- •1 Комплексная защита информации
- •1.1 Правовая защита информации
- •1.2 Организационная защита объектов информатизации
- •2.1 Подготовка организационно-распорядительной документации
- •2.2 Обследование информационной инфраструктуры Заказчика
- •2.3 Разработка «Плана защиты информации»
- •2.4 Разработка «Технического задания на создание ксзи»
- •2.5 Разработка «Технического проекта на создание ксзи»
- •2.6 Приведение информационной инфраструктуры Заказчика в соответствие с «Техническим проектом на создание ксзи»
- •2.7 Разработка «Эксплуатационной документации на ксзи»
- •2.8 Внедрение ксзи
- •2.9 Испытание ксзи
- •2.10 Проведение экспертизы ксзи и получение «Аттестата соответствия»
- •2.11 Поддержка и обслуживание ксзи
2.7 Разработка «Эксплуатационной документации на ксзи»
На этом этапе Исполнитель КСЗИ создаёт пакет документов «Эксплуатационная документация на КСЗИ», который включает:
- инструкции эксплуатации КСЗИ и её элементов;
- процедуры регламентного обслуживания КСЗИ;
- правила и положения по проведению тестирования и анализа работы КСЗИ.
По окончании разработки, при её утверждении мы можем перейти непосредственно к построению системы защиты информации.
2.8 Внедрение ксзи
На этом этапе Исполнитель (или Подрядчик под авторским надзором Исполнителя) проводит все пусконаладочные работы, обучает и инструктирует персонал Заказчика правилам и режимам эксплуатации КСЗИ.
После реализации этого этапа внедренная КСЗИ готова к последующему испытанию.
2.9 Испытание ксзи
На этом этапе Заказчик при активной поддержке Исполнителя проводит предварительные испытания КСЗИ, с целью подтверждения результативности её работы и соответствия положениям, определённым в «Техническом задании на создание КСЗИ».
В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ.
По результату испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу.
2.10 Проведение экспертизы ксзи и получение «Аттестата соответствия»
На этом этапе Контролирующий орган назначает Организатора государственной экспертизы, который проводит независимый анализ (экспертизу) соответствия КСЗИ требованиям, изложенным в документе «Техническое задание на создание КСЗИ», нормативной документации по технической защите информации, а также определяет возможность введения КСЗИ в промышленную эксплуатацию.
Привлечение независимого эксперта (Организатора экспертизы) к проведению государственной экспертизы повышает объективность оценки проведенных работ и уменьшает риск нарушений и злоупотреблений в сфере защиты информации.
Любая организация, входящая в Реестр Организаторов экспертиз в сфере ТЗИ, может проводить экспертизы вновь созданных КСЗИ или КСЗИ, «Аттестат соответствия» на которые необходимо продлевать. Реестр Организаторов экспертиз ведет Контролирующий орган.
Контролирующий орган по результатам проведения государственной экспертизы КСЗИ выдаёт документ «Аттестат соответствия», подтверждающий качество и надёжность построенной КСЗИ.
«Аттестат соответствия» является обязательным для ввода КСЗИ в промышленную эксплуатацию.
После успешного запуска и функционирования КСЗИ остаётся лишь поддерживать её работоспособность и уровень защиты.
2.11 Поддержка и обслуживание ксзи
На этом этапе Исполнитель может проводить авторский надзор и оказывать консультационную помощь Заказчику в эксплуатации КСЗИ, анализе её работы, выработке рекомендаций, и, при необходимости, её модернизации и развитии.
ЗАКЛЮЧЕНИЕ
На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.
Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее, она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Грибунин В.Г. Политика безопасности: разработка и реазизация//«Информационная безопасность», 2005, №1.
Демин В., Свалов В. Правовое обеспечение системы защиты информации напредприятии
Домарев В.В. Безопасность информационных технологий. Системный подход. — К.: ООО ТИД «Диасофт», 2004. — 992 с.
Торокин А.А. «Основы инженерно-технической защиты информации». – М.:
Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист,1996.
Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов.М.: Академический Проект; Фонд «Мир», 2003, 640 стр
Защита информации. Термины и определения.
http://www.itiss.ru/information-security/documents/239-information-protection-terms-and-definitions
Гришина Н. В. Комплексные системы защиты информации
http://www.dltens.ru/kszi1.html