4. В отношении подсистемы регистрации и учета:

• организация и контроль процесса регистрации всех случаев, рассмотренных выше;

• анализ регистрируемых данных для оценки уровня безопасности объекта.

Кроме того, в отношении общего управления ядро СЗИ обеспечивает текущее планирование защиты информации, включение компонентов и технологических схем функционирования СЗИ в работу при поступлении запросов на обработку защищаемых данных, подготовку персонала объекта и т. д.

Под организационным построением СЗИ понимается общая организация системы, адекватно отражающая основные принципы построения ОИ. При этом основные элементы СЗИ территориально привязываются к основным организационным составляющим объекта.

Одним из весьма перспективных вариантов такого построения является так называемая семирубежная модель защиты (рис. 4.3).

Существо подхода состоит в следующем. Очевидно, что защита информации в ОИ может быть обеспечена лишь в том случае, если будут защищены элементы, имеющие отношение к ОИ:

• территория, в пределах которой расположены средства ОИ;

• здания и помещения, в которых размещены средства ОИ;

• ресурсы, используемые для обработки и хранения защищаемой информации;

• линии (каналы) связи, используемые для сопряжения элементов ОИ и ОИ с другими (внешними) объектами.

Тогда организационное построение СЗИ в самом общем случае может быть представлено совокупностью следующих рубежей защиты:

• территории, занимаемой ОИ;

• зданий, расположенных на территории;

• помещений внутри здания, в которых расположены ресурсы ОИ и защищаемая информация;

• ресурсов, используемых для обработки и хранения ин формации и самой защищаемой информации: технических ресурсов (средств обработки информации, технических средств шифрования и т. д.), устройств хранения конфиденциальной информации (сейфов, электронных устройств), самой конфиденциальной информации ее носителей;

• линий связи, проходящих в пределах одного и того же здания;

• линий (каналов) связи, проходящих между различными зданиями, расположенными на одной и той же охраняемой территории;

— линий (каналов) связи, выходящих за пределы объекта. При этом в зависимости от требований к уровню безопасности информации на каждом из рубежей защиты могут быть реализованы функции одной или нескольких подсистем защиты, указанных выше.

Рассмотрим далее вопрос о структурном построении СЗИ. Поскольку СЗИ является подсистемой системы обработки ин формации, ее структурное построение может быть определено по аналогии со структурным построением ОИ. Сформированная таким образом структурная схема СЗИ представлена на рис. 4.4.

Содержание выделенных структурных компонентов в общем виде может быть представлено следующим образом. Человеческий компонент составляют те лица (или группы лиц, коллективы, подразделения), которые имеют непосредственное отношение к защите информации в процессе функционирования ОИ. К ним должны быть отнесены:

1. абоненты ОИ, имеющие доступ к ресурсам и участвующие в обработке информации;

2. администрация объекта, обеспечивающая общую организацию функционирования системы обработки, в том числе и СЗИ;

3. телефонисты и операторы ОИ, осуществляющие прием информации, подготовку ее к обработке, управление средства ми ВТ в процессе обработки, контроль и распределение результатов обработки, а также некоторые другие процедуры, связанные с циркуляцией информационных потоков;

4. администраторы банков данных, отвечающие за организацию, ведение и использование баз данных ОИ, а также специалисты, занимающиеся ведением защищенного документооборота;

5. обслуживающий персонал, обеспечивающий работу технических средств ОИ, в том числе и средств СЗИ;

6. системные программисты, осуществляющие управление программным обеспечением ОИ;

7. служба защиты информации, которая несет полную ответственность за защиту информации и имеет особые полномочия. Если эта служба в виде самостоятельного подразделения не создается, то ее функции должны быть возложены на обслуживающий персонал ОИ и администрацию банков данных с соответствующим изменением ее организационно-правового статуса.

Ресурсы информационно-вычислительной системы, необходимые для создания и поддержания функционирования СЗИ, как и любой другой автоматизированной системы, объединяются в техническое, математическое, программное, информационное и лингвистическое обеспечение. Состав и содержание перечисленных видов обеспечения определяются следующим образом:

— техническое обеспечение — совокупность технических средств, необходимых для технической поддержки решения всех тех задач по защите информации, решение которых может потребоваться в процессе функционирования СЗИ. В техническое обеспечение СЗИ, естественно, должны быть включены все технические средства защиты, которые могут оказаться не обходимыми в конкретной СЗИ. Кроме того, к ним относятся те технические средства, которые необходимы для решения задач по управлению механизмами защиты информации;

• математическое обеспечение — совокупность математических методов, моделей и алгоритмов, необходимых для оценки уровня защищенности информации и решения других задач по защите;

• программное обеспечение — совокупность программ, реализующих программные средства защиты, а также программ, необходимых для решения задач по управлению механизмами защиты. К ним должны быть отнесены также сервисные и вспомогательные программы СЗИ;

• информационное обеспечение — совокупность систем классификации и кодирования данных о защите информации, массивы данных СЗИ, а также входные и выходные документы СЗИ;

• лингвистическое обеспечение — совокупность языковых средств, необходимых для обеспечения взаимодействия компонентов СЗИ между собой, с компонентами ОИ и внешней средой.

Организационно-правовое обеспечение как компонент СЗИ представляет собой совокупность организационно-технических мероприятий и организационно-правовых актов. Организационно-технические мероприятия, с одной стороны, участвуют в непосредственном решении задач по защите (чисто организационными средствами или совместно с другими средствами защиты), а с другой — объединяют все средства в единые комплексы защиты информации.

Организационно-правовые акты являются правовой основой, регламентирующей и регулирующей функционирование всех элементов СЗИ. В целом же организационно-правовое обеспечение служит для объединения всех компонентов в единую систему защиты.

ПРИНЦИПЫ КОМПЛЕКСНОГО ПОДХОДА.

Последнее десятилетие научный и технический прогресс связан с все более глубоким и широким применением различных свойств информации. Наряду с философскими и математическими проблемами информации большое внимание уделяется различным инженерным проблемам ее использования, обеспечения целостности, достоверности и защиты от различного типа угроз.

Сегодня резко возрастет роль информационных процессов как в производстве, ориентированном на гибкую автоматизацию, так и в духовной сфере, использующей еще традиционные информационные средства и все шире переходящей на использование современных средств автоматизации. Немалую роль здесь играют факторы организации информационной среды, оптимальное определение путей движения информации как товара, проблема обеспечения ее безопасности. Перевод всей документации фирмы в электронный вид на корпоративную сеть, организация электронной торговли и т. д. предопределяют упреждающее развитие надежных средств обеспечения информационной безопасности. По оценкам американских специалистов., уже к 2005 г. объём планируемых электронных продаж составит 8-10 млрд. дол., но отсутствие надёжных средств безопасности информации, как минимум, вдвое уменьшит эту сумму. Очевидно, что отсутствие или недостаток

гарантированных средств и систем информационной безопасности являются существенными сдерживающими факторами развития электронного бизнеса.

Анализ различных источников показывает, что, по оценкам различных специалистов (в том числе и зарубежных), от 80 до 90% информации, обращающейся в корпоративной компьютерной сети (ККС), является служебной или коммерческой информацией. На наш взгляд, - это расхожее заблуждение. Дело в том, что, основываясь на концептуальной модели безопасности информации (рис. 1), можно с уверенностью сказать о 100%-й закрытости её от несанкционированного доступа (НСД).

Даже такой документ, как полный список сотрудников фирмы или организации, в руках «конкурента» уже представляет потенциальную угрозу для фирмы. Излишне напоминать, что информационные атаки на корпоративные сети фирм и организаций лишь в 2 из 100 случаев становятся заметными. Это просто «неудачные» атаки. Результаты «удачных» (незаметных) информационных атак могут быть не только ощутимыми, но и разрушительными для фирмы. Не вдаваясь в подробности проведенного анализа информационной безопасности корпоративных сетей ряда фирм и организаций, можно сделать весьма неутешительные выводы о прочности и надежности «информационных запоров» и констатировать, что проблем в обеспечении информационной безопасности немало и их необходимо срочно и эффективно решать.

Общепризнанно, что сегодня наиболее перспективной основой для построения систем информационной безопасности служит так называемый комплексный подход. Его идея внешне выглядит достаточно просто и заключается в рациональном сочетании различных организационных, правовых и программно-технических мер, средств и мероприятий с учетом требований действующих нормативно-правовых и нормативно-технических документов, разработанных на предприятиях, а также в официальных структурах России. На практике все гораздо сложнее, и эту «рациональность» обеспечить вовсе не так просто.

При создании комплексной системы необходимо защищать информацию во всех фазах ее существования - как электронной (содержащейся и обрабатываемой в автоматизированных системах или на машинных носителях), так и документальной (бумажные документы). В комплексной системе защищать информацию необходимо не только от несанкционированного доступа к ней, но и от несанкционированного вмешательства в процесс ее обработка, хранения и передачи, от попыток нарушения работоспособности программно-технических средств и т.п.

Наряду с рассмотренными выше соображениями в основе реализации комплексного подхода к обеспечению информационной безопасности сегодня заложены, по крайней мере, еще два принципа.

Первый принцип состоит в том, что абсолютно надежную защиту создать практически невозможно. Поэтому одним из важнейших требований к системе является разумное соотношение затрат на защиту информации и возможных финансовых потерь от нарушения информационной безопасности. Правильно построенные системы должны требовать от злоумышленника таких затрат времени или денег на «вскрытие», чтобы эта операция оказывалась бессмысленной с практической точки зрения.

Второй принцип предполагает гибкость системы и легкость адаптации к изменяющимся внешним условиям. Поскольку угрозы информационной безопасности постоянно становятся все изощреннее, в системе должен быть заложен определенный запас прочности как в части программно-технических средств, так и в части организационных мер безопасности.

Комплексный подход предполагает защиту всей информационной инфраструктуры предприятия от любых несанкционированных действий. Поэтому очень важно, как с методической точки зрения будет организована разработка такой системы. К настоящему времени сложилась вполне определенная последовательность разработки комплексных систем обеспечения информационной безопасности, которая включает в себя несколько рассмотренных ниже этапов.

ОСНОВНЫЕ НАПРАВЛЕНИЯ И ЭТАПЫ РАБОТ ПО СОЗДАНИЮ СЗИ.

В общем случае создание комплексной системы безопасности проводится в рамках трех направлений работ - методологическом, организационном и программно-техническом.

Основной задачей методологического направления является разработка концепции (политики) безопасности предприятия, представляющей собой документ, который, в частности, определяет:

• состав и особенности информационных потоков организации;

• виды представления информации для каждого информационного потока (например, бумажный документ, электронный документ, запись в базе данных и др.);

• категории конфиденциальной информации в организации и классификацию информации по категориям конфиденциальности;

• возможные пути разглашения конфиденциальной информации (модель угроз);

• модель нарушителя для каждой угрозы, в том числе профессиональный круг лиц, к которому может принадлежать нарушитель; мотивацию и цели действий нарушителя, предполагаемые квалификация и характер его возможных действий;

• вероятности реализации каждого вида угроз и усредненные вероятные величины убытков (риски).

В рамках организационного направления работ создается совокупность правил, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления. Эта совокупность правил отражается в руководящих документах, составляющих регламент обеспечения безопасности.

Регламент обеспечения безопасности, в частности, определяет правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности, в том числе:

• порядок допуска сотрудников к конфиденциальной информации;

• обязанности и ограничения, накладываемые на сотрудников, до- пущенных к конфиденциальной информации;

• порядок изменения категории конфиденциальности работ и ин- формации;

• требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация в соответствии с ее категориями;

• требования к конфиденциальному делопроизводству;

• требования к учету, хранению и обращению с конфиденциальными документами;

• меры по контролю обеспечения конфиденциальности работ и ин- формации;

• порядок действий, предпринимаемых при обнаружении разглашения информации с целью пресечения процесса разглашения/утечки (план мероприятий по противодействию атаке на конфиденциальную информацию);

• порядок действий, предпринимаемых после пресечения процесса разглашения/утечки информации (план мероприятий по восстановлению конфиденциальности информации);

• меры ответственности за разглашение конфиденциальной ин- формации.

В состав регламента безопасности могут входить как собственно концепция безопасности, так и целый ряд дополнительных документов, например, положение о категорировании информационных ресурсов, план защиты информационно-вычислительных систем, инструкции по пропускному и внутриобъектовому режиму, по системе разграничения доступа, работе с кадрами и др. Эти документы должны определять порядок функционирования комплексной системы информационной безопасности как в штатном режиме, так и в аварийных ситуациях.

В рамках технического направления реализуется комплекс программно-технических средств комплексной системы обеспечения ин-формационной безопасности. Здесь возможны два основных варианта -разработка всей информационной системы «с нуля» с учетом требований информационной безопасности или встраивание элементов защиты в уже существующую информационную систему.

Хронологически процесс разработки комплексной системы информационной безопасности включает несколько этапов. С формальной точки зрения этот процесс, как, впрочем, и процесс разработки большинства других систем, включает стадии: предпроектную, проектирования и разработки системы, внедрения (опытная эксплуатация, приемосдаточные испытания и аттестация системы по установленным правилам), а также стадию эксплуатации и модернизации системы.

Функционально процесс разработки системы безопасности можно представить последовательностью этапов информационного обследования, разработки организационно-распорядительных документов, приобретения, установки и настройки программно-технических средств защиты, ввода системы в эксплуатацию. В ходе эксплуатации системы, как правило, проводится ее модернизация в соответствии с изменяющимися внешними условиями. Некоторые особенности проведения отдельных работ по созданию комплексной системы безопасности будут рассмотрены ниже.

ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ ИБ ОБЪЕКТА

Анализ состояния дел в области информационной безопасности показывает, что в ведущих странах сложилась достаточно четко очерченная система концептуальных взглядов на проблемы информационной безопасности.

И, тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, а имеют достаточно устойчивую тенденцию к росту.

Это свидетельствует о том, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация обеспечения безопасности информационной системы.

Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов.

Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности. Суть этого принципа заключается в постоянном контроле функционировании системы, выявлении ее слабых мест, потенциально возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть одноразовым актом.

Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Комплексный характер защиты информации проистекает прежде всего из характера действий злоумышленников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.

Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм — систему информационной безопасности. Только в этом случае появляются системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.

Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа к ней.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы ин-формационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты.

ТРЕБОВАНИЯ К СИСТЕМЕ ИБ ОБЪЕКТА

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований. Защита информации должна быть:

• централизованной: необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

• плановой: планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

• конкретной и целенаправленной: защите подлежат конкретные информационной ресурсы, могущие представлять интерес для конкурентов;

• активной: защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности, что предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

• надежной и универсальной: должна охватывать весь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена,

• нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;

• открытой для изменения и дополнения мер обеспечения безопасности информации;

• экономически эффективной: затраты на систему защиты не должны превышать размеры возможного ущерба.

Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут небесполезны создателям систем информационной безопасности:

• средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей,

• каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;

• возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;

• независимость системы защиты от субъектов защиты;

• разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

• отсутствие на предприятии излишней информации о существовании механизмов защиты.

Все перечисленные позиции должны лечь в основу формирования системы защиты информации.

При обеспечении информационной безопасности существуют два аспекта:

• формальный - определение критериев, которым должны соответствовать защищаемые информационные технологии;

• практический - определение конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии

Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о единой концепции ИБ.

Теперь, владея основными концептуальными положениями, необходимо освоить механизм выработки детальных предложений по формированию политики и построению системы информационной безопасности.

ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ

В материалах [17 - 20] четко регламентирован порядок организации мероприятий по защите информации. Следуя этим материалам, отмечается, что организация и проведение работ по технической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами, определяются действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России.

Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации - на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия).

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специализированным предприятием, имеющим лицензии Гостехкомиссии России и/или ФСБ на соответствующий вид деятельности в области защиты информации.

В случае разработки СЗИ или ее отдельных компонентов специализированным предприятием в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и Эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение СЗИ осуществляются во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

• порядок определения защищаемой информации;

• порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

• порядок взаимодействия всех занятых: в этой работе организаций, подразделений и специалистов;

• порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

• ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

Устанавливаются следующие стадии создания системы защиты информации:

• предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

• стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;

• стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемосдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации, а также:

• определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;

• определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

• определяются условия расположения объектов информатизации относительно границ контролируемой зоны (КЗ);

• определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, гак и с другими системами различного уровня и назначения;

• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

• определяются режимы обработки информации в АС в целом и в отдельных компонентах;

• определяется класс защищенности АС;

• определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер взаимодействия сотрудников между собой и со службой безопасности;

• определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в том числе настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.

Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.

Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.

Аналитическое обоснование необходимости создания СЗИ должно содержать:

• информационную характеристику и организационную структуру объекта информатизации;

• характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

• возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

• перечень предлагаемых к использованию сертифицированных средств защиты информации;

• обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

• оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

• ориентировочные сроки разработки и внедрения СЗИ;

• перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

Техническое (частное техническое) задание на разработку СЗИ должно содержать:

• обоснование разработки,

• исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

• класс защищенности АС;

• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;

• конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленною класса защищенности АС;

• перечень предполагаемых к использованию сертифицированных средств защиты информации;

• обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

• состав, содержание и сроки проведения работ по этапам разработки и внедрения;

• перечень подрядных организаций исполнителей работ;

• перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.

В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации.

Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации оформляется актом. Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

На стадии проектировании и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;

• разработка раздела технического проекта на объект информатизации в части защиты информации;

• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

• закупка сертифицированных технических, программных и программно-технических (в том числе криптографических) средств защиты информации и их установка;

• разработка (доработка) или закупка и последующая сертификация но требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

• организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

• • разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

• определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работы по защите информации на стадии эксплуатации объекта информатизации;

• выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

• разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций: и других документов);

• выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация СЗИ, состоящие из:

• пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;

• описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;

• плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;

• технического паспорта объекта информатизации;

• инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются.

• • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

• приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком:

• аттестация объекта информатизации по требованиям безопасности информация.

На этой стадии оформляются:

• акты внедрения средств защиты информации по результатам их приемосдаточных испытаний;

• предъявительский акт к проведению аттестационных испытаний.

• заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется «Аттестат соответствия» требованиям по безопасности информации.

Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

• о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;

• о формировании группы обследования и назначении ее руководителя:

• о заключении соответствующих договоров на проведение работ;

• о назначении лиц, ответственных за эксплуатацию объекта информатизации;

• о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

Для объектов информатизации, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (модернизации), переоформления организационно-распорядительной, технологической и эксплуатационной документации.

Программа аттестационных испытаний такого рода объектов информатизации определяется аттестационной комиссией.

Необходимым условием является их соответствие действующим требованиям по защите информации.

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, с учетом соответствующих требований и положений.

С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных: программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности технических средств в учреждении (на предприятии), приводится периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

• соблюдения нормативных и методических документов Гостехкомиссии России;

• работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией;

• знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации. Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

При необходимости по решению руководителя предприятия в ЗП и в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию «закладок», предназначенных для скрытого перехвата защищаемой информации.

Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФСБ России на данный вид деятельности.