Автоматизированные информационные системы, обеспечивающие защиту информации ограниченного распространения, могут создаваться по одному из трех типовых сценариев: первый - в действующую АИС, предназначенную для обработки открытой информации, добавляют функцию защиты, позволяющую обеспечивать обработку информации ограниченного распространения: второй - АИС создается, так сказать, "с нуля", где вместе с прикладной обрабатывающей системой сопрягается на стадии разработки система защиты: третий реализуется типовой проект. Естественно, последний сценарий самый простой в реализации и мы не будем его рассматривать. Более сложным является второй сценарий, который предусматривает набор и стыковку прикладного обеспечения, с одной стороны, и систем защиты с базовыми операционными системами и базами данных с другой.
Опыт создания АИС с обеспечением защиты информации показывает следующее. Самыми опасными являются те АИС, которые позволяют осуществлять пользователю любые действия и использовать любое программное обеспечение. Мы видим два полюса противоречий: полная безопасность и полная свобода действий пользователя. Естественно, реально возможными оказываются АИС, в которых соблюден баланс между безопасностью и применением достаточного объема прикладного программного обеспечения, отвечающего требованиям безопасности обработки информации.
|
|
Поиск АИС, позволяющей сбалансировать указанные противоречия. является основой диалектической составляющей процесса построения информационно-защищенных систем. Как правило, поиск баланса осуществляется на основе компромисса между ограничениями на функциональные возможности программного обеспечения и переносом части функций безопасности из технических реализации в организационные меры. Несмотря на определенную сложность второго сценария построения защищенных АИС. стоимость его реализации оказывается существенно ниже, чем построение защищенной АИС по первому сценарию, т.е. на основе уже действующей незащищенной. В последнем случае требуется, как правило, доработка или переработка действующих программ, а также создание новых средств обеспечения информационной безопасности.
Как при втором, гак и при третьем сценарии создания защищенных АИС можно выделить следующие стадии и этапы разработки. Разница будет заключаться в сложности, а следовательно, и в стоимости реализации этапов.
Существуют следующие стадии создания системы защиты АИС и циркулирующей в ней конфиденциальной информации или, другими словами, электронного конфиденциального документооборота:
|
|
· предпроектная, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание:
· проектирования (разработки проектов) и реализации АИС, включающая разработку системы защиты информации в ее составе;
· ввода в действие системы зашиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств зашиты информации, а также аттестацию АИС на соответствие требованиям информационной безопасности.
Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части состава и структуры конфиденциальной информации целесообразно выполнять представителям организации-заказчика при методической помощи специализированного предприятия. На этой стадии разрабатываются аналитическое обоснование и техническое задание на создание системы или частное техническое задание на подсистему информационной безопасности АИС.
На предпроектной стадии по обследованию объекта, для которого создается АИС, определяются:
· (уточняются) угрозы безопасности информации - факторы, влияющие на конфиденциальную информаци.
· модель вероятного нарушителя применительно к конкретным условиям функционирования ЛИС
· необходимость обработки конфиденциальной информации в ЛИС, оцениваются ее объемы, характер и условия использования:
· конфигурация и топология АИС в целом и ее отдельных составляющих, а также физические, функциональные и технологические связи как внутри разрабатываемой системы, ток и с другими АИС:
· технические средства и системы, предполагаемые к использованию в разрабатываемой ЛИС, условия их расположения, общесистемные и прикладные про 1раммные средства, имеющиеся на рынке и предлагаемые к разработке:
· режимы обработки конфиденциальной информации в АИС;
· данные и компоненты АИС, которые являются важными и должны дублироваться:
· класс защищенности АИС;
· степень участия персонала в обработке (передаче, хранении) конфиденциальной информации, характер их взаимодействия между собой и со Службой информационных технологий (информационной безопасности), а также Службой безопасности организации;
· мероприятия по защите информации в процессе разработки системы.
Но результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания системы защиты конфиденциальной информации, которое должно содержать:
· информационную характеристику создаваемой АИС и организационную структуру, для которой система создается:
· характеристику комплекса технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации:
· перечень угроз информационной безопасности и мероприятий по их предупреждению и предотвращению
· перечень предлагаемых к использованию средств зашиты или обоснование необходимости их разработки (адаптации под конкретные условия функционирования АИС);
· обоснование необходимости привлечения специализированных предприятий для разработки системы защиты информации;
· оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации:
· ориентировочные сроки разработки и внедрения системы защиты информации:
· перечень мероприятий по обеспечению конфиденциальности информации при создании АИС.
Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с разработчиком АИС. руководителями Службы информационных технологий (информационной безопасности) и Службы безопасности организации - заказчика, после чего утверждается руководителем этой организации.
|
|
Результаты предпроектного обследования в части наличия конфиденциальной информации должны базироваться на документально оформленном Перечне конфиденциальной документированной информации. Конфиденциальность исходной информации, подлежащей автоматизированной обработке, а также выходной информации, получаемой в результате обработки, определяется организацией заказчиком АИС на основании Перечня конфиденциальной документированной информации и документально, за подписью руководителя организации, представляется разработчику системы защиты информации.
В целях определения конфиденциальности промежуточной информации циркулирующей (обрабатываемой, хранимой и передаваемой) в АИС, а также оценки достаточности предлагаемых средств и мер защиты информации приказом по организации создастся экспертная комиссия, в состав которой включаются представители организации - заказчика и предприятия - разработчика АИС.
Экспертная комиссия может проводить свою работу в несколько этапов и при этом рассматривает аналитическое обоснование, техническое задание, проектную и эксплуатационную документацию, а также устанавливает конфиденциальность информации, подлежащей обработке, в том числе накопителей, носителей и массивов информации, предложенной организацией заказчиком и разработчиком АИС. Правильность и обоснованность фоков хранения накопителей и носителей информации и их рассылки, достаточность предлагаемых мер зашиты должны соответствовать Перечню конфиденциальной документированной информации. Результатом работы Экспертной комиссии является заключение, утверждаемое руководителем организации, при которой она создана.
На стадии ввода в действие АИС и системы защиты информации в ее составе осуществляются:
· опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами и целях проверки их работоспособности в составе АИС и отработки технологического процесса обработки (передачи) информации;
|
|
· приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта. подписываемого разработчиком и заказчиком; аттестация АИС на соответствие требованиям безопасности информации
На этой стадии оформляются: акты внедрения средств зашиты информации по результатам их приемо-сдаточных испытаний: предъявительский акт о проведении аттестационных испытаний; заключение по результатам аттестационных испытаний; аттестат соответствия.
Эксплуатация АИС осуществится на основе утвержденной организационно-распорядительной и эксплуатационной документации.
Состояние и эффективность защиты информации контролируются службой информационных технологий (информационной безопасности), Службой безопасности организации-заказчика, отраслевыми и федеральными органами контроля. По результатам контроля дается оценка выполнению требований нормативных документов, обоснованности принятых мер и проверке соблюдения норм защиты конфиденциальной информации (см. разд. 6).