- •Содержание
- •Сокращения и обозначения
- •Введение
- •Теоретическая часть
- •Проектирование ксоиб ас
- •Обоснование требований и анализ условий зи
- •Определить объект защиты:
- •Определить и обосновать факторы, влияющие не зи в ас:
- •Проанализировать условия зи в ас:
- •Выбрать и обосновать требования по зи:
- •Определение функций зи
- •Определение перечня потенциально возможных каналов несанкционированного получения информации
- •Обоснование перечня задач зи
- •Выбор средств решения задач зи
- •Оценка эффективности зи
- •Обоснование уточнения задания на проектирование
- •Обоснование структуры и технологии функционирования сзи
- •Технико-экономические оценки проекта
- •Решение организационно-правовых вопросов зи
- •Оформление эксплуатационной документации ксиб
- •Аттестация по требованиям безопасности
- •Подготовка отчетных документов по результатам аттестации
- •Аккредитация
- •Эксплуатации ксиб на объекте защиты
- •Исхдные данные
- •Порядок выполнения работы
- •Библиографический список
Технико-экономические оценки проекта
Для окончательного обоснования выбранного и уточненного варианта проекта СЗИ необходимо оценить его с технико-экономической точки зрения (зачем приступать к реализации СЗИ, затраты на которую могут превысить стоимость защищаемой информации, или же она может оказаться ненадежной в плане живучести…). Поэтому проводятся мероприятия по оценки:
надежности выполнения системой функций по ЗИ,
живучести СЗИ – способности выполнять свои функции в экстремальных условиях функционирования АС,
степени влияния СЗИ на временные характеристики АС при автоматизированной обработке информации,
экономические оценки СЗИ.
Решение организационно-правовых вопросов зи
В случае, когда оценки проекта СЗИ показали положительные результаты, можно приступать к реализации выбранного проекта. Для этого, в первую очередь, необходимо решить организационно-правовые вопросы ЗИ, включающие такие мероприятия как:
определение прав и обязанностей по ЗИ всех подразделений и лиц, участвующих в процессе функционирования АС,
разработка правил осуществления всех процедур и мероприятий по ЗИ,
обучение всех лиц, участвующих в процессе функционирования АС, выполнению правил обеспечения ЗИ,
разработка правил и порядка контроля функционирования СЗИ,
определение мер отвтственности за нарушение правил ЗИ,
разработка порядка разрешения спорных и конфликтных ситуаций, возникающих в процессе функционирования АС и относящихся к вопросам обеспечения ЗИ.
Помимо решения организационно-правовых вопровов в рамках реализации выбранного проекта КСОИБ АС, необходимо провести такие мероприятия как:
оформить эксплутационную документацию на СЗИ и АС,
провести аттестацию объекта по требованиям БИ,
и, наконец, приступить к эксплуатации КСОИБ на объекте.
Эти вопросы выходят за рамки проектирования КСОИБ АС, поэтому рассмотрим их отдельно.
Оформление эксплуатационной документации ксиб
ЭД КСОИБ АС можно разделить на:
документацию функциональной части,
документацию организационного обеспечения,
документацию информационного обеспечения,
документацию технического обеспечения,
документацию программного обеспечения.
ЭД КСОИБ АС должна:
быть достаточной для ввода СЗИ и АС в действие и их эффективного функционирования,
содержать сведения, необходимые для быстрого и качественного освоения и правильной эксплуатации средств СЗИ и АС,
содержать указания по деятельности персонала АС в аварийных ситуациях или при нарушении нормальных условий функционирования СЗИ и АС,
не содержать положений, допускающих неоднозначное толкование.
ЭД КСОИБ должна соответствовать требованиям ГОСТ 34.201, нормативной документацией по защите обрабатываемой информации, в частности в соответствии с федеральным законом «Об участии в Международном информационном обмене» от 04.07.1996г. № 85-ФЗ, ГОСТ Р 6.30-2003 «Требования к оформлению документов».
Аттестация по требованиям безопасности
Аттестация АС проводиться на основании основных нормативных и руководящих документов ГТК по аттестации объектов информатизации, таких как:
Специальные требования и рекомендации по защите информации, составляющей государственную тайну и обрабатываемой техническим средствами, от утечки по техническим каналам (СТР), утвержденные решением ГТК от 23.05.1997г. № 55;
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены решением коллегии ГТК от 2 марта 2001 г. № 7.2;
«Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем ГТК 25.11.1994г.
«Временные методические указания управлениям Гостехкомиссии России по федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации», введены приказом ГТК от 21.06.2002г. № 201.
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ГТК. Обязательной аттестации подлежат АС, предназначенные для обработки информации, составляющей государственную тайну, для управления экологически опасными объектами и для ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца АС. Система аттестации АС является составной частью Единой системы сертификации СрЗИ и аттестации объектов информатизации по требованиям БИ, организация функционирования которой осуществляется ГТК. Процедуру аттестации АС можно условно разделить на несколько последовательных этапов:
планирование,
сбор информации,
базовый анализ,
детальный анализ,
подготовка отчетных документов,
аккредитация.
Планирование
Можно выделить четыре стадии планирования:
инициирование;
анализ;
планирование ресурсов;
документирование плана проведения аттестации.
Принятая схема проведения аттестации оформляется в виде «Программы аттестации».
Сбор информации
Существует 3 основных метода сбора информации: от обслуживающего персонала и разработчиков АС, изучение документации, проведение опросов.
Для этого должны быть подготовлены следующие документы:
документы, содержащие требования БИ,
отчет по результатам анализа рисков,
диаграммы информационных потоков приложений,
описание механизмов БИ.
Базовый анализ
Проводится анализ механизмов безопасности АС, позволяющий определить общий уровень ее защищенности и степень соответствия требованиям БИ и заключающийся в проверке наличия в составе системы компонентов, реализующих необходимый набор требований БИ.
Детальный анализ
Во многих случаях для проведения аттестации бывает недостаточно одного базового анализа, что требует проведения детального анализа для поиска конкретных ошибок в реализации АС, при этом:
оценивают эффективность реализации функций безопасности,
проверяется правильность функционирования механизмов БИ.
Здесь может использоваться большинство известных методов тестирования, формальная верификация