- •Порядок проведення робіт зі створення ксзи.
- •25. Требования по защите информации в локальных сетях.
- •26. Захист державних інформаційних ресурсів в мережі Internet
- •27. Порядок провадження господарської діяльності в галузі тзі.
- •28. Державна система сертифікації та експертизи в сфері тзі.
- •29. Види та форми державного контролю за станом тзі.
- •30. Відповідальність за порушення у сфері захисту інформації.
Порядок проведення робіт зі створення ксзи.
Процесс создания КСЗИ в общем случае состоит из следующих этапов:
- формирование общих требований к КСЗИ в ИТС;
- разработка политики безопасности информации в ИТС;
- разработка технического задания на создание КСЗИ;
- разработка проекта КСЗИ;
- введение КСЗИ в действие и оценка защищенности информации в ИТС.
1 этап. Формирование общих требований к КСЗИ в ИТС включает:
- Обоснование необходимости создания КСЗИ.
- Обследование среды функционирования ИТС.
- Формирование задания на создание КСЗИ.
Осуществляется оформление отчета о выполнении работ этой стадии и оформление заявки на разработку КСЗИ (тактико-технической задачи на создание КСЗИ или другого документу аналогичного содержания).
2 этап. Разработка политики безопасности информации в ИТС.
Политика безопасности разрабатывается согласно положениям НД ТЗИ 1.1-002 и рекомендациями НД ТЗИ 1.4-001. Политику безопасности рекомендуется оформлять в виде отдельного документа Плана защиты.
3 этап. Разработка технического задания на создание КСЗИ.
ТЗ на создание КСЗИ в ИТС - основной организационно-технический документ, который определяет требования по защите информации в ИТС, порядок создания КСЗИ, порядок проведения всех видов испытаний КСЗИ и введение ее в эксплуатацию в составе ИТС.
Для оформления ТЗ на КСЗИ могут быть использованные такие варианты:
- в виде отдельного раздела ТЗ на создание ИТС;
- в виде отдельного (частного) ТЗ на КСЗИ;
- в виде дополнения к ТЗ на создание ИТС.
Техническое задание в общем случае должно содержать такие основные разделы:
- общие сведения;
- цель и назначение КСЗИ;
- общая характеристика АС и условий ее функционирования;
- требования к КСЗИ;
- требования к составу проектной и эксплуатационной документации;
- этапы выполнения работ;
- порядок внесения изменений и дополнений в ТЗ;
- порядок проведения испытаний КСЗИ.
4 этап. Проект КСЗИ выполняется на таких стадиях создания ИТС: эскизный проект, технический проект, рабочий проект. Разрешается исключать либо объединять этапы в один этап - “Техноробочий проект КСЗИ”. Для всех стадий разработки проекта КСЗИ состав документации определяется ТЗ на КСЗИ, виды и содержание - ГОСТ 34.201, НД ТЗИ 2.5-004.
5 этап.
- Подготовка КСЗИ к вводу в действие.
- Обучение пользователей.
- Комплектование КСЗИ.
- Строительно-монтажные работы
- Пусконаладочные работы.
- Предварительные испытания проводятся с целью проверки работоспособности КСЗИ и определения возможности принятия ее в опытную эксплуатацию.
- опытная эксплуатация КСЗИ:
- Государственная экспертиза КСЗИ является отдельным этапом приемочных испытаний ИТС. Государственная экспертиза проводится с целью определения соответствия КСЗИ техническому заданию, требованиям НД по защите информации и определения возможности ввода КСЗИ в составе ИТС в эксплуатацию.
25. Требования по защите информации в локальных сетях.
К АС класса 2, согласно НД ТЗІ 2.5-005, относятся автоматизированные системы, созданные на базе локализованного многомашинного многопользовательского комплекса. В состав АС класса 2 входят: вычислительная система, физическая среда, в которой она функционирует, пользователи АС и обрабатываемая информация, в том числе и технология ее обработки.
Целью создания автоматизированных систем класса 2 является предоставление любому пользователю, в соответствии с защищенной технологией обработки информации, возможности доступа к информационным ресурсам компьютеров, которые объединены в вычислительную сеть.
Обобщенная функционально-логическая структура вычислительной системы АС класса 2 включает:
- подсистему обработки информации;
- подсистему взаимодействия пользователей с АС;
- подсистему обмена данными.
Вычислительные системы, с помощью которых реализуются подсистема обработки информации и подсистема взаимодействия пользователей с АС, укомплектованы:
- средствами вычислительной техники;
- периферийным оборудованием - устройствами печати, хранение информации и т.п.;
- комплексом программного обеспечения вычислительной системы;
- комплексом программно-аппаратных средств защиты информации.
Комплекс программного обеспечения вычислительной системы составляет:
- операционные системы серверов и рабочих станций;
- операционные системы, которые обеспечивают выполнение сетевых функций;
- программные средства, которые поддерживают реализацию протоколов передачи данных вычислительной сети;
- программные средства активных компонентов сети, которые реализуют специальные алгоритмы управления сетью;
- системы управления базами данных серверов, высокопроизводительных универсальных ЭВМ, рабочих станций;
- программные средства обеспечения КЗЗ;
- функциональное программное обеспечение.
Основные административные и организационные требования к обеспечению защиты информации в АС:
1. Для АС в целом и для отдельных ее компонентов в соответствии с требованиями по защите информации от НСД должен быть сформированн перечень необходимых функциональных услуг защиты и определен уровень гарантий их реализации.
2. Сервера, рабочие станции, периферийные устройства, другие технические средства обработки конфиденциальной информации должны быть категорійовані согласно требованиям нормативных документов по технической защите информации.
3. Техническая и эксплуатационная документация на средства защиты и обработки информации, системное и функциональное программное обеспечение должны быть классифицированы и для каждой категории пользователей определен перечень документации, к которой они могут получить доступ.
4. Сервера и рабочие станции, которые осуществляют хранение и обработку конфиденциальной информации, должны располагаться в помещениях, доступ к которым обслуживающего персонала и пользователей разных категорий осуществляется согласно порядка, который определен СЗИ и утвержден руководителем учреждения (организации).
5. Должен осуществляться контроль за доступом пользователей и обслуживающего персонала к рабочим станциям, серверам АС и компонентам подсистемы обмена данными на всех этапах жизненного цикла АС, а также периодический контроль за целостностью компонентов подсистемы обмена данными (с целью выявления несанкционированных ответвлений от компонентов подсистемы).
6. С целью обеспечения непрерывного функционирования во время обработки, хранения и передачи конфиденциальной информации АС должна иметь возможность оперативного, без прекращения ее функционирования, проведение регламентного обслуживания, модернизации вычислительной системы в целом или отдельных ее компонентов.
7. Программно-аппаратные средства защиты, которые входят в состав КЗЗ, вместе с организационными мероприятиями должны обеспечивать СЗИ информацией о пользователях, которые работают в системе, с локализацией точки их входа в систему и перечнем технических средств и процессов, к которым они получили доступ.
8. Должен быть определен порядок организации и проведение процедур периодического и/или динамического тестирования комплекса средств защиты информации во время функционирования АС.