Учебное пособие 800354
.pdf
|
Разработ- |
2.5.Разраб |
Разработка |
требований |
||||
|
ка техни- |
отка и ут- |
по ЗИ в раздел ТЗ (ЧТЗ) |
|||||
|
ческого |
верждение |
на создание СЗИ (ИТКС |
|||||
|
задания |
техниче- |
|
в защищенном исполне- |
||||
|
|
ского |
за- |
нии). |
|
Разработка, |
||
|
|
дания |
на |
оформление, |
согласова- |
|||
|
|
создание |
|
ние и утверждение |
ТЗ |
|||
|
|
СЗИ |
|
|
(ЧТЗ). |
|
|
|
|
|
(ИТКС |
|
в |
|
|
|
|
|
|
защищен- |
|
|
|
|
||
|
|
ном |
ис- |
|
|
|
|
|
|
|
полнении) |
|
|
|
|
||
|
Эскизное |
2.6.Разработ |
Разработка |
предвари- |
||||
|
проекти- |
ка предва- |
тельных |
проектных |
ре- |
|||
|
рование |
рительных |
шений СЗИ. Технико- |
|||||
|
|
проектных |
экономическое обосно- |
|||||
|
|
решений |
по |
вание |
эффективности |
|||
|
|
системе |
|
в |
вариантов системы |
ЗИ. |
||
|
|
целом и |
ее |
Разработка ТЗ на сред- |
||||
|
|
частям |
|
|
ства ЗИ и средства кон- |
|||
|
|
|
|
|
троля |
эффективности |
||
|
|
|
|
|
ЗИ. Разработка требова- |
|||
|
|
|
|
|
ний на средства ЗИ и |
|||
|
|
|
|
|
средства |
контроля |
эф- |
|
|
|
|
|
|
фективности |
ЗИ |
в |
|
|
|
|
|
|
ИТКС. |
|
|
|
80
|
Техниче- |
2.7.Разраб |
Разработка, оформление, |
||||||||
|
ское про- |
отка |
до- |
согласование |
и |
утвер- |
|||||
|
ектирова- |
кумента- |
ждение |
|
документации |
||||||
|
ние |
ции |
на |
по ЗИ и разделов эскиз- |
|||||||
|
|
СЗИ |
и ее |
ного проекта СЗИ в час- |
|||||||
|
|
части |
|
ти ЗИ. Экспертиза доку- |
|||||||
|
|
|
|
ментации |
отчетной на- |
||||||
|
|
|
|
учно-технической доку- |
|||||||
|
|
|
|
ментации и технической |
|||||||
|
|
|
|
документации |
|
|
|
||||
|
|
|
|
||||||||
|
|
2.8.Разраб |
Разработка средств ЗИ и |
||||||||
|
|
отка |
про- |
средств контроля. Раз- |
|||||||
|
|
ектных |
работка |
|
технического |
||||||
|
|
решений |
проекта |
системы |
ЗИ |
и |
|||||
|
|
по системе |
предложений |
по |
ЗИ |
в |
|||||
|
|
в целом и |
технический проект СЗИ |
||||||||
|
|
ее частям |
(ИТКС |
в |
|
защищенном |
|||||
|
|
|
|
исполнении) |
|
|
|
||||
|
|
|
|
|
|||||||
|
|
2.9.Разраб |
Разработка |
рабочей до- |
|||||||
|
|
отка |
до- |
кументации |
и |
техниче- |
|||||
|
|
кумента- |
ского |
проекта |
системы |
||||||
|
|
ции |
на |
ЗИ (ИТКС в защищен- |
|||||||
|
|
СЗИ |
и ее |
ном исполнении). Разра- |
|||||||
|
|
части |
|
ботка разделов техниче- |
|||||||
|
|
|
|
ской |
документации |
по |
|||||
|
|
|
|
ЗИ и/или отдельных до- |
|||||||
|
|
|
|
кументов по ЗИ. Уча- |
|||||||
|
|
|
|
стие в экспертизе доку- |
|||||||
|
|
|
|
ментации СЗИ. |
|
|
|||||
81
|
|
2.10.Разра |
Подготовка и |
оформле- |
||||||
|
|
ботка |
и |
ние |
технической |
доку- |
||||
|
|
оформле- |
ментации |
на |
поставку |
|||||
|
|
ние |
доку- |
технических |
и |
|
про- |
|||
|
|
ментации |
граммных |
средств |
для |
|||||
|
|
на постав- |
ИТКС и системы ЗИ. |
|||||||
|
|
ку |
изде- |
Поставка |
средств |
|
ЗИ. |
|||
|
|
лий |
|
для |
Испытания |
средств |
ЗИ. |
|||
|
|
комплек- |
Сертификация |
средств |
||||||
|
|
тования |
ЗИ и системы ЗИ на со- |
|||||||
|
|
СЗИ |
|
|
ответствие |
требованиям |
||||
|
|
(ИТКС |
в |
по безопасности инфор- |
||||||
|
|
защищен- |
мации. Специсследова- |
|||||||
|
|
ном |
|
ис- |
ния (спецпроверки) при- |
|||||
|
|
полнении) |
обретенных технических |
|||||||
|
|
|
|
|
средств. |
Тестирование |
||||
|
|
|
|
|
программных |
средств. |
||||
|
|
|
|
|
Экспертиза |
|
|
|
||
|
|
2.11.Разра |
Проектирование |
поме- |
||||||
|
|
ботка |
за- |
щений для ИТКС в за- |
||||||
|
|
даний |
на |
щищенном |
исполнении |
|||||
|
|
проекти- |
с |
учетом |
требований |
|||||
|
|
рование в |
нормативных |
докумен- |
||||||
|
|
смежных |
тов по защите информа- |
|||||||
|
|
частях |
|
ции. |
|
|
|
|
||
|
|
проекта |
|
|
|
|
|
|
||
|
|
объекта |
|
|
|
|
|
|
||
|
|
автомати- |
|
|
|
|
|
|
||
|
|
зации |
|
|
|
|
|
|
|
|
82
|
Разработ- |
2.12.Разра |
Участие |
в |
разработке |
||||
|
ка рабочей |
ботка |
ра- |
рабочей |
|
конструктор- |
|||
|
докумен- |
бочей |
до- |
ской документации СЗИ |
|||||
|
тации |
кумента- |
|
(ИТКС) в части учета |
|||||
|
|
ции |
на |
требований по ЗИ. Раз- |
|||||
|
|
систему |
в |
работка рабочей |
конст- |
||||
|
|
целом и ее |
рукторской |
документа- |
|||||
|
|
части |
|
|
ции системы ЗИ. Уча- |
||||
|
|
|
|
|
стие в экспертизе рабо- |
||||
|
|
|
|
|
чей |
конструкторской |
|||
|
|
|
|
|
документации. |
|
|||
|
|
2.13.Разра |
Разработка |
программ- |
|||||
|
|
ботка |
или |
ных средств для СЗИ. |
|||||
|
|
адаптация |
Тестирование |
про- |
|||||
|
|
программ |
|
граммных средств. Сер- |
|||||
|
|
|
|
|
тификация |
программ- |
|||
|
|
|
|
|
ных средств по требова- |
||||
|
|
|
|
|
ниям |
безопасности ин- |
|||
|
|
|
|
|
формации |
|
|
|
|
Ввод |
|
3.1.Подгот |
Реализация |
проектных |
|||||
в дей- |
|
овка |
СЗИ |
решений по организаци- |
|||||
ствие |
|
(ИТКС |
в |
онной |
структуре |
систе- |
|||
|
|
защищен- |
мы ЗИ. Требования к |
||||||
|
|
ном |
ис- |
организационным мерам |
|||||
|
|
полнении) |
ЗИ |
|
|
|
|
||
|
|
к вводу |
в |
|
|
|
|
|
|
|
|
действие |
|
|
|
|
|
|
|
|
|
3.2.Подгот |
Проверка |
|
способности |
||||
|
|
овка |
пер- |
персонала |
|
обеспечить |
|||
|
|
сонала |
|
функционирование СЗИ |
|||||
|
|
|
|
|
и ИТКС в защищенном |
||||
|
|
|
|
|
исполнении. |
|
|||
|
|
|
|
|
Проверка |
специалистов |
|||
83
|
|
|
службы |
безопасности |
|||
|
|
|
ИТКС (объектов ин- |
||||
|
|
|
форматизации) по об- |
||||
|
|
|
служиванию СЗИ. |
|
|||
|
|
3.3.Компл |
Получение |
|
комплек- |
||
|
|
ектация |
тующих |
изделий |
для |
||
|
|
СЗИ |
системы ЗИ. |
|
|
|
|
|
|
(ИТКС) |
Проверка |
качества |
по- |
||
|
|
постав- |
ставляемых |
|
комплек- |
||
|
|
ляемыми |
тующих изделий |
|
|||
|
|
изделиями |
|
|
|
|
|
|
|
(про- |
|
|
|
|
|
|
|
граммны- |
|
|
|
|
|
|
|
ми и тех- |
|
|
|
|
|
|
|
ническими |
|
|
|
|
|
|
|
средства- |
|
|
|
|
|
|
|
ми) |
|
|
|
|
|
|
|
3.4.Строит |
Участие |
в |
работах |
по |
|
|
|
ельно- |
надзору за выполнением |
||||
|
|
монтаж- |
требований |
|
по |
ЗИ |
|
|
|
ные рабо- |
строительными |
органи- |
|||
|
|
ты |
зациями. Участие в ис- |
||||
|
|
|
пытаниях |
технических |
|||
|
|
|
средств по вопросам ЗИ. |
||||
|
|
|
Проведение |
специссле- |
|||
|
|
|
дований |
|
технических |
||
|
|
|
средств |
|
|
|
|
|
|
3.5.Пуско- |
Проведение автономных |
||||
|
|
наладоч- |
наладок |
технических и |
|||
|
|
ные рабо- |
программных |
средств |
|||
|
|
ты |
ЗИ, загрузка информа- |
||||
|
|
|
ции в базу данных и ее |
||||
|
|
|
проверка. |
Участие |
в |
||
84
комплексной наладке всех средств ИТКС с точки зрения обеспечения ЗИ
Организации-участники работ по созданию СЗИ (ИТКС в защищенном исполнении) должны иметь лицензии на право проведения работ в области защиты информации. Лицензирование организаций и предприятий осуществляется в установленном порядке.
Для создания ИТКС могут применяться как се-
рийно выпускаемые, так и вновь разработанные техни-
ческие и программные средства обработки информации,
а также технические, программные, программно-
технические, шифровальные средства ЗИ и средства для
контроля эффективности. Выпускаемые средства долж-
ны иметь сертификаты соответствия, полученные в со-
ответствующих системах сертификации по требованиям
безопасности информации.
Вновь разработанные средства должны быть сертифицированы в установленном порядке до начала опытной эксплуатации ИТКС.
Процесс создания и применения СЗИ должен быть документирован в полном соответствии с требованиями
85
ГОСТ 34.201, в том числе и нормативных документов по защите обрабатываемой информации.
Заказчик, собственник и владелец ИТКС, а также организации-участники создания ИТКС несут ответственность за обеспечение защиты обрабатываемой информации в ИТКС и выполняемые работы по ЗИ на всех стадиях создания ИТКС.
Технические, программные и программнотехнические средства защиты информации специального применения создаются разработчиком ИТКС. Конструкторская документация на их изготовление включается в состав документации на ИТКС отдельными документами или разделами основных документов.
За обеспечение создания ИТКС несут ответствен-
ность:
-заказчик - в части включения в ТЗ (ЧТЗ) на ИТКС
иее компонентов, а также в техническую, программную, конструкторскую и эксплуатационную документацию обоснованных требований по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как ИТКС в целом, так и ее компонентов;
-предприятие - разработчик - в части обеспечения соответствия разрабатываемой ИТКС и системы ЗИ требованиям ТЗ по защите обрабатываемой информации, действующим стандартам, нормам и другим нормативным документам;
-предприятие - изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и программной продукции заданным требованиям по защите обрабатываемой информации, реализованным в конструкторской и программной документации.
86
Общее руководство работами по ЗИ при создании ИТКС в целом осуществляет главный конструктор ИТКС или его заместители, а при создании компонентов ИТКС - главные конструктора этих компонентов или их заместители.
Ввод ИТКС в эксплуатацию осуществляется только после выполнения всех мероприятий по ЗИ и проведения испытаний испытательным центром (лабораторией) на соответствие требованиям нормативных документов по защите информации ее аттестации на соответствие требованиям безопасности информации.
В случае, когда для создания новой ИТКС необходимо провести исследования по изысканию новых технических решений, предварительно может проводиться одна или цикл НИР и опытно-конструкторских работ (ОКР).
Возможно объединение НИР и ОКР, если необходимо ускорить процесс разработки, то есть ставится НИОКР, в ходе которой отрабатываются требования к ИТКС, в том числе к СЗИ в ИТКС, определяются целесообразные технические решения по защите информации. По результатам НИОКР разрабатывается ТЗ на создание ИТКС. Если проводится НИР, ОКР или НИОКР, то говорят, что имеет место полный цикл разработки ИТКС в защищенном исполнении. В ходе НИР исследуются возможные и целесообразные способы защиты информации и отрабатывается ТЗ на ОКР по созданию элементов ИТКС в защищенном исполнении и специализированных средств защиты информации для данной ИТКС. При этом в НИР или, если НИР не ставится, то в ходе работ по созданию ИТКС в защищенном исполнении, наряду с вопросами построения самой ИТКС:
87
анализируются потоки информации в ИТКС и определяется информация, составляющая государственную и другие виды тайны;
определяются элементы ИТКС, где циркулирует информация, составляющая государственную тайну;
проводится анализ ее уязвимых звеньев с точки зрения защиты информации;
определяются возможные угрозы безопасности информации, оценивается опасность этих угроз и выбираются актуальные из них. Выделяются угрозы утечки информации, составляющей государственную тайну;
применительно к выбранным угрозам формулируются задачи и обосновываются требования по защите информации, которые необходимо предъявить к ИТКС;
определяется стратегия защиты информации, с помощью которой можно реализовать обоснованные требования;
формируются возможные меры безопасности информации, реализуемые административными мерами администратора сети;
определяются эффективные и целесообразные по критерию "эффективность-стоимость" дополнительные способы защиты информации от выбранных угроз;
анализируется возможность реализации способов защиты с привлечением ранее разработанных программных и программно-аппаратных средств, определяется необходимость разработки нового программного обеспечения;
88
определяются основные вопросы управления защитой информации.
Рассмотрим более подробно каждый из этих аспектов.
Анализ потоков информации в ИТКС и определение информации, составляющей государственную и другие виды тайн, проводится на основе перечней сведений, составляющих эти виды тайн, при этом основное внимание уделяется сведениям, составляющим государственную тайну. В результате анализа устанавливается, есть в информации, циркулирующей в ИТКС, сведения, составляющие тот или иной вид тайны. Особое внимание при этом уделяется сведениям, составляющим государственную тайну. Дело в том, что к элементам ИТКС, в которых циркулирует информация, составляющая государственную тайну, предъявляются специальные требования по защите. Эти элементы выделяются в отдельный перечень, а затем и в отдельную подсистему, отделенную от других элементов ИТКС, и для них формируется в последующем своя подсистема защиты информации, отделенная от системы защиты информации, составляющей другие виды тайн.
Наиболее сложным и существенным для защиты информации в ИТКС является анализ уязвимых звеньев ИТКС и определение возможных угроз безопасности информации. При этом анализируются следующие исходные данные об ИТКС:
назначение и выполняемые функции каждым элементом ИТКС;
состав и назначение аппаратных и программных средств;
89