Yazov_ITKS
.pdf
|
|
|
|
|
|
|
Продолжение табл. 2.1 |
|
По ГОСТ 34.601 |
|
|
|
|
|
|
Стадия |
Направлен- |
Этапы работы |
|
Типовое содержание работ по защите информации |
|||
|
ность работ |
|
|
|
|
|
|
|
|
1.3.Оформление |
Разработка предложений по ЗИ в виде отчетной доку- |
||||
|
|
отчета |
о |
выпол- |
ментации. Оформление отчета о выполненных работах |
||
|
|
няемой работе и |
по ЗИ на данных стадиях. Оформление предложений по |
||||
|
|
заявки на разра- |
ЗИ в заявку на разработку СЗИ. Формирование предло- |
||||
|
|
ботку СЗИ |
|
жений по ЗИ в ТЗ на СЗИ |
|||
2. Разработка |
Разработка |
2.1.Дополнитель |
Уточнение условий эксплуатации ИТКС и СЗИ и кате- |
||||
проекта СЗИ |
концепции |
ное |
|
изучение |
горий важности обрабатываемой информации. Уточне- |
||
(проектная |
построения |
условий |
функ- |
ние состава и содержания угроз безопасности, оценка |
|||
стадия) |
СЗИ (концеп- |
ционирования |
|
возможностей их реализации в ИТКС, формирование |
|||
|
туальное |
ИТКС |
|
|
|
частной модели угроз защищаемой информации. Уточ- |
|
|
проектирова- |
|
|
|
|
|
нение номенклатуры требований, предъявляемых к СЗИ |
|
ние) |
|
|
|
|
|
и ИТКС |
|
|
2.2.Проведение |
Поиск путей реализации требований по ЗИ в ИТКС. |
||||
|
|
необходимых |
|
Оценка возможности реализации требований по ЗИ в |
|||
|
|
НИОКР |
|
|
ИТКС. Оформление и утверждение отчета о НИОКР по |
||
|
|
|
|
|
|
|
ЗИ или разделов по ЗИ в отчет о НИОКР по созданию |
|
|
|
|
|
|
|
СЗИ в ИТКС |
|
|
2.3. |
Разработка |
Разработка альтернативных вариантов ЗИ в ИТКС и об- |
|||
|
|
вариантов |
кон- |
лика СЗИ и процессов ее создания. Выбор оптимального |
|||
|
|
цепции |
построе- |
варианта замысла построения СЗИ в ИТКС. Технико- |
|||
|
|
ния СЗИ и выбор |
экономическое обоснование выбранного варианта по- |
||||
|
|
целесообразного |
строения СЗИ и определение путей ее создания и экс- |
||||
|
|
варианта |
|
|
плуатации |
||
|
|
2.4.Оформление |
Подготовка и оформление отчета о выполненных рабо- |
||||
|
|
отчета |
о |
выпол- |
тах по ЗИ на данной стадии создания СЗИ в ИТКС. Со- |
||
|
|
ненной работе |
гласование концепции построения СЗИ в ИТКС и пред- |
||||
|
|
|
|
|
|
|
ложений по путям ее создания. Предложения по ЗИ в |
|
|
|
|
|
|
|
отчетную нормативно-техническую документацию эта- |
|
|
|
|
|
|
|
па работ. Согласование и получение заключения ФСБ на |
|
|
|
|
|
|
|
разработку шифровальных средств |
|
Разработка |
2.5.Разработка и |
Разработка требований по ЗИ в раздел ТЗ на создание |
||||
|
технического |
утверждение |
|
СЗИ (ИТКС в защищенном исполнении). Разработка, |
|||
|
задания |
технического |
|
оформление, согласование и утверждение ТЗ |
|||
|
|
задания |
на |
со- |
|
||
|
|
здание |
|
СЗИ |
|
||
|
|
(ИТКС в защи- |
|
||||
|
|
щенном |
испол- |
|
|||
|
|
нении) |
|
|
|
|
|
|
Эскизное |
2.6.Разработка |
|
Разработка предварительных проектных решений по |
|||
|
проектирова- |
предварительных |
созданию СЗИ. Технико-экономическое обоснование |
||||
|
ние |
проектных |
реше- |
эффективности вариантов системы ЗИ. Разработка ТЗ на |
|||
|
|
ний |
по |
системе в |
средства ЗИ и средства контроля эффективности ЗИ |
||
|
|
целом и ее частям |
|
||||
|
Техническое |
2.7.Разработка |
Разработка, оформление, согласование и утверждение |
||||
|
проектирова- |
документации на |
документации по ЗИ и разделов эскизного проекта СЗИ. |
||||
|
ние |
СЗИ и ее части |
Экспертиза отчетной научно-технической документации |
||||
|
|
|
|
|
|
|
и технической документации |
|
|
2.8.Разработка |
Разработка средств ЗИ и средств контроля. Разработка |
||||
|
|
проектных |
ре- |
предложений по ЗИ в технический проект СЗИ (ИТКС в |
|||
|
|
шений по систе- |
защищенном исполнении в части СЗИ) |
||||
|
|
ме в целом и ее |
|
||||
|
|
частям |
|
|
|
|
161
|
|
|
|
|
|
|
|
Окончание табл. 2.1 |
|
По ГОСТ 34.601 |
|
|
|
|
|
|
|
Стадия |
Направлен- |
Этапы работы |
|
Типовое содержание работ по защите информации |
||||
|
ность работ |
|
|
|
|
|
|
|
|
|
2.9.Разработка |
|
Разработка рабочей документации и технического про- |
||||
|
|
документации на |
екта системы ЗИ (ИТКС в защищенном исполнении). |
|||||
|
|
СЗИ и ее части |
|
Разработка разделов технической документации по ЗИ |
||||
|
|
|
|
|
|
|
|
и/или отдельных документов по ЗИ. Участие в эксперти- |
|
|
|
|
|
|
|
|
зе документации СЗИ |
|
|
2.10.Разработка |
|
Подготовка и оформление технической документации |
||||
|
|
и |
оформление |
на поставку технических и программных средств для |
||||
|
|
документации на |
ИТКС и СЗИ. Поставка средств ЗИ. Испытания средств |
|||||
|
|
поставку |
|
изде- |
ЗИ. Сертификация средств ЗИ на соответствие требова- |
|||
|
|
лий |
для |
ком- |
ниям по безопасности информации. Специсследования |
|||
|
|
плектования |
|
(спецпроверки) приобретенных технических средств. |
||||
|
|
СЗИ |
(ИТКС |
в |
Тестирование программных средств. Экспертиза |
|||
|
|
защищенном |
|
|
||||
|
|
исполнении) |
|
|
||||
|
|
2.11.Разработка |
|
Проектирование помещений для ИТКС в защищенном |
||||
|
|
заданий |
на |
про- |
исполнении с учетом требований нормативных доку- |
|||
|
|
ектирование |
в |
ментов по защите информации |
||||
|
|
смежных |
частях |
|
||||
|
|
проекта |
|
объекта |
|
|||
|
|
автоматизации |
|
|
||||
|
Разработка |
2.12.Разработка |
|
Участие в разработке рабочей конструкторской доку- |
||||
|
рабочей до- |
рабочей |
|
|
доку- |
ментации на СЗИ (ИТКС в защищенном исполнении) в |
||
|
кументации |
ментации на си- |
части учета требований по ЗИ. Разработка рабочей кон- |
|||||
|
|
стему в целом и |
структорской документации на СЗИ. Участие в экспер- |
|||||
|
|
ее части |
|
|
|
|
тизе рабочей конструкторской документации |
|
|
|
2.13.Разработка |
|
Разработка программных средств для СЗИ. Тестирова- |
||||
|
|
или |
адаптация |
ние программных средств. Сертификация программных |
||||
|
|
программ |
|
|
средств по требованиям безопасности информации по- |
|||
|
|
|
|
|
|
|
|
сле адаптации |
3.Ввод в дей- |
|
3.1.Подготовка |
|
Реализация проектных решений по организационной |
||||
ствие |
|
СЗИ |
(ИТКС |
в |
структуре СЗИ |
|||
|
|
защищенном |
|
|
||||
|
|
исполнении) |
к |
|
||||
|
|
вводу в действие |
|
|||||
|
|
3.2.Подготовка |
|
Проверка способности персонала обеспечить функцио- |
||||
|
|
персонала |
|
|
нирование СЗИ и ИТКС в защищенном исполнении. |
|||
|
|
|
|
|
|
|
|
Проверка специалистов службы безопасности ИТКС по |
|
|
|
|
|
|
|
|
обслуживанию СЗИ |
|
|
3.3.Комплектаци |
Получение комплектующих изделий для системы ЗИ. |
|||||
|
|
я поставляемыми |
Проверка качества поставляемых комплектующих изде- |
|||||
|
|
изделиями |
(про- |
лий |
||||
|
|
граммными |
|
и |
|
|||
|
|
техническими |
|
|
||||
|
|
средствами) |
|
|
||||
|
|
3.4.Строительно- |
Участие в работах по надзору за выполнением требова- |
|||||
|
|
монтажные |
ра- |
ний по ЗИ строительными организациями. Участие в |
||||
|
|
боты |
|
|
|
|
|
испытаниях технических средств по вопросам ЗИ. Про- |
|
|
|
|
|
|
|
|
ведение специсследований технических средств |
|
|
3.5.Пуско- |
|
|
Проведение автономных наладок технических и про- |
|||
|
|
наладочные |
ра- |
граммных средств ЗИ, загрузка информации в базу дан- |
||||
|
|
боты |
|
|
|
|
|
ных и ее проверка. Участие в комплексной наладке всех |
|
|
|
|
|
|
|
|
средств ИТКС с точки зрения обеспечения ЗИ |
|
|
3.6. |
Аттестация |
Проведение аттестационных испытаний и ввод в экс- |
||||
|
|
ИТКС |
в |
защи- |
плуатацию |
|||
|
|
щенном |
|
испол- |
|
|||
|
|
нении |
|
|
|
|
|
162
Порядок утверждения и согласования ТЗ (дополнения к основному ТЗ на ИТКС) не должен отличаться от установленного порядка утверждения и согласования ТЗ на ИТКС по ГОСТ 34.602 [14].
Организации-участники работ по созданию СЗИ (ИТКС в защищенном исполнении) должны иметь лицензии на право проведения работ в области защиты информации. Лицензирование организаций и предприятий осуществляется в установленном порядке.
Заказчик, собственник и владелец ИТКС, а также организации-участники создания ИТКС несут ответственность за обеспечение защиты обрабатываемой информации в ИТКС и выполняемые работы по ЗИ на всех стадиях создания ИТКС.
За обеспечение создания ИТКС несут ответствен-
ность:
заказчик - в части включения в ТЗ (ТЗ на составную часть) на ИТКС и ее компонентов, а также в техническую, программную, конструкторскую и эксплуатационную;
документацию обоснованных требований по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как ИТКС в целом, так и ее компонентов;
предприятие - разработчик - в части обеспечения соответствия разрабатываемой ИТКС и системы ЗИ требованиям ТЗ по защите обрабатываемой информации, действующим стандартам, нормам и другим нормативным документам;
предприятие - изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и
163
программной продукции заданным требованиям по защите обрабатываемой информации, реализованным в конструкторской и программной документации.
Общее руководство работами по ЗИ при создании ИТКС в целом осуществляет главный конструктор ИТКС или его заместители, а при создании компонентов ИТКС - главные конструктора этих компонентов или их заместители.
Ввод ИТКС в эксплуатацию осуществляется только после выполнения всех мероприятий по ЗИ и проведения испытаний испытательным центром (лабораторией) на соответствие требованиям нормативных документов по защите информации и ее аттестации.
В случае, когда для создания новой ИТКС необходимо провести исследования по изысканию новых технических решений, предварительно может проводиться одна или цикл НИР и опытно-конструкторских работ (ОКР)
[12].
Возможно объединение НИР и ОКР, если необходимо ускорить процесс разработки, то есть ставится НИОКР, в ходе которой отрабатываются требования к ИТКС, в том числе к СЗИ в ИТКС, определяются целесообразные технические решения по ЗИ. По результатам НИОКР разрабатывается ТЗ на создание ИТКС. Если проводится НИР, ОКР или НИОКР, то говорят, что имеет место полный цикл разработки ИТКС в защищенном исполнении. В ходе НИР исследуются возможные и целесообразные способы ЗИ и отрабатывается ТЗ на ОКР по созданию элементов ИТКС в защищенном исполнении и специализированных средств ЗИ для данной ИТКС. При этом в НИР, наряду с вопросами построения самой ИТКС:
164
анализируются ожидаемые потоки информации в ИТКС и определяется информация ограниченного доступа, то есть содержащая сведения, составляющие государственную и другие виды тайны;
определяются элементы ИТКС, где будет циркулировать информация ограниченного доступа;
проводится анализ возможных уязвимостей ПО ИТКС по ее эскизному проекту;
определяются возможные угрозы безопасности информации, оценивается опасность этих угроз и выбираются актуальные из них. Выделяются угрозы утечки информации ограниченного доступа;
применительно к выбранным угрозам обосновываются требования по ЗИ, которые необходимо предъявить к ИТКС;
определяется замысел ЗИ в ИТКС, который позволяет реализовать обоснованные требования;
формируются возможные меры ЗИ, реализуемые административным путем (меры администратора сети);
определяются эффективные и целесообразные по критерию «эффективность-стоимость» дополнительные меры (способы) ЗИ от выбранных угроз;
анализируется возможность реализации способов ЗИ с привлечением ранее разработанных программных и программно-аппаратных средств, определяется необходимость разработки нового программного или программно-аппаратного обеспечения;
определяются основные вопросы управления защитой информации.
165
Рассмотрим некоторые из этих аспектов (рис. 2.2). Анализ потоков информации в ИТКС и определе-
ние информации, содержащей сведения, составляющие государственную и другие виды тайн, проводится на основе утвержденных перечней сведений, составляющих эти виды тайн. В результате анализа устанавливается, есть ли в информации, циркулирующей в ИТКС, сведения, составляющие тот или иной вид тайны. Особое внимание при этом уделяется сведениям, составляющим государственную тайну. Дело в том, что к элементам ИТКС, в которых циркулирует информация, содержащая указанные сведения, предъявляются специальные требования по ЗИ. Эти элементы выделяются в отдельный перечень, а затем и в отдельную подсистему, отделенную от других элементов ИТКС, и для них формируется в последующем своя подсистема защиты информации, отделенная от системы защиты информации, составляющей другие виды тайн.
По результатам анализа устанавливается требуемый класс защищенности ИТКС (см. раздел 4).
Далее определяется состав и характеристики возможных угроз безопасности информации в ИТКС и с учетом выбранного класса защищенности обосновываются требования по ЗИ, которые необходимо предъявить к ИТКС.
В соответствии с [10] замысел защиты – это основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.
Замысел защиты должен включать в себя (рис. 2.3):
1)цель защиты;
2)класс (уровень) защищенности и основные требования по ЗИ, которые необходимо выполнить;
166
Оценка обстановки, обследование условий функционирования ИТКС
Выявление перечня охраняемых сведений, состава защищаемой информации и мест обработки ее в СВТ
Определение выделенных помещений, возможных каналов утечки информации
Определение источников возможных угроз
Оценка уязвимостей ИТКС
Определение перечня возможных угроз, оценка их опасности и составление перечня актуальных угроз
Аналитическое обоснование необходимости создания СЗИ
Характеристика условий функционирования ИТКС
Характеристика угроз безопасности информации, в том числе каналов утечки
Обоснование перечня основных мероприятий по парированию угроз
Обоснование перечня предлагаемых к использованию сертифицированных средств защиты информации
Обоснование необходимости привлечения специализированных организаций для создания СЗИ
Оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ,
Разработка задания и проекта на строительные, |
|
Проведение при необходимости НИОКР (со- |
строительно-монтажные работы (или реконструк- |
|
ставной части НИОКР) по разработки новых |
цию) объекта информатизации с учетом требова- |
|
средств ЗИ |
ний ТЗ на разработку СЗИ |
|
|
|
|
|
|
|
|
Разработка предложений в техническое |
|
|
|
|
|||
задание на создание СЗИ |
|
Концептуальное |
|
|
|
|
проектирование СЗИ |
|
|
|
|
|
|
|
|
Разработка технического (тактикотехнического) задания на разработку СЗИ
Данные об ИТКС и обоснование разработки СЗИ
Оценка класса защищенности ИТКС
Формулирование требований к СЗИ на основе нормативно-методических документов и установленного класса защищенности ИТКС
Определение перечня предполагаемых к использованию сертифицированных средств защиты, обоснование проведения разработок собственных средств защиты информации
Определение сроков, этапов разработки СЗИ, состава подрядных организаций, состава документации
Уточнение условий функционирования ИТКС и СЗИ и угроз безопасности информации
Уточнение цели и формулирование задач ЗИ
Определение замысла ЗИ или концепции создания СЗИ
Выбор целесообразных способов и средств ЗИ для СЗИ
Обоснование требований к новым средствам ЗИ для СЗИ
Эскизное проектирование СЗИ
Уточнение содержания требований и документации
Техническое проектирование СЗИ в составе ИТКС
Разработка документации, в том числе программы и методики испытаний
Развертывание СЗИ. Проведение предварительных испытаний. Доработка СЗИ по результатам предварительных испытаний
Проведение приемосдаточных и аттестационных испытаний
Рис. 2.2. Технологическая схема проектирования системы защиты информации для новой информационно-телекоммуникационной системы
167
Определение замысла защиты информации
Определение направления сосредоточения усилий по защите
Выбор способов, мер и средств защиты
Решение основных вопросов управления защитой
Решение основных вопросов обеспечения
По подразделениям
По уязвимостям, направлениям защиты
По категорированным информационным ресурсам и т.д.
По направлениям защиты
По актуальным угрозам
По возможности реализации с допустимыми затратами и т.д.
Организация охраны
Организация служебной связи и сигнализации Организация взаимодействия
Организация резервирования программного и аппаратного обеспечения
Организация управления администрированием, распределения ключевой информации и т.д.
Финансового
Технического и программного
Информационного Кадрового и др.
Рис. 2.3. Порядок определения замысла защиты информации в информационнотелекоммуникационной системе
168
3)направления, на которых должны быть сосредоточены усилия по ЗИ (элементы объекта информатизации, блоки защищаемой информации, угрозы, которые должны быть парированы в первую очередь);
4)основные способы защиты информации и контроля ее эффективности;
5)предложения по распределению задач ЗИ между подразделениями организации, должностными лицами;
6)перечень программных и программноаппаратных средств защиты и контроля, подлежащих разработке или закупке;
7)основные вопросы управления, взаимодействия и обеспечения решения задач ЗИ.
Важнейшим элементом замысла защиты является отработка общих вопросов управления защитой информации в ИТКС. Под управлением защитой информации в ИТКС понимается целенаправленная деятельность по изменению состава и характеристик мер и средств защиты, порядка их применения в соответствии со складывающейся обстановкой в интересах обеспечения эффективной ЗИ в ИТКС.
Целенаправленные действия включают в себя как обязательный компонент, без которого невозможно адекватное управление, оценку ситуации, то есть:
состояния ИТКС;
состава и характеристик угроз безопасности информации и динамики их проявлений;
состояния СЗИ и вспомогательных систем обеспечения ЗИ (например, системы сигнализации);
состояния ресурса мер и средств ЗИ и др. На основе замысла защиты выбираются целесообраз-
ные способы ЗИ, с помощью которых можно реализовать требования по ЗИ.
Разработкой замысла защиты завершается, по сути,
169
этап концептуального проектирования СЗИ. По результатам выбора разрабатывается эскизный проект СЗИ и ИТКС в защищенном исполнении. Эскизный проект рассматривается Заказчиком и по результатам такого рассмотрения уточняются требования по ЗИ, предлагаемые разработчиком способы ЗИ и средства их реализации.
С учетом замечаний Заказчика после получения согласующих подписей на эскизном проекте начинается техническое проектирование, по результатам которого формируется рабочая документация, а также программы и методики испытаний СЗИ (ИТКС в защищенном исполнении).
Если при разработке СЗИ создаются новые технические, программные и программно-технические средства защиты информации разработчиком ИТКС или по его заказу организацией, имеющей соответствующие лицензии, то конструкторская и эксплуатационная документация на их изготовление и эксплуатацию включается в состав документации на ИТКС отдельными документами или разделами основных документов.
В больших организациях и предприятиях может разрабатываться вместо замысла концепция защиты. В соответствии с энциклопедическим словарем концепция (от латинского conceptio - понимание, система) - это определенный способ понимания, трактовки каких-либо явлений, основная точка зрения, руководящая идея для их освещения; ведущий замысел, конструктивный принцип различных видов деятельности.
Под концепцией защиты информации в ИТКС понимается система взглядов на защиту информации в ИТКС, определяющую состав и характеристики возможных угроз безопасности информации в ИТКС, оценку состояния защищенности информации в ИТКС, предлагаемую для реализации стратегию защиты, основные задачи и
170