- •Вступление
- •1.Ведомость технического проекта
- •2. Пояснительная записка
- •3.1 Общие требования к проектируемым сзпДн испДн лаборатории иб
- •3.2 Решения поструктуре сзпДн испДн лаборатории иб
- •3.3 Описание подсистем средств защиты информации
- •3.3.1 Подсистема управления доступом
- •3.3.2.Подсистема регистрации и учета
- •3.3.3 Подсистема обеспечения целостности
- •3.3.4 Подсистема антивирусной защиты
- •3.3.5 Подсистема межсетевого экранирования
- •3.3.6 Подсистема защиты информации от утечек по побочным каналам
- •3.3.7 Подсистема резервного копирования
- •3.3.8 Подсистема обеспечения отказоустойчивости
- •3.4 Описание средств защиты информации
- •3.5 Решение по инженерным систем
Вступление
Разработка системы защиты информации.
Для чего нужна разработка системы защиты информации?
У каждой организации есть свои отраслевые особенности и определенные требования, предъявляемые к ведению бизнеса. Помимо этого, финансовые возможности различных компаний также сильно разнятся.
Для того чтобы качественно выполнить работы по приведению информационной системы Заказчика в соответствие требованиям PCI DSS, необходимо учесть все его специфические особенности и разработать качественную проектную документацию.
Во время подготовки к сертификационному аудиту по PCI DSS> требуется внедрение СЗИ, включающей следующие средств защиты информации:
межсетевого экранирования.
обнаружения и предотвращения атак.
безопасности беспроводных соединений.
обеспечения криптографической защиты.
защиты от вредоносного ПО.
автоматического обновления.
обеспечения безопасности web-приложений.
управления доступом.
обеспечения физической безопасности.
удаления информации.
управления логами (журналами аудита), мониторинга и анализа событий безопасности.
анализа защищенности.
контроля целостности.
резервного копирования.
организации удаленного подключения.
Также в случае использования компенсационных мер, по результатам выполненного анализа могут быть внедрены иные решения для обеспечения ИБ.
Для того, чтобы корректно внедрить СЗИ, необходимо осуществить ее разработку и учесть все особенности ведения бизнеса Заказчика. С этой целью проводится этап проектирования системы защиты информации.
Варианты разработки системы защиты информации.
Система защиты информации (СЗИ) может быть разработана исходя из текущих и долгосрочных целей Заказчика, а также его корпоративных требований оформления проектной документации. Мы предлагаем 2 варианта проведения работ:
Бюджетный вариант разработки СЗИ.
Этот вариант разработки применяется, в основном, при создании недорогой системы защиты информации, которая будет соответствовать минимальным требованиям, необходимым для сертификации СЗИ по стандарту PCI DSS. Обычно, такая система строится с использованием программного обеспечения Open Source.
Для удешевления процесса разработки СЗИ на данном этапе вместо Технического задания (ТЗ) и Технического проекта (ТП) готовятся Технические требования (ТТ) и План защиты ПЗ). Разработка этих документов обходится дешевле разработки, но позволяет достаточно качественно описать все применяемые в данном случае технические средства и организационные меры.
Плюсом использования данного варианта является оперативность и сравнительно невысокая стоимость проведения разработки.
Недостаток данного метода заключается в том, что, разработанная таким образом, СЗИ не обеспечивает полноценной защиты от угрозы компрометации конфиденциальных данных. В большинстве случаев данный подход выбирается, как временное решение, предшествующее разработке полноценной СЗИ.
Проектирование СЗИ.
Данный вариант применяется в случае разработки эффективной СЗИ, обеспечивающей соответствие стандарту PCI DSS, а также предоставляющей полноценную защиту от компрометации конфиденциальных данных.
На этапе проектирования полноценной СЗИ в соответствии с требованиями ГОСТ, предъявляемыми к ЕСКД, разрабатываются Техническое заданиеи комплект документации Технического проекта, которые подробно описывают все предъявляемые к системе требования, используемые технические решения и их реализацию, программу и методику испытаний.
Преимуществом данного варианта является более совершенная система защиты информационных ресурсов Заказчика. При этом, в зависимости от потребностей Заказчика, мы можем разработать СЗИ, соответствующую не только требованиям PCI DSS, но и других стандартов обеспечения и менеджмента информационной безопасности.
Недостаток этого варианта заключается в более высокой стоимости и длительности проведения соответствующих работ.
Этапы разработки системы защиты информации.
Независимо от выбранного варианта создания СЗИ, процесс разработки системы защиты информации выполняется в три последовательных этапа:
Разработка требований к СЗИ.
Требования определяются с учетом выявленных на этапе обследования несоответствий требованиям стандарта PCI DSS и включает в себя комплекс технических и организационных мер, позволяющих привести информационную систему (ИС) Заказчика в соответствие требованиям стандарта.
Выбор необходимых средств защиты информации, обеспечивающих выполнение требований стандарта.
На данном этапе проводится выбор и согласование с Заказчиком средств защиты для обеспечения соответствия PCI DSS, а также специфичным требованиям заказчика с учетом принятых компенсационных мер.
Разработка проектной документации.
С учетом всей информации, которая была получена на предыдущих этапах, разрабатывается проектная документация с описанием реализации системы защиты. Она включает в себя всю информацию по внедряемому оборудованию, различным используемым техническим средствам и методику проведения испытаний.
Результат разработки системы защиты информации.
В результате проведения разработки СЗИ Заказчик получает полный набор проектной документации, необходимой для проведения качественного внедрения средств защиты информации:
Техническое задание на создание СЗИ.
Технический проект СЗИ, включающий в себя:
ведомость технического проекта;
пояснительную записку;
спецификацию оборудования;
описание комплекса технических средств;
программу и методику проведения испытаний.
В случае необходимости, Заказчику также может быть представлено технико-экономическое обоснование предлагаемых решений с их спецификацией.