Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ДиплоДОК / основа.docx
Скачиваний:
26
Добавлен:
10.02.2016
Размер:
67.84 Кб
Скачать

Вступление

Разработка системы защиты информации.

Для чего нужна разработка системы защиты информации?

У каждой организации есть свои отраслевые особенности и определенные требования, предъявляемые к ведению бизнеса. Помимо этого, финансовые возможности различных компаний также сильно разнятся.

Для того чтобы качественно выполнить работы по приведению информационной системы Заказчика в соответствие требованиям PCI DSS, необходимо учесть все его специфические особенности и разработать качественную проектную документацию.

Во время подготовки к сертификационному аудиту по PCI DSS> требуется внедрение СЗИ, включающей следующие средств защиты информации:

  1. межсетевого экранирования.

  2. обнаружения и предотвращения атак.

  3. безопасности беспроводных соединений.

  4. обеспечения криптографической защиты.

  5. защиты от вредоносного ПО.

  6. автоматического обновления.

  7. обеспечения безопасности web-приложений.

  8. управления доступом.

  9. обеспечения физической безопасности.

  10. удаления информации.

  11. управления логами (журналами аудита), мониторинга и анализа событий безопасности.

  12. анализа защищенности.

  13. контроля целостности.

  14. резервного копирования.

  15. организации удаленного подключения.

Также в случае использования компенсационных мер, по результатам выполненного анализа могут быть внедрены иные решения для обеспечения ИБ.

Для того, чтобы корректно внедрить СЗИ, необходимо осуществить ее разработку и учесть все особенности ведения бизнеса Заказчика. С этой целью проводится этап проектирования системы защиты информации.

Варианты разработки системы защиты информации.

Система защиты информации (СЗИ) может быть разработана исходя из текущих и долгосрочных целей Заказчика, а также его корпоративных требований оформления проектной документации. Мы предлагаем 2 варианта проведения работ:

  • Бюджетный вариант разработки СЗИ.

Этот вариант разработки применяется, в основном, при создании недорогой системы защиты информации, которая будет соответствовать минимальным требованиям, необходимым для сертификации СЗИ по стандарту PCI DSS. Обычно, такая система строится с использованием программного обеспечения Open Source.

Для удешевления процесса разработки СЗИ на данном этапе вместо Технического задания (ТЗ) и Технического проекта (ТП) готовятся Технические требования (ТТ) и План защиты ПЗ). Разработка этих документов обходится дешевле разработки, но позволяет достаточно качественно описать все применяемые в данном случае технические средства и организационные меры.

Плюсом использования данного варианта является оперативность и сравнительно невысокая стоимость проведения разработки.

Недостаток данного метода заключается в том, что, разработанная таким образом, СЗИ не обеспечивает полноценной защиты от угрозы компрометации конфиденциальных данных. В большинстве случаев данный подход выбирается, как временное решение, предшествующее разработке полноценной СЗИ.

  • Проектирование СЗИ.

Данный вариант применяется в случае разработки эффективной СЗИ, обеспечивающей соответствие стандарту PCI DSS, а также предоставляющей полноценную защиту от компрометации конфиденциальных данных.

На этапе проектирования полноценной СЗИ в соответствии с требованиями ГОСТ, предъявляемыми к ЕСКД, разрабатываются Техническое заданиеи комплект документации Технического проекта, которые подробно описывают все предъявляемые к системе требования, используемые технические решения и их реализацию, программу и методику испытаний.

Преимуществом данного варианта является более совершенная система защиты информационных ресурсов Заказчика. При этом, в зависимости от потребностей Заказчика, мы можем разработать СЗИ, соответствующую не только требованиям PCI DSS, но и других стандартов обеспечения и менеджмента информационной безопасности.

Недостаток этого варианта заключается в более высокой стоимости и длительности проведения соответствующих работ.

Этапы разработки системы защиты информации.

Независимо от выбранного варианта создания СЗИ, процесс разработки системы защиты информации выполняется в три последовательных этапа:

  1. Разработка требований к СЗИ.

Требования определяются с учетом выявленных на этапе обследования несоответствий требованиям стандарта PCI DSS и включает в себя комплекс технических и организационных мер, позволяющих привести информационную систему (ИС) Заказчика в соответствие требованиям стандарта.

  1. Выбор необходимых средств защиты информации, обеспечивающих выполнение требований стандарта.

На данном этапе проводится выбор и согласование с Заказчиком средств защиты для обеспечения соответствия PCI DSS, а также специфичным требованиям заказчика с учетом принятых компенсационных мер.

  1. Разработка проектной документации.

С учетом всей информации, которая была получена на предыдущих этапах, разрабатывается проектная документация с описанием реализации системы защиты. Она включает в себя всю информацию по внедряемому оборудованию, различным используемым техническим средствам и методику проведения испытаний.

Результат разработки системы защиты информации.

В результате проведения разработки СЗИ Заказчик получает полный набор проектной документации, необходимой для проведения качественного внедрения средств защиты информации:

  • Техническое задание на создание СЗИ.

  • Технический проект СЗИ, включающий в себя:

    • ведомость технического проекта;

    • пояснительную записку;

    • спецификацию оборудования;

    • описание комплекса технических средств;

    • программу и методику проведения испытаний.

В случае необходимости, Заказчику также может быть представлено технико-экономическое обоснование предлагаемых решений с их спецификацией.

Соседние файлы в папке ДиплоДОК