Порядок задания требований

Здесь рассмотрены три сценария. Если закупается готовый продукт, то требования задаются в спецификациях на покупку изделии. Если разработка инициативная, то требования формируются Разработчиком с учетом предполагаемого применения изделия. Цели имеется заказчик изделия, то требования задаются им в ТЗ, Причем отмечена целесообразность в максимальной степени использовать стандартизованные требования, встречающиеся в технических регламентах, стандартах, РД ФСТЭК. Указано, что регламентация задания необходимых требований к изделиям, предназначенным для обработки информации ограниченного досту­па, осуществляется в нормативных документах ФСТЭК — профи-Лях зашиты (ПЗ). Таким образом, ПЗ отнесены к нормативным документам ФСТЭК.

Выделяются три группы требований: функциональные, дове­рия, к среде объекта оценки. Требования задаются в начале разработки изделия ИТ, на основе проведенного глубокого информационного обследования среды применения изделия ИТ. Очевидно, что это неприменимо к продуктам ИТ общего назначения, поэтому для них далее идут всяческие послабления типа «...для Продуктов ИТ общего назначения могут быть сделаны общие утвер­ждения в отношении политики безопасности организации».

В любом случае на наш взгляд представляется невозможным на этапе подготовки ТЗ выполнять такие работы, как оценка активов, подлежащих защите, оценка правил политики безопасности организации, где будет функционировать изделие ИТ, анализ рисков нарушения информационной безопасности. Кроме того, данные процедуры требуют разъяснения, пояснения, составления методик их проведения. Вряд ли кто-то из заказчиков способен их выполнить.

Еще одна проблема состоит в следующем. В Положении указа­но, что в составе предположений о среде на данном этапе «...должны быть учтены проектные ограничения, определяемые общи­ми проектными решениями по изделию ИТ». Но ведь на данном этапе еще нет проектных решений! Впрочем, как указано далее, в ТЗ необходимо указать лишь ссылку на ПЗ, а откуда она появилась — это «на совести» заказчика.

Возможны два случая. Если основным назначением изделия ИТ является обеспечение безопасности информации, то требования к безопасности изделия ИТ составляют основное содержание разделов ТЗ. Если обеспечение безопасности информации — частная задача изделия, то требования должны содержаться в отдельном разделе ТЗ или в Приложении к нему, либо в частном (специальном) ТЗ.

В ТЗ могут включаться требования соответствия одному или нескольким ПЗ, а если изделие предназначено для обработки информмации ограниченного доступа и имеются зарегистрированные ПЗ, то это является обязательным. Если таких ПЗ нет, то в этом случае.ТЗ должно пройти экспертизу в порядке, устанавливаемым ФСТЭК.: Если в ТЗ отсутствует ссылка на ПЗ или ПЗ уточняется, то должны, приводиться не только требования, но и цели безопасности.

Таким образом, при наличии соответствующего зарегистрированного ПЗ, все требования по безопасности к изделию ИТ могут:, состоять в ссылке на этот ПЗ плюс необходимые обоснования, уточнения и дополнения. В Приложении А к Положению приведена более подробная характеристика разделов ТЗ. В Положении отмечена целесообразность экспертизы ТЗ в организациях, специализирующихся на разработке или оценке ПЗ, как было отмечено ранее, нормативных документов ФСТЭК.