД. Оформление отчета о выполненных работах по ЗИ на данных стадиях. Оформление предложений по ЗИ в заявку на разработку АСЗИ. Формирование предложений по ЗИ в ТЗ на АСЗИ
2 Разработка концепции АС	2.1 Изучение объекта	Уточнение условий эксплуатации АСЗИ и категорий важности обрабатываемой информации. Формирование перечня угроз защищаемой информации. Уточнение номенклатуры требований, предъявляемых к АСЗИ
	2.2 Проведение необходимых НИР	Поиск путей реализации требований по ЗИ в АС. Оценка возможности реализации требований по ЗИ в АСЗИ. Оформление и утверждение отчета о НИР по ЗИ или разделов по ЗИ в отчет о НИР по созданию АСЗИ
	2.3 Разработка вариантов концепции АС и выбор варианта концепции АС	Разработка альтернативных вариантов концепции ЗИ в АС и облика СЗИ и процессов ее создания с учетом требований. Выбор оптимального варианта концепции ЗИ в АС (разработка замысла ЗИ в АС) и СЗИ АС. Техникоэкономическое обоснование выбранного варианта ЗИ в АС и процессов ее создания и эксплуатации
	2.4 Оформление отчета о выполненной работе	Подготовка и оформление отчета о выполненных работах по ЗИ на данной стадии создания АС. Согласование концепции ЗИ в АС и предложений по вариантам СЗИ в АС. Предложения по ЗИ в отчетную НД этапа работ. Согласование и получение заключения на разработку шифрующих средств
3 Техническое задание	3.1 Разработка и утверждение технического задания на создание АСЗИ	Разработка требований по ЗИ в раздел ТЗ (ЧТЗ) на создание АСЗИ. Разработка, оформление, согласование и утверждение ТЗ (ЧТЗ) на создание АСЗИ

 

4 Эскизный проект	4.1 Разработка предварительных проектных решений по системе в целом и ее частям	Разработка предварительных проектных решений АСЗИ. Технико-экономическое обоснование эффективности вариантов СЗИ. Разработка ТЗ на СрЗИ и средства контроля эффективности ЗИ. Разработка требований на СрЗИ и средства контроля эффективности ЗИ и АС
4 Эскизный проект	4.2 Разработка документации на АСЗИ и ее части	Разработка, оформление, согласование и утверждение документации по ЗИ и разделов эскизного проекта АС в части ЗИ. Экспертиза документации отчетной научно-технической документации и технической документации
5 Технический проект	5.1 Разработка проектных решений по системе в целом и ее частям	Разработка СрЗИ и средств контроля. Разработка технического проекта СЗИ и предложений по ЗИ в технический проект АСЗИ
	5.2 Разработка документации на АСЗИ и ее части	Разработка рабочей документации и технического проекта СЗИ АС. Разработка разделов технической документации по ЗИ и/или отдельных документов по ЗИ в АС. Участие в экспертизе документации.
	5.3 Разработка и оформление документации на поставку изделий для комплектования АСЗИ	Подготовка и оформление технической документации на поставку ТС и ПС для АС и СЗИ. Поставка СрЗИ. Испытания СрЗИ. Сертификация СрЗИ и СЗИ на соответствие требованиям по безопасности информации. Специсследова- ния (спецпроверки) приобретенных ТС. Тестирование ПС. Экспертиза
	5.4 Разработка заданий на проектирование в смежных частях объекта автоматизации	Проектирование помещений АС с учетом требований НД по защите информации
6 Рабочая документация	6.1 Разработка рабочей документации на систему в целом и ее части	Участие в разработке рабочей конструкторской документации АС в части учета требований по ЗИ. Разработка рабочей конструкторской документации СЗИ. Участие в экспертизе рабочей конструкторской документации
	6.2 Разработка или адаптация программ	Разработка ПС АСЗИ, программных СрЗИ. Тестирование ПС. Сертификация ПС по требованиям безопасности информации
7 Ввод в действие	7.1 Подготовка АСЗИ к вводу в действие	Реализация проектных решений по организационной структуре СЗИ АС и процесса. Требования к организационным мерам ЗИ
	7.2 Подготовка персонала	Проверка способности персонала обеспечивать функционирование АСЗИ и СЗИ. Проверка специалистов службы безопасности АС по обслуживанию СЗИ

 

	7.3 Комплектация АС поставляемыми изделиями (ПС и ТС)	Получение комплектующих изделий для СЗИ. Проверка качества поставляемых комплектующих.
	7.4 Строительномонтажные работы	Участие в работах по надзору за выполнением требований по ЗИ строительными организациями. Участие в испытаниях ТС по вопросам ЗИ. Проведение специсследований ТС
	7.5 Пуско-наладочные работы	Проведение автономных наладок технических и программных СрЗИ, загрузка информации в базу данных и ее проверка. Участие в комплексной наладке всех средств АС с точки зрения обеспечения ЗИ
7 Ввод в действие	7.6 Проведение предварительных испытаний	Испытание СЗИ на соответствие требованиям. Устранение недостатков СрЗИ и СЗИ. Внесение изменений в документацию на СЗИ. Участие в испытаниях АСЗИ. Проведение специсследований ТС. Аттестация АСЗИ
	7.7 Проведение опытной эксплуатации	Эксплуатация СЗИ. Анализ, доработка, наладка СЗИ. Акт о завершении опытной эксплуатации СЗИ. Участие в опытной эксплуатации АСЗИ. Анализ и предложения по доработке АСЗИ
8 Сопровождение АСЗИ	8.1 Выполнение работ в соответствии с гарантийными обязательствами	Устранение недостатков по ЗИ в процессе функционирования АСЗИ. Внесение изменений в документацию АС в части вопросов ЗИ. Проведение инспекционного контроля за стабильностью характеристик АСЗИ
	8.2 Послегарантийное обслуживание	Анализ функционирования СЗИ в АСЗИ. Установление причин невыполнения требований по ЗИ в АСЗИ. Выявление недостатков. Устранение недостатков в СЗИ АСЗИ по гарантийным обязательствам. Внесение изменений в документацию на АСЗИ. Контроль состояния ЗИ в АС в защищенном исполнении

 

35. Назначение и структура технико-экономического обоснования на проектирование АСЗИ (автоматизированной системы в защищенном исполнении).

 

В первую очередь это документ, описывающий целесообразность создания какого-либо продукта/услуги. Технико-экономическое обоснование (далее ТЭО) внедрения системы электронного документооборота (СЭД) позволяет сопоставить необходимые затраты и ожидаемые результаты, а также рассчитать срок окупаемости вложений и определить экономический эффект от использования СЭД.

Официальное определение также дает ГОСТ 24.202-80 Требования к содержанию документа «технико-экономическое обоснование создания АСУ»: «Документ «Технико-экономическое обоснование создания АСУ» (ТЭО АСУ) предназначен для обоснования производственно-хозяйственной необходимости и технико-экономической целесообразности создания или развития АСУ …»

На каком этапе разрабатывается ТЭО?

Любой проект начинается с инициализации, с формулировки целей для решения производственных задач.

Основные типовые цели внедрения систем электронного документооборота:

· повышение сохранности и актуальности документов;

· обеспечение соответствия действующим регламентам;

· сокращение сроков подготовки и согласования документов;

· сокращение времени поиска документов;

· сокращение времени формирования отчетов.

Технико-экономическое обоснование составляется для анализа технической и экономической целесообразности проекта внедрения СЭД.

Именно на этом этапе компания решает для себя, будет она дальше развивать проект по внедрению и модернизации СЭД или нет.

На каком этапе разрабатывается ТЭО?

Рис. 1. Процесс принятия решения по старту проекта внедрения СЭД

После согласования и утверждения технико-экономического обоснования на внедрение/модернизацию СЭД компания принимает итоговое решение по дальнейшему ходу проекта.

Цели и задачи подготовки ТЭО

Основная цель подготовки технико-экономического обоснования (ТЭО) одна – обосновать необходимость и целесообразность создания/модернизации СЭД. Но целевая аудитория, для кого предназначено технико-экономическое обоснование, может быть различной.

ТЭО может составляться как для внутреннего использования (например, для согласования с Руководством и дальнейшего развития проекта), так и для внешнего (например, для подтверждения инвестиционной привлекательности проекта СЭД кредиторам и инвесторам).

В зависимости от того, для кого и для каких целей и задач готовится документ ТЭО, глубина проработки некоторых разделов может быть различной.

Приведем общую сводную таблицу по кругу потенциальных заинтересованных лиц при подготовке технико-экономического обоснования:

Заинтересованные лица	Цели/задачи	Области и интересы в ТЭО
Владелец, собственник бизнеса	Для объективной оценки необходимости реализации рассматриваемого проекта	Основной акцент на соответствие стратегии компании, соотношении расходы-доходы, анализе эффективности вкладываемых средств
Руководитель, генеральный директор	Для анализа, контроля и планирования; для обоснования принятого решения по внедрению СЭД, в т.ч. перед советом директоров	Основной акцент на цели, задачи, условия, сроки, затраты и ожидаемые результаты
Инвесторы, представители банков	Для оценки возможности вложения инвестиций в рассматриваемый проект	Основной акцент на финансовый план и условия получения доходов
Кредиторы	Для принятия решения по кредитованию	Основной акцент на финансовый план и план возврата кредита
Инициатор проекта, функциональный заказчик	Для понимания масштабов и определения границ проекта; для понимания рисков	Основной акцент на границах проекта, возможностях и ограничениях: функциональных, технических и организационных ограничений, сроков и бюджете проекта.
Руководители проектов	Для дальнейшего планирования хода реализации проекта; для понимания границ проекта и рисков	Основной акцент на этапы реализации. Также интересуют границы проекта и ограничения (функциональные, технические, организационные, сроки, бюджет, ресурсы)

В основном технико-экономическое обоснование составляется для согласования и утверждения проектов перед Руководством, а также используется в качестве основы при подготовке технического задания на проектируемую систему.

По специфики своей работы я участвовала в подготовке технико-экономического обоснования внедрения СЭД для внутреннего использования. Основными задачами разрабатываемого документа были: анализ текущей ситуации, выявление проблем, описание имеющихся ресурсов, анализ и выбор оптимального решения, определение ключевых показателей и эффекта от внедрения СЭД. Документ разрабатывался совместно с функциональным подразделением Заказчика для анализа, планирования и обоснования проекта перед Руководством Заказчика. Инициатором проекта выступало подразделение делопроизводства.

 

Процесс подготовки Технико-экономического обоснования

Как уже отмечалось, любой проект начинается с инициализации, выявления потребностей, целей и задач проекта и подготовки технико-экономического обоснования.

После подготовки, технико-экономическое обоснование согласуется и утверждается с Руководством. После чего Руководство принимает решение:

· Отклонить проект как не целесообразный и экономически невыгодный.

· Временно отложить проект с необходимостью дополнительного уточнения.

· Утвердить документ ТЭО с дальнейшей передачей на согласование/утверждение Инвестору или Кредитору.

· Утвердить документ ТЭО с дальнейшей передачей Руководителю проекта полномочий для реализации проекта.

В случае согласования/утверждения проекта Инвестором/Кредитором, проекту присваивается бюджет, и Руководителю проекта передаются полномочия на реализацию СЭД.

В случае успешного утверждения проекта, назначенный Руководитель проекта совместно с Инициатором проекта приступает к реализации проекта.

 

Кто подготавливает ТЭО

В зависимости от принятой структуры в компании, подготовкой ТЭО занимается как непосредственно Функциональный заказчик, так и выделенный под данный проект Руководитель проекта.

Функциональный заказчик – это представитель бизнес- подразделения, курирующий дальнейшее развитие проекта и ответственное за расходование денежных средств под данный проект.

В настоящее время наиболее распространены случаи, когда технико-экономическое обоснование готовит потенциальный подрядчик, планируемый для привлечения внедрения СЭД. Также для составления ТЭО привлекаются консалтинговые компании. Стоимость таких работ обычно колеблется от 5 000 до 120 000 рублей. Обычно считается, что стоимость работ по разработке ТЭО должна составлять не более чем 5-10% от стоимости всего проекта по внедрению СЭД.

Сами подрядчики обычно рассматривают такие работы как возможность получить дополнительные бонусы при выборе их в качестве основного исполнителя.

Не редки случаи, когда компании подрядчики готовы помочь в подготовке ТЭО, в том числе и бесплатно, на такие случаи у некоторых компаний есть заготовленные шаблоны по подготовке технико-экономического обоснования для внедрения их системы.

На практике, расчет экономических выгод лучше осуществлять своими силами, т.к. только вы и представители вашей компании знают актуальные проблемы и задачи, стоящие перед вашей организацией. Также не будут возникать проблем с конфиденциальностью информации.

Формат подготовки ТЭО

Технико-экономическое обоснование может составляться как отдельный документ, так и входить в состав других документов, например Бизнес плана.

Основное отличие ТЭО от Бизнес плана состоит в том, что Бизнес план напрямую описывает пути осуществления стратегии, целей и задач организации в контексте необходимых для реализации проектов, а ТЭО больше предназначен для обоснования конкретного проекта.

При этом, оформляться технико-экономическое обоснование может по-разному, в некоторых компаниях это краткое описание на 1-2 страницы формата А4, а в некоторых – это комплекс документов, над составлением которых работает группа выделенных специалистов или даже все подразделение.

Структура технико-экономического обоснования

Существует официальная структура Технико-экономического обоснования согласно ГОСТ 24.202-80:

Пример структуры Технико-экономического обоснования (по ГОСТ 24.202-80): · Раздел 1. Введение o Сроки начала и окончания работ; o Источники, объемы, порядок финансирования работ; o … · Раздел 2. Характеристика объекта и существующей системы управления o Общая характеристика объекта; o Перечень и характеристику недостатков в организации и управлении объектом; o Оценку производственных потерь; o Характеристику готовности объекта к созданию АСУ; o …. · Раздел 3. Цели, критерии и ограничения создания АСУ o Формулировку производственно-хозяйственных, научно-технических и экономических целей и критериев создания АСУ; o Характеристику ограничений по созданию АСУ. · Раздел 4. Функции и задачи создаваемой АСУ o … · Раздел 5. Ожидаемые технико-экономические результаты создания АСУ o Перечень основных источников экономической эффективности получаемых в результате создания АСУ; o Оценку ожидаемых затрат на создание АСУ с распределением их по очередям создания АСУ и по годам; o Ожидаемые обобщающие показатели экономической эффективности АСУ. · Раздел 6. Выводы и предложения o Выводы о производственно-хозяйственной необходимости и технико-экономической целесообразности создания АСУ; o Рекомендации по созданию АСУ.

На практике же, каждая компания готовит технико-экономическое обоснование по собственному формату, описывая лишь основные разделы ТЭО.

Можно выделить основные типовые разделы ТЭО, которые обязательно присутствуют в технико-экономическом обосновании в том или ином виде:

· Общее описание. Описывается текущее состояние предприятия, процессов. Приводится обзор рынка

· Существующие возможности. Описывается анализ имеющихся ресурсов, возможностей и ограничений: технических и организационных ограничений, сроков и бюджете проекта.

· Потенциальные возможности. Описывается анализ потенциальных возможностей и выгод, рынков сбыта и др.

· Необходимые дополнительные ресурсы. Описываются все виды затрат и ресурсов необходимых для достижения поставленных целей.

· Производственный план. Описывается план график проекта.

· Оценка эффективности и окупаемости. Описывается оценка эффективности и окупаемости, финансовый план, возврат инвестиций и др.

В случае, если Вы будете разрабатывать ТЭО по собственной структуре и формату, обязательно включите в документ типовые обязательные разделы. Формулировка разделов может быть различной, но смысловое назначение разделов должно быть отражено в итоговом документе.

 

36. Назначение и структура технического задания на проектирование АСЗИ (автоматизированной системы в защищенном исполнении).

 

Постоянное повышение эффективности и темпов развития современного бизнеса, как необходимый фактор выживания в условиях жесткой конкурентной борьбы, предъявляет все большие требования к автоматизации бизнес-процессов и, как следствие, ведет к критичной зависимости самого бизнеса от качества информационной инфраструктуры.

Ключевой бизнес-задачей корпоративной системы обеспечения информационной безопасности является обеспечение гарантий достоверности предоставляемой информации, необходимой для принятия решений, т.е. для управления бизнесом.

В соответствии с интересами бизнеса, автоматизированные системы, помимо прямых функций автоматизации – ускорения и повышения эффективности бизнес-процессов, должны выполнять необходимые требования к информационной безопасности, обеспечивая надежность автоматизированных систем, а также достоверность, доступность и конфиденциальность циркулирующих в ней данных.

Разработка и создание защищенных автоматизированных систем различного назначения соответствующих нормативным и корпоративным требованиям по защите информации сопряжено с целым комплексом организационно-режимных мероприятий и созданием корпоративной системы обеспечения информационной безопасности.

Компания «ДиалогНаука» предлагает услуги по проектированию и внедрению комплексных систем обеспечения информационной безопасности автоматизированных систем.

В качестве объекта защиты может выступать как вся система в целом, так и отдельные её компоненты, такие, как:

· интернет-портал,

· система электронного документооборота,

· почтовая подсистема,

· система ERP,

· узел доступа к сети Интернет и др.

Проектирование системы защиты предполагает выполнение цикла работ, состоящего из следующих основных этапов:

Предпроектное обследование включает в себя обследование автоматизированной системы Заказчика с целью сбора и анализа исходных данных, необходимых для проектирования комплексной системы защиты информации (КСЗИ). Сбор исходных данных осуществляется путём интервьюирования сотрудников Заказчика, анализа существующей технической документации, а также посредством использования специализированных инструментальных средств.

Этап технического проектирования системы обеспечения информационной безопасности заключается в разработке проектных решений по защите автоматизированной системы, технического задания, эскизного и технического проектов, а также рабочей и эксплуатационной документации на проектируемый комплекс защиты. Проектные решения могут базироваться как на основе уже существующих коммерческих средствах защиты, так и на специализированных решениях, разработанных или адаптированных под нужды Заказчика.

Технические требования Заказчика к системе защиты, которые, также, могут называться заданием на проектирование, являются тем первичным документом, с которого начинается работа по созданию системы безопасности объекта. Эти требования могут конкретизироваться для каждой стадии проектирования. Технические требования Заказчика достаточно часто оформляются в виде приложения к официальному приглашению для участия в тендере или в торгах на создание системы безопасности.

Документом, обобщающим исходную информацию и являющимся итогом совместной деятельности Заказчика и Исполнителя в процессе выполнения предпроектных работ, является техническое задание. Техническое задание определяет состав и структуру системы защиты, тактические и технические параметры системы и ее составляющих, алгоритм функционирования, порядок эксплуатации и обслуживания, требования к надежности, составу документации.

При разработке технического задания на систему безопасности рекомендуется руководствоваться требованиями и рекомендациями документов ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», ГОСТ 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении», Руководящим документом Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации». В том случае если Техническое задание разрабатывается на систему или подсистему информационной безопасности, в рамках СУИБ созданной по требованиям ISO 27001 или СТО БР ИББС, то в техническом задании будут учтены требования процессов информационной безопасности и требований и рекомендаций стандартов.

В настоящее время, регулирующие органы начали формировать требования к средствам, использующимся в составе систем защиты персональных данных в виде профилей защиты, разработанных в соответствии с требованиями ГОСТ ИСО/МЭК 15408. При разработке технических заданий, в которые входят такие средства, учитываются и требования профилей защиты.

При разработке технического задания обязательно учитываются следующие характеристики ИТ систем и работы бизнес-процессов Заказчика:

· Критичность защищаемых информационных систем для бизнес-процессов Заказчика;

· Требования к доступности информационных систем;

· Количество и квалификация сотрудников Заказчика, осуществляющих эксплуатацию систем Заказчика.

Техническое задание на систему защиты содержит все данные, необходимые для оценки объемов и планирования работ, связанных с последующими стадиями создания системы, и может использоваться Заказчиком в составе конкурсной документации.

Компания «ДиалогНаука» предлагает услуги по разработке технических требований и технического задания на систему безопасности. Техническое задание на систему безопасности, в общем случае, содержит следующие разделы:

· общие сведения;

· назначение и цели создания (развития) системы;

· характеристика объектов автоматизации;

· требования к системе;

· состав и содержание работ по созданию системы;

· порядок контроля и приемки системы;

· требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие;

· требования к документированию;

· источники разработки.

В зависимости от вида, назначения, специфических особенностей и условий функционирования системы, допускается оформлять отдельные разделы технического задания в виде приложений, вводить дополнительные, исключать и объединять разделы технического задания.

 

37. Содержание предпроектного обследования объекта защиты.

 

Содержание мероприятий на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе

1. Организация работ по защите информации в ходе создания и эксплуатации объектов информатизации и их систем защиты информации;

2. Выполняемые работы на предпроектной стадии по обследованию объекта информатизации;

3. Содержание аналитического обоснования необходимости создания системы защиты информации;

4. Содержание технического задания на разработку системы защиты информации;

5. Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе.

Организация работ по защите информации в ходе создания и эксплуатации объектов информатизации и их систем защиты информации

Организация работ по защите информации возлагается на руководителя организации, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации – на руководителей подразделений по защите информации (служб безопасности организации).

Организация работ по защите информации при ее обработке техническими средствами определяется специальными требованиями и рекомендациями по технической защите информации (СТР-К), действующими национальными стандартами и другими нормативно-методическими документами ФСТЭК России, ранее государственная техническая комиссия при Президенте РФ (Гостехкомиссия России).

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) системы защиты информации объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство создания объекта информатизации.

Разработка системы защиты информации может осуществляться как подразделением организации, так и другими специализированными организациями, имеющими лицензии ФСТЭК и/или ФСБ России на соответствующий вид деятельности.

В случае разработки систем защиты информации или ее отдельных компонентов специализированными организациями в организации-заказчике определяются подразделения или отдельные специалисты, ответственные за организацию и проведение мероприятий по защите информации.

Разработка и внедрение системы защиты информации осуществляется во взаимодействии разработчика со службой безопасности организации-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания системы защиты информации, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты организации работ по выявлению возможных каналов утечки информации или воздействия на нее и предупреждения утечки и нарушения целостности защищаемой информации, а также в аттестации объектов информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их системы защиты информации определены в разрабатываемом «Положении о порядке организации и проведении работ по защите конфиденциальной информации» или в приложении «К руководству по защите информации от утечки по техническим каналам на объекте» и должна предусматривать:

• Порядок определения защищаемой информации;

• Порядок привлечения подразделений организации, специализированных сторонних организаций, разработки и эксплуатации объектов информатизации и системы защиты информации, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

• Порядок взаимодействия всех занятых в этой работе организаций подразделений и специалистов;

• Порядок разработки ввода в действие и эксплуатацию объектов информатизации;

• Ответственность должностных лиц за своевременность и качество формирования требований по защите информации, а качество и научно-технический уровень разработки системы защиты информации.

В организации должен быть документально оформленный «Перечень сведений конфиденциального характера», подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого род сведениям.

Запрещается включать в «Перечень» сведения, которые запрещено относить к конфиденциальной информации в соответствии с действующим законодательством РФ.

Например, в перечень сведений конфиденциального характера можно включить:

• Сведения, раскрывающие систему, средства защиты информации локально-вычислительных сетей организации от несанкционированного доступа, а также значение действующих кодов и паролей;

• Сводный перечень работ организации на перспективу, на год, квартал;

• Сведения содержащиеся в лицевых счетах пайщиков страховых взносов;

• Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица (бухгалтерская информация);

• Основные показатели (характеристики) задания на проектирование комплекса (установки) содержащей новизну. ^Новые (ноу-хау) технологии – различные технические, коммерческие и другие сведения, оформленные в виде технической документации;

• Методические материалы, типовые технологические и конструкторские решения, разработанные организацией и использованные при проектировании;

• Требования по обеспечению сохранности служебной тайны при выполнении работ в организации;

• Порядок передачи служебной информации ограниченного распространения другим организациям.

^ Рекомендуются следующие стадии создания системы защиты информации:

1. Предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание;

2. ^ Стадия проектирования (разработки проектов), включает разработку системы защиты информации в составе объекта информатизации;

3. Стадия ввода в действие системы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствующие требования безопасности информации.

Выполняемые работы на предпроектной стадии по обследованию объекта информатизации

На предпроектной стадии по обследованию объекта информатизации выполняются следующие мероприятия:

1. Установление необходимости обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

2. Определяется перечень сведений конфиденциального характера подлежащих защите;

3. Определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;

4. Определяются условия расположения объекта информатизации относительно границ контролируемой зоны;

5. Определяются конфигурация и топология автоматизированной системы и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

6. Определяются технические средства и системы, предполагаемые к использованию в разработанной автоматизированной системе и в системах связи, темные и прикладные программы средств, имеющиеся на рынке и предполагаемые к разработке;

7. Определяются режимы обработки информации в автоматизированных системах в целом и в отдельных компонентах;

8. Определяется класс защищенности в автоматизированной системе;

9. Определяется степень участия персонала в обработке (обсуждении, передачи, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

10. Определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.

Содержание аналитического обоснования необходимости создания системы защиты информации

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания системы защиты информации.

На основе действующих нормативно-методических документов по технической защите конфиденциальной информации с учетом установленного класса защищенности автоматизированной системы задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку системы защиты информации.

Предпроектное обследование в части касающейся определения защищаемой информации должно базироваться на документально оформленного перечня сведений конфиденциального характера составленного заказчиком объекта информатизации и утверждается руководителями организации-заказчика.

^ Аналитическое обоснование необходимости создания системы защиты информации должно содержать:

1. Информационную характеристику и организационную структуру объекта информатизации;

2. Характеристику комплекса основных и вспомогательных технических средств, программное обеспечение, режимов работы, технологического процесса обработки информации;

3. Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

4. Перечень предлагаемых к использованию сертифицированных средств защиты информации;

5. Обоснование необходимости привлечения специализированных организаций, имеющие необходимые лицензии на право проведения работ по защите информации;

6. Оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации;

7. Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с главным конструктором (должностным лицом обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителями организации-заказчика.

Содержание технического задания на разработку системы защиты информации

Техническое (частное техническое) задание на разработку системы защиты информации должно содержать:

1. Обоснование разработки;

2. Исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

3. Класс защищенности автоматизированных систем;

4. Ссылку на нормативно-методические документы, с учетом которых будет разрабатываться система защиты информации и приниматься в эксплуатацию объект информатизации;

5. Требования к системе защиты информации на основе нормативно-методических документов и установленного класса защищенности автоматизированной системы;

6. Перечень предполагаемых к использованию сертифицированных средств защиты информации;

7. Обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

8. Состав, содержание и сроки проведения работ по этапам разработки и внедрения;

9. Перечень подрядных организаций-исполнителей видов работ;

10. Перечень предъявляемый заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку системы защиты информации подписывается разработчиком, согласованным со службой безопасности организации-заказчика, подрядными организациями и утверждается заказчиком.

В целях дифференцированного подхода к защите информации производится классификация автоматизированных систем по требованиям защищенности от несанкционированного доступа к информации;

Класс защищенности автоматизированных систем от несанкционированного доступа к информации устанавливается совместно заказчиком и разработчиком автоматизированной системы с привлечением специалистов по защите информации соответствующих требованиям действующих нормативно-методических документов, а также СТР-К и оформляется актом.

Пересмотр класса защищенности автоматизированных систем производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

 

38. Содержание технического рабочего проекта создания АСЗИ (автоматизированной системы в защищенном исполнении).

 

ГОСТ 34.601		Типовое содержание работ по защите информации
Стадия	Этап работы
4 Эскизный проект	4.2 Разработка документа­ции на АСЗИ и ее части	Разработка, оформление, согласование и утверждение документации по ЗИ и разделов эскизного проекта АС в части ЗИ. Экспертиза документации отчетной научно-тех­нической документации и технической документации
5 Техничес­кий проект	5.1 Разработка проектных решений по системе в целом и ее частям	Разработка СрЗИ и средств контроля. Разработка техни­ческого проекта СиЗИ и предложений по ЗИ в техничес­кий проект АСЗИ
	5.2 Разработка документа­ции на АСЗИ и ее части	Разработка рабочей документации и технического про­екта СиЗИ АС. Разработка разделов технической докумен­тации по ЗИ и/или отдельных документов по ЗИ в АС. Уча­стие в экспертизе документации АСЗИ
	5.3 Разработка и оформле­ние документации на постав­ку изделий для комплектова­ния АСЗИ	Подготовка и оформление технической документации на поставку ТС и ПС для АС и СиЗИ. Поставка СрЗИ. Испы­тания СрЗИ. Сертификация СрЗИ и СиЗИ на соответствие требованиям по безопасности информации. Специсследо­вания (спецпроверки) приобретенных ТС. Тестирование ПС. Экспертиза
	5.4 Разработка заданий на проектирование в смежных частях проекта объекта автома­тизации	Проектирование помещений АС с учетом требований НД по защите информации
6 Рабочая документация	6.1 Разработка рабочей до­кументации на систему в це­лом и ее части	Участие в разработке рабочей конструкторской докумен­тации АС в части учета требований по ЗИ. Разработка рабо­чей конструкторской документации СиЗИ. Участие в экс­пертизе рабочей конструкторской документации
	6.2 Разработка или адапта­ция программ	Разработка ПС АСЗИ, программных СрЗИ. Тестирова­ние ПС. Сертификация ПС по требованиям безопасности информации
7 Ввод в дей­ствие	7.1 Подготовка АСЗИ к вводу в действие	Реализация проектных решений по организационной структуре СиЗИ АС и процесса. Требования к организаци­онным мерам ЗИ
	7.2 Подготовка персонала	Проверка способности персонала обеспечивать функци­онирование АСЗИ и СиЗИ. Проверка специалистов службы безопасности АС по обслуживанию СиЗИ
	7.3 Комплектация АС по­ставляемыми изделиями (ПС и ТС)	Получение комплектующих изделий для СиЗИ. Провер­ка качества поставляемых комплектующих изделий
	7.4 Строительно-монтаж­ные работы	Участие в работах по надзору за выполнением требова­ний по ЗИ строительными организациями. Участие в испы­таниях ТС по вопросам ЗИ. Проведение специсследований ТС
	7.5 Пуско-наладочные ра­боты	Проведение автономных наладок технических и про­граммных СрЗИ, загрузка информации в базу данных и ее проверка. Участие в комплексной наладке всех средств АС с точки зрения обеспечения ЗИ

Окончание таблицы А. 1

ГОСТ 34.601		Типовое содержание работ по защите информации
Стадия	Этап работы
7 Ввод в дей­ствие	7.6 Проведение предвари­тельных испытаний	Испытание СиЗИ на соответствие требованиям. Устра­нение недостатков СрЗИ и СиЗИ. Внесение изменений в документацию на СиЗИ. Участие в испытаниях АСЗИ. Про­ведение специсследований ТС. Аттестация АСЗИ
	7.7 Проведение опытной эксплуатации	Эксплуатация СиЗИ. Анализ, доработка, наладка СиЗИ. Акт о завершении опытной эксплуатации СиЗИ. Участие в опытной эксплуатации АСЗИ. Анализ и предложения по доработке АСЗИ
8 Сопровож­дение АСЗИ	8.1 Выполнение работ в соответствии с гарантийными обязательствами	Устранение недостатков по ЗИ в процессе функциони­рования АСЗИ. Внесение изменений в документацию АС в части вопросов ЗИ. Проведение инспекционного контроля за стабильностью характеристик АСЗИ
	8.2 Послегарантийное об­служивание	Анализ функционирования СиЗИ в АСЗИ. Установле­ние причин невыполнения требований по ЗИ в АСЗИ. Вы­явление недостатков. Устранение недостатков в СиЗИ АСЗИ по гарантийным обязательствам. Внесение изменений в документацию на АСЗИ. Контроль состояния ЗИ в АС в защищенном исполне­нии

 

39. Характеристика этапа апробации и ввода в эксплуатацию АСЗИ (автоматизированной системы в защищенном исполнении).

 

На предпроектной стадии по обследованию объекта информа­ тизации:

•устанавливается необходимость обработки информации огра­ ниченного доступа в АС, подлежащей разработке, ее вид, степень конфиденциальности и объемы;

•определяются режимы обработки этой информации, комп­ лекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, пред­ полагаемые к использованию в разрабатываемой АС;

•определяется категория СВТ;

•определяется класс АС;

•определяется степень участия персонала АС в обработке (пе­ редаче, хранении, обсуждении) информации, характер их взаимо­ действия между собой и с подразделениями защиты информации;

•оценивается возможность использования имеющихся на рынке сертифицированных средств зашиты информации;

•определяются мероприятия по защите информации ограни­ ченного доступа на стадии разработки АС;

•на основе действующих государственных нормативных доку­ ментов по защите информации с учетом установленных катего­ рии СВТ и класса защищенности АС задаются конкретные требо­ вания к СЗИ АС, включаемые в раздел ТЗ на создание АС по разработке СЗИ.

Результаты предпроектного обследования в части оценки уровня конфиденциальности и ценности защищаемой информации ба­ зируются только на документально оформленных перечнях сведе­ ний, составляющих государственную, коммерческую тайну или иную охраняемую законом тайну. Наличие таких перечней явля­ ется необходимым, но недостаточным условием для решения воп­ роса об уровне конфиденциальности информации, обрабатывае­ мой в АС. В целях решения этого вопроса следует проанализиро­ вать структуру информационного обеспечения системы, необхо­ димость наличия в ней защищаемых сведений, объемы и формы представления информации для пользователей.

Степень конфиденциальности обрабатываемой информации определяется заказчиком АС и документально, за подписью соот­ ветствующего руководителя, предоставляется разработчику СЗИ.

Предпроектное обследование может быть поручено специали­ зированному предприятию, имеющему лицензию на этот вид де­ ятельности, но и в этом случае анализ информационного обеспе­ чения в части информации ограниченного доступа целесообразно выполнять представителями предприятия-заказчикапри методи­ ческой помощи специализированного предприятия. На основа­ нии результатов предпроектного обследования разрабатываются

аналитическое обоснование необходимости создания СЗИ и раз­ дел ТЗ на их разработку.

В аналитическом обосновании необходимости создания СЗИ должны быть:

•информационная характеристика и организационная струк­ тура объекта информатизации;

•характеристика комплекса основных и вспомогательных тех­ нических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

•возможные каналы утечки информации и перечень меропри­ ятий по их устранению и ограничению;

•предлагаемые к использованию сертифицированные средства зашиты информации;

•оценка материальных, трудовых и финансовых затрат на раз­ работку и внедрение СЗИ;

•ориентировочные сроки разработки и внедрения СЗИ;

•обоснование необходимости привлечения специализирован­ ных предприятий для разработки СЗИ;

•перечень мероприятий по защите информации ограниченно­ го доступа на стадии разработки АС.

Раздел (технического задания на создание АС), касающийся разработки СЗИ, должен содержать:

•основание для разработки;

•исходные данные создаваемой АС в техническом, программ­ ном, информационном и организационном аспектах;

•категорию СВТ;

•класс защищенности АС;

•ссылку на государственные нормативные документы, с уче­ том которых будет разрабатываться СЗИ и аттестоваться АС;

•конкретизацию требований к СЗИ на основе государствен­ ных нормативных документов и установленных категории и клас­ са защищенности;

•перечень предполагаемых к использованию сертифицирован­ ных средств защиты информации;

•обоснование проведения разработок собственных средств за­ щиты информации, невозможности и нецелесообразности исполь­ зования имеющихся на рынке сертифицированных средств защи­ ты информации;

•состав и содержание работ по этапам разработки и внедре­ ния, сроки и объемы финансирования работ;

•перечень предъявляемых заказчику научно-техническойпро­ дукции и документации.

Важным в экономическом отношении является принятие ре­ шения о выборе из имеющихся на рынке сертифицированных средств защиты информации или о разработке специальных средств собственными силами.

Для правильного выбора средств защиты информации произ­ водятся категорирование средств и систем вычислительной тех­ ники и классификация АС, предназначенных для обработки, пе­ редачи и хранения секретной информации.

На стадии проектирования АС и СЗИ в составе предъявляемых

ксистеме требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осу­ ществляются:

•разработка задания и проекта на строительство или реконст­ рукцию объекта информации в соответствии с требованиями ТЗ на разработку СЗИ;

•разработка раздела технического проекта на АС в части СЗИ;

•строительно-монтажныеработы по оборудованию объекта информатизации в соответствии с проектной документацией, утвержденной заказчиком;

•разработка организационно-техническихмероприятий по за­ щите объекта информатизации в соответствии с предъявляемыми требованиями;

•закупка сертифицированных серийно выпускаемых в защи­ щенном исполнении технических средств обработки, передачи и хранения информации;

•закупка и специальные исследования на побочные электро­ магнитные излучения и наводки несертифицированных средств с выдачей предписаний на их эксплуатацию (или сертификацию отдельных образцов импортной ВТ; сертификацию проводят спе­ циально аккредитованные сертификационные центры);

•специальная проверка импортных технических средств на предмет возможно внедренных в них специальных электронных устройств (закладок);

•размещение и монтаж технических средств АС;

•закупка сертифицированных серийно выпускаемых техниче­ ских и программных (в том числе криптографических) СЗИ и их адаптация;

•разработка и последующая сертификация программных СЗИ

вслучае, когда на рынке отсутствуют требуемые программные средства;

•объектовые исследования технических средств АС на побоч­ ные электромагнитные излучения и наводки с целью определения соответствия установленной категории для этих технических средств;

•монтаж средств активной защиты в случае, когда по результа­ там специальных или объектовых исследований технических средств не выполняются нормы защиты информации для уста­ новленной категории этих технических средств;

•организация охраны и физической защиты объекта информа­ тизации и отдельных технических средств;

•разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала АС к обрабатыва­ емой информации, оформляемой в виде раздела «Положение о разрешительной системе допуска исполнителей к документам и сведениям в учреждении»;

•определение заказчиком подразделений и лиц, ответствен­ ных за эксплуатацию СЗИ, обучение назначенных лиц специфи­ ке работ по защите информации на стадии эксплуатации АС;

•выполнение генерации пакета прикладных программ в комп­ лексе с программными средствами защиты информации;

•разработка организационно-распорядительнойи рабочей до­ кументации по эксплуатации АС в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций

идругих документов).

Для эффективной и надежной в плане обеспечения безопасно­ сти информации работ АС необходимо правильно организовать разрешительную систему доступа пользователей к информации в АС, т.е. предоставить пользователям право работать с той ин­ формацией, которая необходима им для выполнения функцио­

нальных обязанностей, установить их полномочия по доступу к информации. Это означает, что необходимо определить и офор­ мить порядок установления уровня полномочий пользователей, а также круга лиц, которым это право предоставлено, установить правила разграничения доступа, регламентирующие права досту­ па субъектов к объектам, т.е. не только кто из пользователей АС и их программ допускается к тем или иным программам, файлам, записям, но и какие действия при этом они могут осуществлять.

Все это оформляется службой защиты информации или адми­ нистратором АС в виде матрицы доступа или иных правил разгра­ ничения доступа.

Среди организационных мероприятий по обеспечению без­ опасности информации — охрана объекта, на котором располо­ жена защищаемая АС (территория, здания, помещения, хранили­ ща информационных носителей), путем установления соответству­ ющих постов технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющи­ ми хищение СВТ, информационных носителей, а также НДС к СВТ и линиям связи.

Следует отметить, что в последнее время в направлении физи­ ческой защиты помещений, самих СВТ, информационных носи­ телей наблюдается смещение в сторону использования в этих це­ лях средств защиты, основанных на новых принципах. Например, доступ в помещение разрешается и контролируется с помощью АС, оконечными устройствами которой являются различного рода терминалы, использующие средства аутентификации на различ­ ных физических принципах, с чьей помощью осуществляются разграничение доступа в помещение, вход в систему и т.д.

На стадии ввода в действие АС и СЗИ в ее составе осуществля­ ются:

•опытная эксплуатация разработанных или адаптированных средств защиты информации в комплексе с прикладными про­ граммами в целях проверки их работоспособности и отработки технологического процесса обработки информации;

•приемочные испытания СЗИ по результатам опытной экс­ плуатации с оформлением приемо-сдаточногоакта, подписывае­ мого разработчиком (поставщиком) и заказчиком;

•аттестация АС по требованиям безопасности информации, которая производится аккредитованным в установленном поряд­ ке органом по аттестации в соответствии с «Положением по атте­ стации объектов информатики по требованиям безопасности ин­ формации», действующим в системе сертификации продукции и аттестации объектов информатики, работающей под управлением

ФСТЭК России.

При положительных результатах аттестации владельцу АС вы­ дается «Аттестат соответствия АС требованиям безопасности информации». Эксплуатация АС осуществляется в соответствии с утвержденной организационно-распорядительнойи эксплуатаци­ онной документацией, предписаниями на эксплуатацию техни­ ческих средств.

Технология обработки информации в АС различна и зависит от используемых СВТ, программных средств, режимов работы. Не вдаваясь в особенности технологического процесса, обуслов­ ленные различиями в технике, программном обеспечении и дру­ гими причинами, можно констатировать, что основной характер­ ной особенностью, связанной с обработкой секретной или иной подлежащей защите информации, является функционирование системы зашиты информации от НСД как комплекса програм­ мно-техническихсредств и организационных решений, предус­ матривающей учет, хранение и выдачу пользователям информа­ ционных носителей, паролей, ключей, ведение служебной инфор­ мации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функ­ ционированием СЗИ, контроль соответствия общесистемной про­ граммной среды эталону и приемку включаемых в АС новых про­ граммных средств, контроль за ходом технологического процесса обработки информации путем регистрации анализа действий пользователей, сигнализации опасных событий.

Перечисленные составляющие являются функциональной на­ правленностью службы безопасности информации, администра­ тора АС и фиксируются, с одной стороны, в положениях об этих службах и общей организационной документации по обеспече­ нию безопасности информации («Положение о порядке органи­ зации и проведения на предприятии работ по защите информа­ ции в АС», «Инструкция по защите информации, обрабатывае­ мой в АС предприятия», разделе «Положения о системе допуска исполнителей к документам и сведениям на предприятии», опре­ деляющим особенности системы допуска в процесс разработки и функционирования АС), а с другой стороны, в проектной доку­ ментации СЗИ НСД (инструкциях администратору АС, службе безопасности информации, пользователю АС).

Следует отметить, что без надлежащей организационной под­ держки программно-техническихсредств защиты информации от НСД и точного выполнения предусмотренных проектной доку­ ментацией процедур в должной мере не решить проблему обеспе­ чения безопасности информации в АС.

Контроль состояния эффективности зашиты информации осу­ ществляется подразделениями по защите информации службы безопасности предприятия-заказчикаи заключается в проверке выполнения требования нормативных документов по защите ин­ формации, а также в оценке обоснованности и эффективности мер.

­

 

40. Содержание технического задания и аналитического обоснования при создании АСЗИ (автоматизированной системы в защищенном исполнении).

 

 

41. Аттестация АС по требованиям ИБ.

 

 

42. Разработка модели АСЗИ (автоматизированной системы в защищенном исполнении).

 

 

43. Структурный (функционально-модульный) подход к анализу и проектированию защищённых АС.

 

 

44. Объектно-ориентированный подход к анализу и проектированию защищённых АС.

 

 

45. Материально-техническое и нормативно-методическое обеспечение функционирования КСЗИ.

 

 

46. Сущность и содержание контроля функционирования АСЗИ. Условия функционирования АСЗИ (автоматизированной системы в защищенном исполнении).

 

 

47. Определение состава носителей защищаемой информации при создании АСЗИ (автоматизированной системы в защищенном исполнении).

 

 

48. Определение потенциальных каналов и методов несанкционированного доступа к информации при создании АСЗИ (автоматизированной системы в защищенном исполнении).

 

 

49. Кадровое обеспечение функционирования АСЗИ (автоматизированной системы в защищенном исполнении). Разработка нормативных документов, регламентирующих деятельность персонала по защите информации.

 

 

50. Задачи планирования функционирования АСЗИ (автоматизированной системы в защищенном исполнении). Виды контроля функционирования АСЗИ.

 

 

51. Методы оценки технической и экономической эффективности АСЗИ (автоматизированной системы в защищенном исполнении). Критерии эффективности АСЗИ.

 

 

52. Содержание и особенности метода экспертных оценок АСЗИ (автоматизированной системы в защищенном исполнении).

 

 

53. Качественные и количественные показатели защищённости (эффективности) АС.

 

 

54. Метод оценки эффективности на основе структурных опросников.

 

 

55. Методы и методики оценки качества АСЗИ (автоматизированной системы в защищенном исполнении).

 

 

56. Метод оценки уязвимости информации Хоффмана.

 

 

57. Защита от утечки информации в сети по техническим каналам.

 

 

58. Технические и программные средства защиты информации в АС.

 

 

59. Проблемы безопасности IP-сетей. Сетевые атаки и их предназначение.

 

 

60. Атаки на уровне приложений и меры по снижению их уязвимости.

 

---

Дата добавления: 2019-07-15; просмотров: 5331; Мы поможем в написании вашей работы!

Поделиться с друзьями:

---

---

Мы поможем в написании ваших работ!