Этапы разработки КСЗИ

Поставка и ввод в действие. Эксплуатация изделия

Данные процедуры могут быть описаны в отдельном документе или включены в ЭД. Инструментальные средства контроля за идентичностью изделия при поставке должны быть сертифици­рованы.

За безопасность изделия при его доставке к месту эксплуата­ции отвечает разработчик.

Конкретные требования к поставке и вводу в эксплуатацию будут указаны в «Критериях...» в зависимости от ОУД.

На этапе эксплуатации должна разрабатываться «Программа обеспечения безопасности при эксплуатации изделия ИТ», также должна иметься организационно-распорядительная документация по обеспечению доверенной среды изделия ИТ, содержащая опи­сание всех мер, необходимых для обеспечения безопасности из­делий ИТ. Должны быть предусмотрены процедуры для пересмотра и аудита мер обеспечения безопасности доверенной среды изде­лий ИТ.

В требованиях по снятию изделия с эксплуатации нет ничего специфичного. Обращает на себя внимание лишь уточнение тер­минологии: под стиранием понимается удаление данных, делаю­щее невозможным их восстановление с применением обычных методов, под уничтожением — с применением лабораторных ме­тодов.

По мнению ведущих специалистов в области защиты инфор­мации, в настоящее время можно выделить три различных кон­цептуальных подхода к проектированию систем защиты:

1. «Продуктовый». Данный подход характерен для компаний-производителей средств защиты информации, занимающихся, кроме того, и разработкой законченных проектов в области без­опасности. Понятно желание такой компании построить КСЗИ вокруг производимого ею продукта или линейки продуктов. При этом эффективность КСЗИ зачастую страдает. Однако это вовсе не означает, что такой компании нельзя поручать реализацию проекта: вряд ли кто-то знает особенности продукта лучше его разработчиков. Просто в этом случае желателен контроль за проектированием со стороны либо своих высококлассных специалис­тов, либо специалистов привлекаемых консалтинговых фирм.

2. «Комплекс продуктов». Данный подход используют компа­нии-поставщики решений в области защиты информации. Пони­мая отсутствие единого продукта, защищающего от всех угрозе компания предлагает комплексное решение проблемы. Это реше­ние состоит из комбинации продуктов разных производителей, каждый из которых предназначен для решения какой-либо зада­чи. Например, для защиты дисков компьютера от НСД применя­ются электронные замки, для защиты каналов связи — VPN. «Опас­ность» такого подхода заключается в искушении для разработчи­ка пойти по пути наименьшего сопротивления и реализовывать защиту, отталкиваясь от наличия и знания СЗИ. При этом воз­можна значительная избыточность реализованных механизмов безопасности и закупленных СЗИ, отсутствует целостное реше­ние проблемы. По-видимому, этот подход наиболее привлекате­лен для небольших компаний, которые не могут позволить себе покупать дорогие услуги компаний-интеграторов.

«Комплексный». При двух ранее рассмотренных подходах окончательное решение о построении КСЗИ принимает заказ­чик, который в общем случае не является экспертом в области информационной безопасности, поэтому и вся ответственность за принятые решения лежит на нем. Иногда, хотя и достаточно редко, встречается и третий подход, когда ответственность за при­нимаемые решения по защите информации возлагает на себя ком­пания-интегратор. При этом она реализует единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.

Перед выработкой замысла на построение КСЗИ интегратор выполняет всестороннее обследование предприятия заказчика. Это обследование выполняется в трех плоскостях: бизнес-процессы, технические средства и СВТ, программные средства. Определяются основные информационные потоки, технология обработки информации, наличие и качество имеющихся средств обеспече­ния безопасности, опыт и знания персонала по работе с теми или¹ иными программными продуктами.

На основе полученных данных формируется замысел по защи­те информации, состоящий из комплекса организационных, техни­ческих и программно-аппаратных мер защиты. Затем уже обосно­вывается применение тех или иных СЗИ и технологий защиты.

Итак, основными этапами работ по созданию КСЗИ являются:

1. Обследование организации.

Услуги по обследованию организации могут достаточно силь­но различаться у разных поставщиков услуг. Это может быть ана­лиз защищенности вычислительной системы, обследование вы­числительной системы (гораздо более глубокий уровень детализации), обследование организации в целом, т.е. охват «бумажного» документооборота и бизнес процессов организации с точки зрениия информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п. На стадии обследования организации [23]:

• устанавливается наличие секретной (конфиденциальной) ин­формации в разрабатываемой КСЗИ, оценивается уровень кон­фиденциальности и объемы;

. определяется наличие аттестованных помещений, средств за­щиты от утечки по техническим каналам;

. определяются режимы обработки информации (диалоговый, и обработки и режим реального времени), состав комплекса нлмических средств, общесистемные программные средства и т.д.;

. изучаются принятые в организации правила бумажного доку­ментооборота;

• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодей­ствия между собой и со службой безопасности;

. определяются мероприятия по обеспечению режима секрет­ности на стадии разработки.

2. Проектирование системы защиты информации.

При проектировании системы информационной безопасности могут быть охвачены как все три уровня защиты — организацион­ный, технический и программно-аппаратный, так и исключительно технический уровень. Это два принципиально разных типа работ и по сути, и по объемам, так как первый предполагает разработку концепции (политики) информационной безопасности, норматив­но-распорядительных документов, различных регламентов и только рогом — технического проекта.

3. Внедрение системы защиты информации.

Заказчику выгодно использовать подрядную организацию и не иметь проблем с единовременным привлечением большого коли­чества специалистов по информационной безопасности, контро­лем качества выполняемых работ, выработкой единой политики Ос (опасности.

4. Сопровождение системы информационной безопасности.

Оперативное реагирование на внештатные ситуации, периоди­ческое обновление специального ПО, установка необходимых «за­плат» на общесистемное ПО, отслеживание появления новых атак и уязвимостей.

5. Обучение специалистов по защите информации. Обучение руководителей служб безопасности, руководителей

II-подразделений, пользователей средств защиты.