- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
5. Основные требования, предъявляемые к ксзи Общие требования
-
Функциональные – обеспечения решения требуемой совокупности задач, удовлетворение всем требованиям защиты.
-
Эргономические – минимизация помех для пользователей, простота эксплуатации и технического обслуживания.
-
Экономические – минимизация затрат на систему защиты, использование серийно выпускаемых средств защиты.
-
Технические – оптимизация архитектуры технических средств защиты, надежность применяемых технических средств.
-
Организационные – четкость предоставления пользователям прав доступа к КИ, сведение к минимуму набора полномочий для одного пользователя, надлежащая подготовка пользователей и контроль управления установленных правил по защите информации.
Специальные требования.
-
Учет влияния особенностей объекта и факторов внешней среды.
-
Учет неопределенности при проектировании системы защиты.
-
Учет эвристического и экспертного характера самого процесса проектирования.
-
Учет при проектировании того, что источники угроз имеют наихудшие намерения.
-
Учет выбранной стратегии и целей защиты при обосновании ресурсного обеспечения.
-
Независимость системы защиты от субъектов защиты.
-
Ограничение информации об используемых средствах защиты.
Вопрос 6. Содержательная характеристика этапов разработки ксзи.
Этап 1. Подготовка организационно-распорядительной документации. Содержание работ: 1. Анализ организационно-распорядительных документов, нормативно-правовых документов в обл. ЗИ, влияющих на деятельность. 2. Установление границ, в которых предполагается поддерживать режим ИБ. Результат: 1. Проект документов, определяющие организационную составляющую КСЗИ(проект приказа о создании КСЗИ). 2. Документы, в которых определены границы системы(КСЗИ).
Этап 2. Определение О защиты. Содержание работ: 1.Составление перечня к.и. 2. Структурирование к.и. по направлениям, структурирование на ключевые элементы. Ключевой элемент информации - это элемент, удовлетворяющий трем требованиям: принадлежит конкретному источнику (человек, документ, образец и т.д.); содержится на отдельном носителе; имеет конкретную цену. Структуризацию можно сделать следующими методами:- методом построения граф-структур; - табличным методом. 3. Составление перечня носителей, содержащих к.и. 4. Анализ архитектуры существующей системы ЗИ(выявление слабых и сильных сторон системы). Результат: 1. Перечень объектов, подлежащих защите(перечень структурированной к.и., носителей, определение места их положения ). 2. Акт обследования СЗИ(существующей) (содержит описание, принципы построения и архитектуру).
Этап 3. Анализ угроз(на основании составленных перечней, акта). Содержание работ: 1. Анализ(учет) каналов т.к.у. и НСД. 2. Анализ потенциальных угроз и выявление главных. 3. Ранжирование угроз..4. Определение круга лиц, которых может интересовать защищаемая И. 5. Построение моделей нарушителя. 6. Определяется вероятность реализации угроз. Проводится соотношение угроз с моделью нарушителя для определения соответствующей категории нарушителя и последующей оценки вероятности реализации данной угрозы. Например, если модель нарушителя не описывает категорию удаленных пользователей (в компании не предусмотрен удаленный доступ), то вероятность утечки информации в результате доступа к ней извне ничтожно мала, и ею можно пренебречь при расчете рисков. 7. Анализ рисков: - выбор и обоснование метода анализа рисков; -подготовка к проведению анализа; - проведение аналитических процедур;- обработка полученных результатов и ранжирование рисков по степени значимости. 8. Выбор политики управления рисками, в частности избегание, принятие, снижение, перенос или разделение риска.
Результаты: 1. Реестр угроз(документ «Модель угроз информации»). 2. документ «Модели нарушителя». 3. инструкция по анализу рисков; - результаты анализа; - отчет по результатам анализа и реестр рисков по рангам. 4. Документ «Стратегия управления рисками».
Этап 4. Моделирование способов и средств ЗИ(с учетом выявленных угроз). Содержание работ: 1. Разработка мер по предотвращению угроз. Оценка вариантов мер(оценка эффективности, технико-экономическая оценка(ТЭО) Разработка технико-экономической оценки (ТЭО): укрупненные спецификации на оборудование и материалы, сметы на строительно-монтажные и пуско-наладочные работы, оценка затрат на кадровое, материально-техническое и нормативное обеспечение КСЗИ, оценка эффективности будущей КСЗИ и целесообразности затрат.). 2. определение политики безопасности(выработка стратегии). 3. Разработка плана мероприятий по реализации. 4. Выбор стратегии управления рисками. Результат: 1. документ «Политика защиты информации». 2. Документы, отражающие расчеты (оценку) эффективности. 3. документы, отражающие правовые, организационные и инженерно-технические мероприятия по предотвращению угроз. 4. План мероприятий по реализации мер защиты.
Этап 5. Разработка ТЗ на будущую систему ЗИ. Содержание работ: Техническое задание оформляется как самостоятельный документ, согласовывается с службой безопасности предприятия и утверждается его руководителем. Оно включает в себя следующие разделы: описание объекта защиты, назначение и основные требования к системе защиты, технико-экономические характеристики, состав, содержание и организация работ, требования по подготовке объекта к монтажу систем, порядок приемки системы в эксплуатацию. Результатом работы является пакет технических заданий.
Этап 6. Предварительный расчет стоимости внедрения разработанной системы. Содержание работ: 1.расчет стоимости оборудования.2.расчет стоимости работ(оплата услуг). Результат: предварительная смета.
Этап 7. Согласование ТЗ, сметы, утверждения положения.
Этап 8. Разработка технического проекта на создание КСЗИ. Содержание работ: Создание документов, в которых описано, как именно будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ. Результат: Пакет документов, отражающие создание, эксплуатирование СЗИ.
Этап 9. Рабочее проектирование. 9.1. Выбор исполнителя работ по проектированию. При выборе исполнителя следует удостовериться, что исполнитель удовлетворяет ряду требований: 1) имеет требуемые лицензии на выполнение проектных работ; 2) имеет опыт работы по проектированию аналогичных систем защиты; 3) имеет внедренные системы защиты по выполненным им проектам;
В качестве проектировщика может выступать как специализированная организация по проектированию, так и монтажная организация, имеющая соответствующую лицензию и специалистов. Обычно удобнее работать бывает с одной организацией и по проектированию, и по монтажу, так как это снижает издержки на организацию работ.
9.2. Заключение договора на выполнение работ. Договор составляется по стандартной форме. Важным вопросом при заключении договора является порядок оплаты работ.
9.3. Рабочий проект. Рабочий проект является документом, на основании которого разрабатывается сметная документация и выполняются строительно-монтажные работы подсистем защиты информации техническими средствами. Если подсистем защиты несколько, то рабочий проект состоит из описания основного комплекта документов и рабочих проектов на каждую подсистему. В состав рабочего проекта входят следующие документы: ведомость рабочих чертежей основного комплекта; ведомость ссылочных и прилагаемых документов; общие указания; условные обозначения; принципиальная (структурная) схема; планы расположения оборудования и сетей; схемы подключения оборудования; спецификация на оборудование; кабельный журнал; вспомогательные чертежи и схемы.
9.4. Сметная документация. Общая стоимость работ по оснащению объекта техническими средствами защиты складывается из следующих составляющих: Со = Спр. + Смат.+ Стзс + Ссмр + Спнр, где
Со - общая стоимость работ;
Спр. - стоимость проектно-сметных работ;
Смат. - cтоимость оборудования, кабельной продукции, монтажных материалов, программных продуктов;
Стзс - стоимость транспортно-заготовительных, складских работ и входного контроля;
Ссмр - стоимость монтажных работ;
Спнр - стоимость пуско-наладочных работ и программирования.
Согласно действующим нормативам в смете учитываются накладные расходы, плановые накопления, районный коэффициент и другие статьи затрат.
Рекомендуется также отдельно учитывать и затраты будущих периодов Сзбп на техническое обслуживание оборудования.
Этап 10. Разработка «Эксплуатационной документации КСЗИ». Содержание работ: 1.Составление инструкции эксплуатации КСЗИ. 2.описание процедур обслуживания системы. 3. разработка правил и положений по проведение тестирования системы и анализ а ее работы. Результат: 1. инструкции эксплуатации КСЗИ и её элементов; 2. документ, отражающий процедуры регламентного обслуживания КСЗИ; 3. правила и положения по проведению тестирования и анализа работы КСЗИ.
Этап 11.Реализация рабочего проекта – построение системы защиты.
11.1. Управление процессом построения системы защиты: Разработка плана организационно-технических мероприятий по подготовке предприятия к внедрению средств защиты, Разработка плана оснащения предприятия техническими средствами защиты: комплектация оборудованием и материалами в соответствии с рабочим проектом, монтажные и пуско-наладочные работы и т.д. Необходим контроль исполнения планов и корректирующие воздействия при отклонениях от плана. Определение подразделение и лиц, ответственных за контроль исполнения планов, приемку системы защиты, ее эксплуатацию и техническое обслуживание.
11.2.Выбор монтажной организации и заключение договора.
Договор составляется по стандартной форме, но следует обратить внимание на следующие моменты:
1) Обязательно должно быть указано, по какому документу проводится работа.
2) Должно быть четко прописано, какая ответственность возлагается на исполнителя за неполное выполнение технического задания и невыполнение работы в оговоренные договором сроки, а также ответственность предприятия за ненадлежащее обеспечение условий для работы на объекте и просрочку платежей. 3) Должны присутствовать гарантийные обязательства исполнителя как по оборудованию, так и по монтажным работам. 4) Обязательным приложением к договору является техническое задание. 5) Обязательным приложением к договору является документ, в котором оговариваются процедура, методы приемки и условия, при которых работа принимается или не принимается. Желательно предусмотреть в договоре этап опытной эксплуатации системы после окончания монтажных работ, например, в течение месяца.
11.3. Построение системы защиты. Техническое укрепление предприятия и другие подготовительные работы. Приобретение оборудования и материалов. Монтаж оборудования. Контроль за проведением монтажных работ(согласованный с исполнителем график проведения работ; периодический осмотр мест проведения работ и т. д.) Пуско-наладочные работы (ПНР) и комплексная проверка системы защиты. Аттестация системы на соответствие установленным требованиям, если это требуется. Предъявление объекта к сдаче(Официальное уведомление о готовности комплекса к проведению приемо-сдаточных испытаний. Технической документации на аппараты, приборы и блоки, входящие в состав комплекса. Технического описания и инструкций по эксплуатации всего комплекса.) Приемка в эксплуатацию(проверка на соответствие, проверка качества).
Этап 12. Внедрение. На этом этапе исполнитель проводит все пусконаладочные работы, обучает и инструктирует персонал предприятия правилам и режимам эксплуатации КСЗИ. После реализации этого этапа внедренная КСЗИ готова к последующему испытанию
13. Эксплуатация. Грамотная эксплуатация технических систем в соответствии с инструкциями. Проведение плановых регламентных работ и технического обслуживания в соответствие с документацией на оборудование. Проведение плановой оперативно-тактической учебы и практических занятий с персоналом по разработанным сценариям действий. Мероприятия по поддержанию технических средств охраны в исправном состоянии в процессе эксплуатации включают в себя: заключение договора с фирмой-исполнителем о постгарантийном обслуживании смонтированной системы; выделение из состава подразделения охраны человека, ответственного за поддержание системы в исправном состоянии и т.д.
Этап 14.Совершенствование.
Этап 15. Контроль исполнения. Проведение мероприятий по контролю исполнения, обучению персонала мерам безопасности, оценки эффективности внедренной системы защиты информации.