- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
Данные процедуры могут быть описаны в отдельном документе или включены в ЭД. Инструментальные средства контроля за идентичностью изделия при поставке и т.д. должны быть сертифицированы.
За безопасность изделия при его доставке к месту эксплуатации отвечает разработчик.
Конкретные требования к поставке и вводу в эксплуатации будут указаны в «Критериях…» в зависимости от ОУД.
На этапе эксплуатации должна разрабатываться «Программа обеспечения безопасности при эксплуатации изделия ИТ», также должна иметься организационно-распорядительная документация по обеспечению доверенной среды изделия ИТ, содержащая описание всех мер, необходимых для обеспечения безопасности изделий ИТ. Должны быть предусмотрены процедуры для пересмотра и аудита мер обеспечения безопасности доверенной среды изделий ИТ.
В требованиях по снятию изделия с эксплуатации нет ничего специфичного. Обращает на себя внимание лишь уточнение терминологии: под стиранием понимается удаление данных, делающее невозможным их восстановление с применением обычных методов, под уничтожением – с применением лабораторных методов.
2.6 Этапы разработки ксзи
По мнению ведущих специалистов в области защиты информации, в настоящее время можно выделить три различных концептуальных подхода к проектированию систем защиты:
1) «Продуктовый». Данный подход характерен для компаний-производителей средств защиты информации, занимающихся, кроме того, и разработкой законченных проектов в области безопасности. Понятно желание такой компании построить КСЗИ вокруг производимого ею продукта или линейки продуктов. При этом эффективность КСЗИ зачастую страдает.
Однако это вовсе не означает, что такой компании нельзя поручать реализацию проекта. Ведь кто лучше разработчиков знают особенности своего продукта? Просто в этом случае желателен контроль за проектированием со стороны либо своих высококлассных специалистов, либо специалистов привлекаемых консалтинговых фирм.
2) «Комплекс продуктов». Данный подход используют компании - поставщики решений в области защиты информации. Понимая отсутствие единого продукта, защищающего от всех угроз, компания предлагает комплексное решение проблемы. Это решение состоит из комбинации продуктов разных производителей, каждый из которых предназначен для решения какой-либо задачи. Например, для защиты дисков компьютера от НСД применяются электронные замки, для защиты каналов связи – VPN.
«Опасность» такого подхода заключается в искушении для разработчика пойти по пути наименьшего сопротивления и реализовывать защиту, отталкиваясь от наличия и знания СЗИ. При этом возможна значительная избыточность реализованных механизмов безопасности и закупленных СЗИ, отсутствует целостное решение проблемы.
По-видимому, этот подход наиболее привлекателен для небольших компаний, которые не могут позволить себе покупать дорогие услуги компаний-интеграторов.
3) «Комплексный». При двух выше рассмотренных подходах окончательное решение о построении КСЗИ принимает заказчик, который в общем случае не является экспертом в области информационной безопасности. Поэтому и вся ответственность за принятые решения лежат на нем. Иногда, хотя и достаточно редко, встречается и третий подход, когда ответственность за принимаемые решения по защите информации возлагает на себя компания-интегратор. При этом она реализует единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.
Перед выработкой замысла на построение КСЗИ интегратор выполняет всестороннее обследование предприятия заказчика. Это обследование выполняется в трех плоскостях: бизнес-процессы, технические средства и СВТ, программные средства. Определяются основные информационные потоки, технология обработки информации, наличие и качество имеющихся средств обеспечения безопасности, опыт и знания персонала по работе с теми или иными программными продуктами.
На основе полученных данных формируется замысел по защите информации, состоящий из комплекса организационных, технических и программно-аппаратных мер защиты. Затем уже обосновывается применение тех или иных СЗИ и технологий защиты.
Итак, основными этапами работ по созданию КСЗИ являются:
1. Обследование организации
Услуги по обследованию организации могут достаточно сильно различаться у разных поставщиков услуг. Это может быть анализ защищенности вычислительной системы, обследование вычислительной системы (гораздо более глубокий уровень детализации), обследование организации в целом, т.е. охват «бумажного» документооборота и бизнес процессов организации с точки зрения информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п.
На стадии обследования организации [14]:
устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой КСЗИ, оценивается уровень конфиденциальности и объемы;
определяется наличие аттестованных помещений, средств защиты от утечки по техническим каналам;
определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
изучаются принятые в организации правила бумажного документооборота;
анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;
определяются мероприятия по обеспечению режима секретности на стадии разработки.
2. Проектирование системы защиты информации
При проектировании системы информационной безопасности могут быть охвачены как все три уровня мер защиты - организационного, технического и программно-аппаратного, так и исключительно технический уровень. Это два принципиально разных типа работ и по сути, и по объемам, т.к. первый предполагает разработку концепции (политики) информационной безопасности, нормативно-распорядительных документов, различных регламентов и только потом - технического проекта;
3. Внедрение системы защиты информации
Заказчику выгодно использовать подрядную организации и не иметь проблем с единовременным привлечением большого количества специалистов по информационной безопасности, контролем качества выполняемых работ, выработкой единой политики безопасности;
4. Сопровождение системы информационной безопасности
Оперативное реагирование на внештатные ситуации, периодическое обновление специального ПО, установка необходимых "заплат" на общесистемное ПО, отслеживание появления новых атак и уязвимостей;
5. Обучение специалистов по защите информации
Обучение руководителей служб безопасности, руководителей IT-подразделений, пользователей средств защиты.