Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Yazov_ITKS

.pdf
Скачиваний:
348
Добавлен:
31.05.2015
Размер:
7.37 Mб
Скачать

 

 

 

 

 

 

 

Продолжение табл. 2.1

 

По ГОСТ 34.601

 

 

 

 

 

Стадия

Направлен-

Этапы работы

 

Типовое содержание работ по защите информации

 

ность работ

 

 

 

 

 

 

 

 

1.3.Оформление

Разработка предложений по ЗИ в виде отчетной доку-

 

 

отчета

о

выпол-

ментации. Оформление отчета о выполненных работах

 

 

няемой работе и

по ЗИ на данных стадиях. Оформление предложений по

 

 

заявки на разра-

ЗИ в заявку на разработку СЗИ. Формирование предло-

 

 

ботку СЗИ

 

жений по ЗИ в ТЗ на СЗИ

2. Разработка

Разработка

2.1.Дополнитель

Уточнение условий эксплуатации ИТКС и СЗИ и кате-

проекта СЗИ

концепции

ное

 

изучение

горий важности обрабатываемой информации. Уточне-

(проектная

построения

условий

функ-

ние состава и содержания угроз безопасности, оценка

стадия)

СЗИ (концеп-

ционирования

 

возможностей их реализации в ИТКС, формирование

 

туальное

ИТКС

 

 

 

частной модели угроз защищаемой информации. Уточ-

 

проектирова-

 

 

 

 

 

нение номенклатуры требований, предъявляемых к СЗИ

 

ние)

 

 

 

 

 

и ИТКС

 

 

2.2.Проведение

Поиск путей реализации требований по ЗИ в ИТКС.

 

 

необходимых

 

Оценка возможности реализации требований по ЗИ в

 

 

НИОКР

 

 

ИТКС. Оформление и утверждение отчета о НИОКР по

 

 

 

 

 

 

 

ЗИ или разделов по ЗИ в отчет о НИОКР по созданию

 

 

 

 

 

 

 

СЗИ в ИТКС

 

 

2.3.

Разработка

Разработка альтернативных вариантов ЗИ в ИТКС и об-

 

 

вариантов

кон-

лика СЗИ и процессов ее создания. Выбор оптимального

 

 

цепции

построе-

варианта замысла построения СЗИ в ИТКС. Технико-

 

 

ния СЗИ и выбор

экономическое обоснование выбранного варианта по-

 

 

целесообразного

строения СЗИ и определение путей ее создания и экс-

 

 

варианта

 

 

плуатации

 

 

2.4.Оформление

Подготовка и оформление отчета о выполненных рабо-

 

 

отчета

о

выпол-

тах по ЗИ на данной стадии создания СЗИ в ИТКС. Со-

 

 

ненной работе

гласование концепции построения СЗИ в ИТКС и пред-

 

 

 

 

 

 

 

ложений по путям ее создания. Предложения по ЗИ в

 

 

 

 

 

 

 

отчетную нормативно-техническую документацию эта-

 

 

 

 

 

 

 

па работ. Согласование и получение заключения ФСБ на

 

 

 

 

 

 

 

разработку шифровальных средств

 

Разработка

2.5.Разработка и

Разработка требований по ЗИ в раздел ТЗ на создание

 

технического

утверждение

 

СЗИ (ИТКС в защищенном исполнении). Разработка,

 

задания

технического

 

оформление, согласование и утверждение ТЗ

 

 

задания

на

со-

 

 

 

здание

 

СЗИ

 

 

 

(ИТКС в защи-

 

 

 

щенном

испол-

 

 

 

нении)

 

 

 

 

 

Эскизное

2.6.Разработка

 

Разработка предварительных проектных решений по

 

проектирова-

предварительных

созданию СЗИ. Технико-экономическое обоснование

 

ние

проектных

реше-

эффективности вариантов системы ЗИ. Разработка ТЗ на

 

 

ний

по

системе в

средства ЗИ и средства контроля эффективности ЗИ

 

 

целом и ее частям

 

 

Техническое

2.7.Разработка

Разработка, оформление, согласование и утверждение

 

проектирова-

документации на

документации по ЗИ и разделов эскизного проекта СЗИ.

 

ние

СЗИ и ее части

Экспертиза отчетной научно-технической документации

 

 

 

 

 

 

 

и технической документации

 

 

2.8.Разработка

Разработка средств ЗИ и средств контроля. Разработка

 

 

проектных

ре-

предложений по ЗИ в технический проект СЗИ (ИТКС в

 

 

шений по систе-

защищенном исполнении в части СЗИ)

 

 

ме в целом и ее

 

 

 

частям

 

 

 

 

161

 

 

 

 

 

 

 

 

Окончание табл. 2.1

 

По ГОСТ 34.601

 

 

 

 

 

 

Стадия

Направлен-

Этапы работы

 

Типовое содержание работ по защите информации

 

ность работ

 

 

 

 

 

 

 

 

 

2.9.Разработка

 

Разработка рабочей документации и технического про-

 

 

документации на

екта системы ЗИ (ИТКС в защищенном исполнении).

 

 

СЗИ и ее части

 

Разработка разделов технической документации по ЗИ

 

 

 

 

 

 

 

 

и/или отдельных документов по ЗИ. Участие в эксперти-

 

 

 

 

 

 

 

 

зе документации СЗИ

 

 

2.10.Разработка

 

Подготовка и оформление технической документации

 

 

и

оформление

на поставку технических и программных средств для

 

 

документации на

ИТКС и СЗИ. Поставка средств ЗИ. Испытания средств

 

 

поставку

 

изде-

ЗИ. Сертификация средств ЗИ на соответствие требова-

 

 

лий

для

ком-

ниям по безопасности информации. Специсследования

 

 

плектования

 

(спецпроверки) приобретенных технических средств.

 

 

СЗИ

(ИТКС

в

Тестирование программных средств. Экспертиза

 

 

защищенном

 

 

 

 

исполнении)

 

 

 

 

2.11.Разработка

 

Проектирование помещений для ИТКС в защищенном

 

 

заданий

на

про-

исполнении с учетом требований нормативных доку-

 

 

ектирование

в

ментов по защите информации

 

 

смежных

частях

 

 

 

проекта

 

объекта

 

 

 

автоматизации

 

 

 

Разработка

2.12.Разработка

 

Участие в разработке рабочей конструкторской доку-

 

рабочей до-

рабочей

 

 

доку-

ментации на СЗИ (ИТКС в защищенном исполнении) в

 

кументации

ментации на си-

части учета требований по ЗИ. Разработка рабочей кон-

 

 

стему в целом и

структорской документации на СЗИ. Участие в экспер-

 

 

ее части

 

 

 

 

тизе рабочей конструкторской документации

 

 

2.13.Разработка

 

Разработка программных средств для СЗИ. Тестирова-

 

 

или

адаптация

ние программных средств. Сертификация программных

 

 

программ

 

 

средств по требованиям безопасности информации по-

 

 

 

 

 

 

 

 

сле адаптации

3.Ввод в дей-

 

3.1.Подготовка

 

Реализация проектных решений по организационной

ствие

 

СЗИ

(ИТКС

в

структуре СЗИ

 

 

защищенном

 

 

 

 

исполнении)

к

 

 

 

вводу в действие

 

 

 

3.2.Подготовка

 

Проверка способности персонала обеспечить функцио-

 

 

персонала

 

 

нирование СЗИ и ИТКС в защищенном исполнении.

 

 

 

 

 

 

 

 

Проверка специалистов службы безопасности ИТКС по

 

 

 

 

 

 

 

 

обслуживанию СЗИ

 

 

3.3.Комплектаци

Получение комплектующих изделий для системы ЗИ.

 

 

я поставляемыми

Проверка качества поставляемых комплектующих изде-

 

 

изделиями

(про-

лий

 

 

граммными

 

и

 

 

 

техническими

 

 

 

 

средствами)

 

 

 

 

3.4.Строительно-

Участие в работах по надзору за выполнением требова-

 

 

монтажные

ра-

ний по ЗИ строительными организациями. Участие в

 

 

боты

 

 

 

 

 

испытаниях технических средств по вопросам ЗИ. Про-

 

 

 

 

 

 

 

 

ведение специсследований технических средств

 

 

3.5.Пуско-

 

 

Проведение автономных наладок технических и про-

 

 

наладочные

ра-

граммных средств ЗИ, загрузка информации в базу дан-

 

 

боты

 

 

 

 

 

ных и ее проверка. Участие в комплексной наладке всех

 

 

 

 

 

 

 

 

средств ИТКС с точки зрения обеспечения ЗИ

 

 

3.6.

Аттестация

Проведение аттестационных испытаний и ввод в экс-

 

 

ИТКС

в

защи-

плуатацию

 

 

щенном

 

испол-

 

 

 

нении

 

 

 

 

 

162

Порядок утверждения и согласования ТЗ (дополнения к основному ТЗ на ИТКС) не должен отличаться от установленного порядка утверждения и согласования ТЗ на ИТКС по ГОСТ 34.602 [14].

Организации-участники работ по созданию СЗИ (ИТКС в защищенном исполнении) должны иметь лицензии на право проведения работ в области защиты информации. Лицензирование организаций и предприятий осуществляется в установленном порядке.

Заказчик, собственник и владелец ИТКС, а также организации-участники создания ИТКС несут ответственность за обеспечение защиты обрабатываемой информации в ИТКС и выполняемые работы по ЗИ на всех стадиях создания ИТКС.

За обеспечение создания ИТКС несут ответствен-

ность:

заказчик - в части включения в ТЗ (ТЗ на составную часть) на ИТКС и ее компонентов, а также в техническую, программную, конструкторскую и эксплуатационную;

документацию обоснованных требований по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как ИТКС в целом, так и ее компонентов;

предприятие - разработчик - в части обеспечения соответствия разрабатываемой ИТКС и системы ЗИ требованиям ТЗ по защите обрабатываемой информации, действующим стандартам, нормам и другим нормативным документам;

предприятие - изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и

163

программной продукции заданным требованиям по защите обрабатываемой информации, реализованным в конструкторской и программной документации.

Общее руководство работами по ЗИ при создании ИТКС в целом осуществляет главный конструктор ИТКС или его заместители, а при создании компонентов ИТКС - главные конструктора этих компонентов или их заместители.

Ввод ИТКС в эксплуатацию осуществляется только после выполнения всех мероприятий по ЗИ и проведения испытаний испытательным центром (лабораторией) на соответствие требованиям нормативных документов по защите информации и ее аттестации.

В случае, когда для создания новой ИТКС необходимо провести исследования по изысканию новых технических решений, предварительно может проводиться одна или цикл НИР и опытно-конструкторских работ (ОКР)

[12].

Возможно объединение НИР и ОКР, если необходимо ускорить процесс разработки, то есть ставится НИОКР, в ходе которой отрабатываются требования к ИТКС, в том числе к СЗИ в ИТКС, определяются целесообразные технические решения по ЗИ. По результатам НИОКР разрабатывается ТЗ на создание ИТКС. Если проводится НИР, ОКР или НИОКР, то говорят, что имеет место полный цикл разработки ИТКС в защищенном исполнении. В ходе НИР исследуются возможные и целесообразные способы ЗИ и отрабатывается ТЗ на ОКР по созданию элементов ИТКС в защищенном исполнении и специализированных средств ЗИ для данной ИТКС. При этом в НИР, наряду с вопросами построения самой ИТКС:

164

анализируются ожидаемые потоки информации в ИТКС и определяется информация ограниченного доступа, то есть содержащая сведения, составляющие государственную и другие виды тайны;

определяются элементы ИТКС, где будет циркулировать информация ограниченного доступа;

проводится анализ возможных уязвимостей ПО ИТКС по ее эскизному проекту;

определяются возможные угрозы безопасности информации, оценивается опасность этих угроз и выбираются актуальные из них. Выделяются угрозы утечки информации ограниченного доступа;

применительно к выбранным угрозам обосновываются требования по ЗИ, которые необходимо предъявить к ИТКС;

определяется замысел ЗИ в ИТКС, который позволяет реализовать обоснованные требования;

формируются возможные меры ЗИ, реализуемые административным путем (меры администратора сети);

определяются эффективные и целесообразные по критерию «эффективность-стоимость» дополнительные меры (способы) ЗИ от выбранных угроз;

анализируется возможность реализации способов ЗИ с привлечением ранее разработанных программных и программно-аппаратных средств, определяется необходимость разработки нового программного или программно-аппаратного обеспечения;

определяются основные вопросы управления защитой информации.

165

Рассмотрим некоторые из этих аспектов (рис. 2.2). Анализ потоков информации в ИТКС и определе-

ние информации, содержащей сведения, составляющие государственную и другие виды тайн, проводится на основе утвержденных перечней сведений, составляющих эти виды тайн. В результате анализа устанавливается, есть ли в информации, циркулирующей в ИТКС, сведения, составляющие тот или иной вид тайны. Особое внимание при этом уделяется сведениям, составляющим государственную тайну. Дело в том, что к элементам ИТКС, в которых циркулирует информация, содержащая указанные сведения, предъявляются специальные требования по ЗИ. Эти элементы выделяются в отдельный перечень, а затем и в отдельную подсистему, отделенную от других элементов ИТКС, и для них формируется в последующем своя подсистема защиты информации, отделенная от системы защиты информации, составляющей другие виды тайн.

По результатам анализа устанавливается требуемый класс защищенности ИТКС (см. раздел 4).

Далее определяется состав и характеристики возможных угроз безопасности информации в ИТКС и с учетом выбранного класса защищенности обосновываются требования по ЗИ, которые необходимо предъявить к ИТКС.

В соответствии с [10] замысел защиты – это основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

Замысел защиты должен включать в себя (рис. 2.3):

1)цель защиты;

2)класс (уровень) защищенности и основные требования по ЗИ, которые необходимо выполнить;

166

Оценка обстановки, обследование условий функционирования ИТКС

Выявление перечня охраняемых сведений, состава защищаемой информации и мест обработки ее в СВТ

Определение выделенных помещений, возможных каналов утечки информации

Определение источников возможных угроз

Оценка уязвимостей ИТКС

Определение перечня возможных угроз, оценка их опасности и составление перечня актуальных угроз

Аналитическое обоснование необходимости создания СЗИ

Характеристика условий функционирования ИТКС

Характеристика угроз безопасности информации, в том числе каналов утечки

Обоснование перечня основных мероприятий по парированию угроз

Обоснование перечня предлагаемых к использованию сертифицированных средств защиты информации

Обоснование необходимости привлечения специализированных организаций для создания СЗИ

Оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ,

Разработка задания и проекта на строительные,

 

Проведение при необходимости НИОКР (со-

строительно-монтажные работы (или реконструк-

 

ставной части НИОКР) по разработки новых

цию) объекта информатизации с учетом требова-

 

средств ЗИ

ний ТЗ на разработку СЗИ

 

 

 

 

 

 

 

Разработка предложений в техническое

 

 

 

задание на создание СЗИ

 

Концептуальное

 

 

 

проектирование СЗИ

 

 

 

 

 

 

 

Разработка технического (тактикотехнического) задания на разработку СЗИ

Данные об ИТКС и обоснование разработки СЗИ

Оценка класса защищенности ИТКС

Формулирование требований к СЗИ на основе нормативно-методических документов и установленного класса защищенности ИТКС

Определение перечня предполагаемых к использованию сертифицированных средств защиты, обоснование проведения разработок собственных средств защиты информации

Определение сроков, этапов разработки СЗИ, состава подрядных организаций, состава документации

Уточнение условий функционирования ИТКС и СЗИ и угроз безопасности информации

Уточнение цели и формулирование задач ЗИ

Определение замысла ЗИ или концепции создания СЗИ

Выбор целесообразных способов и средств ЗИ для СЗИ

Обоснование требований к новым средствам ЗИ для СЗИ

Эскизное проектирование СЗИ

Уточнение содержания требований и документации

Техническое проектирование СЗИ в составе ИТКС

Разработка документации, в том числе программы и методики испытаний

Развертывание СЗИ. Проведение предварительных испытаний. Доработка СЗИ по результатам предварительных испытаний

Проведение приемосдаточных и аттестационных испытаний

Рис. 2.2. Технологическая схема проектирования системы защиты информации для новой информационно-телекоммуникационной системы

167

Определение замысла защиты информации

Определение направления сосредоточения усилий по защите

Выбор способов, мер и средств защиты

Решение основных вопросов управления защитой

Решение основных вопросов обеспечения

По подразделениям

По уязвимостям, направлениям защиты

По категорированным информационным ресурсам и т.д.

По направлениям защиты

По актуальным угрозам

По возможности реализации с допустимыми затратами и т.д.

Организация охраны

Организация служебной связи и сигнализации Организация взаимодействия

Организация резервирования программного и аппаратного обеспечения

Организация управления администрированием, распределения ключевой информации и т.д.

Финансового

Технического и программного

Информационного Кадрового и др.

Рис. 2.3. Порядок определения замысла защиты информации в информационнотелекоммуникационной системе

168

3)направления, на которых должны быть сосредоточены усилия по ЗИ (элементы объекта информатизации, блоки защищаемой информации, угрозы, которые должны быть парированы в первую очередь);

4)основные способы защиты информации и контроля ее эффективности;

5)предложения по распределению задач ЗИ между подразделениями организации, должностными лицами;

6)перечень программных и программноаппаратных средств защиты и контроля, подлежащих разработке или закупке;

7)основные вопросы управления, взаимодействия и обеспечения решения задач ЗИ.

Важнейшим элементом замысла защиты является отработка общих вопросов управления защитой информации в ИТКС. Под управлением защитой информации в ИТКС понимается целенаправленная деятельность по изменению состава и характеристик мер и средств защиты, порядка их применения в соответствии со складывающейся обстановкой в интересах обеспечения эффективной ЗИ в ИТКС.

Целенаправленные действия включают в себя как обязательный компонент, без которого невозможно адекватное управление, оценку ситуации, то есть:

состояния ИТКС;

состава и характеристик угроз безопасности информации и динамики их проявлений;

состояния СЗИ и вспомогательных систем обеспечения ЗИ (например, системы сигнализации);

состояния ресурса мер и средств ЗИ и др. На основе замысла защиты выбираются целесообраз-

ные способы ЗИ, с помощью которых можно реализовать требования по ЗИ.

Разработкой замысла защиты завершается, по сути,

169

этап концептуального проектирования СЗИ. По результатам выбора разрабатывается эскизный проект СЗИ и ИТКС в защищенном исполнении. Эскизный проект рассматривается Заказчиком и по результатам такого рассмотрения уточняются требования по ЗИ, предлагаемые разработчиком способы ЗИ и средства их реализации.

С учетом замечаний Заказчика после получения согласующих подписей на эскизном проекте начинается техническое проектирование, по результатам которого формируется рабочая документация, а также программы и методики испытаний СЗИ (ИТКС в защищенном исполнении).

Если при разработке СЗИ создаются новые технические, программные и программно-технические средства защиты информации разработчиком ИТКС или по его заказу организацией, имеющей соответствующие лицензии, то конструкторская и эксплуатационная документация на их изготовление и эксплуатацию включается в состав документации на ИТКС отдельными документами или разделами основных документов.

В больших организациях и предприятиях может разрабатываться вместо замысла концепция защиты. В соответствии с энциклопедическим словарем концепция (от латинского conceptio - понимание, система) - это определенный способ понимания, трактовки каких-либо явлений, основная точка зрения, руководящая идея для их освещения; ведущий замысел, конструктивный принцип различных видов деятельности.

Под концепцией защиты информации в ИТКС понимается система взглядов на защиту информации в ИТКС, определяющую состав и характеристики возможных угроз безопасности информации в ИТКС, оценку состояния защищенности информации в ИТКС, предлагаемую для реализации стратегию защиты, основные задачи и

170

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]