Кадровое обеспечение функционирования комплексной системы защиты информации

date image 2014-02-03
views image 1409
Поделись с друзьями: 
2345678

Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию

Назначение и структура технического задания (общие требования к содержанию)

Техническое задание (ТЗ), или тактико-техническое задание (ТТЗ), исходный технический документ, утверждаемый заказчиком работ и устанавливающий комплекс тактико-технических требований к создаваемому изделию, а также требования к содер-J жанию, объемам и срокам выполняемых работ*. Договор на npo-j ведение работ должен содержать положение о том, что ТЗ (ТТЗ) является его неотъемлемой частью.

Технические задания разрабатываются и соответстнии с государственными стандартами, например: ГОСТ РВ 15.201—2003 «Система разработки и поставки продукции на производство. Военная техника. Тактико-техническое (тех» ническос) задание на выполнение опытно-конструкторских работ».

ТЗ (ТТЗ) разрабатывается заказчиком, вместе с тем, как прави­ло, проект ТЗ (ТТЗ) разрабатывается в соответствии с договором на проведение работ исполнителем или другой уполномоченной шказчиком организацией.

Составные части работ исполнитель по согласованию с заказ­чиком может поручать соисполнителям. ТЗ (ТТЗ) на составные части работ разрабатываются головным исполнителем.

В ТТЗ (ТЗ) на проведение работ устанавливают цель разработ­ки и назначение разрабатываемого (модернизируемого) изделия, совокупность тактико-технических, технических, эксплуатацион­ных, технико-экономических, специальных и других требований, требований к видам обеспечения, предъявляемых к изделию, эта­пы ОКР работ, в том числе порядок испытаний и приемки работ, сроки их выполнения и перечень руководящих документов, стан­дартов и других носителей информации, содержащих исходные данные, необходимые для выполнения работ. —

ТТЗ на ОКР разрабатывают на основе НТД системы ОТТ, стан­дартов, результатов научно-исследовательских и эксперименталь­ных работ, аванпроектов (если они выполнялись), патентных ис­следований, анализа новейших достижений и перспектив разви-гия отечественной и зарубежной науки и техники, опыта преды­дущих разработок аналогичных изделий, их эксплуатации и при­менения, исходя из условий максимальной эффективности при соблюдении требований безопасности (в том числе экологиче­ской).

Степень секретности сведений, излагаемых в ТТЗ (ТЗ) на про-недение работ, и соответствующий гриф секретности ТТЗ (ТЗ) определяют разработчик документа на основании Закона РФ «О государственной тайне» (20) и ведомственных перечней сведе­ний, подлежащих засекречиванию.

Наличие в ТТЗ (ТЗ) другой информации ограниченного досту­па определяется также его разработчиком по согласованию с за­казчиком работ.

Передача информации о содержании ТТЗ (ТЗ) и проводимых работ третьим лицам осуществляется по решению заказчика.

ТТЗ должно состоять из разделов, располагаемых в следующем порядке:

• наименование, основание, исполнитель и сроки выполнения работ;

• цель выполнения работ, наименование и индекс изделия;

• тактико-технические требования к изделию (раздел должен состоять из следующих подразделов: состав изделия; требования назначения; требования радиоэлектронной защиты; требования живучести и стойкости к внешним воздействиям; требования на­дежности; требования эргономики, обитаемости и технической ктетики; требования к эксплуатации, хранению, удобству технического обслуживания и ремонта; требования транспортабельно­сти; требования безопасности; требования обеспечения режима сохранности информации ограниченного доступа; требования за­шиты от технических средств разведки и т.д.);

• технико-экономические требования;

• требования к видам обеспечения;

• требования к сырью и материалам;

• требования к консервации, упаковке и маркировке;

• требования к учебно-тренировочным средствам;

• специальные требования;

• требования зашиты государственной тайны или иной инфор­мации ограниченного доступа (устанавливаются цели и задачи обеспечения ЗИ применительно к создаваемому изделию; вклю­чают требования по проведению анализа возможных каналов утеч­ки сведений об изделии, оценке их информативности и выработ­ке мер по закрытию этих каналов при создании, испытаниях, транс­портировании, эксплуатации и ремонте изделия, требования про­ведения контроля и оценки достаточности принятых мер по со­хранению сведений об изделии на каждом этапе работ с ним, а также другие требования к образцу по обеспечению ЗИ в соответ­ствии с действующими руководящими документами) [15];

• этапы выполнения работ;

• порядок выполнения и приемки этапов работ.

На предпроектной стадии по обследованию объекта информа­тизации:

• устанавливается необходимость обработки информации огра­ниченного доступа в АС, подлежащей разработке, ее вид, степень конфиденциальности и объемы;

• определяются режимы обработки этой информации, комп­лекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, пред­полагаемые к использованию в разрабатываемой АС;

• определяется категория СВТ;

• определяется класс АС;

• определяется степень участия персонала АС в обработке (пе­редаче, хранении, обсуждении) информации, характер их взаимо­действия между собой и с подразделениями защиты информации;

• оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации;

• определяются мероприятия по защите информации ограни­ченного доступа на стадии разработки АС;

• на основе действующих государственных нормативных доку­ментов по защите информации с учетом установленных катего­рии СВТ и класса защищенности АС задаются конкретные требо­вания к СЗИ АС, включаемые в раздел ТЗ на создание АС по разработке СЗИ.

Результаты предпроектного обследования в части оценки уровня конфиденциальности и ценности защищаемой информации ба­зируются только на документально оформленных перечнях сведе­ний, составляющих государственную, коммерческую тайну или иную охраняемую законом тайну. Наличие таких перечней явля­ется необходимым, но недостаточным условием для решения воп­роса об уровне конфиденциальности информации, обрабатывае­мой в АС. В целях решения этого вопроса следует проанализиро­вать структуру информационного обеспечения системы, необхо­димость наличия в ней защищаемых сведений, объемы и формы представления информации для пользователей.

Степень конфиденциальности обрабатываемой информации определяется заказчиком АС и документально, за подписью соот­ветствующего руководителя, предоставляется разработчику СЗИ.

Предпроектное обследование может быть поручено специали­зированному предприятию, имеющему лицензию на этот вид де­ятельности, но и в этом случае анализ информационного обеспе­чения в части информации ограниченного доступа целесообразно выполнять представителями предприятия-заказчика при методи­ческой помощи специализированного предприятия. На основа­нии результатов предпроектного обследования разрабатываются аналитическое обоснование необходимости создания СЗИ и раз­дел ТЗ на их разработку. _

В аналитическом обосновании необходимости создания СЗИ должны быть:

• информационная характеристика и организационная струк­тура объекта информатизации;

• характеристика комплекса основных и вспомогательных тех­нических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

• возможные каналы утечки информации и перечень меропри­ятий по их устранению и ограничению;

• предлагаемые к использованию сертифицированные средства защиты информации;

• оценка материальных, трудовых и финансовых затрат на раз­работку и внедрение СЗИ;

• ориентировочные сроки разработки и внедрения СЗИ;

• обоснование необходимости привлечения специализирован­ных предприятий для разработки СЗИ;

• перечень мероприятий по защите информации ограниченно­го доступа на стадии разработки АС.

Раздел (технического задания на создание АС), касающийся разработки СЗИ, должен содержать:

• основание для разработки;

• исходные данные создаваемой АС в техническом, программ­ном, информационном и организационном аспектах;

• категорию С ВТ;

• класс защищенности АС;

• ссылку на государственные нормативные документы, с уче­том которых будет разрабатываться СЗИ и аттестоваться АС;

• конкретизацию требований к СЗИ на основе государствен­ных нормативных документов и установленных категории и клас­са защищенности;

• перечень предполагаемых к использованию сертифицирован­ных средств защиты информации;

• обоснование проведения разработок собственных средств за­щиты информации, невозможности и нецелесообразности исполь­зования имеющихся на рынке сертифицированных средств защи­ты информации;

• состав и содержание работ по этапам разработки и внедре­ния, сроки и объемы финансирования работ;

• перечень предъявляемых заказчику научно-технической про­дукции и документации.

Важным в экономическом отношении является принятие ре­шения о выборе из имеющихся на рынке сертифицированных средств защиты информации или о разработке специальных средств собственными силами.

Для правильного выбора средств зашиты информации произ­водятся категорирование средств и систем вычислительной тех­ники и классификация АС, предназначенных для обработки, пе­редачи и хранения секретной информации.

На стадии проектирования АС и СЗИ в составе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осу­ществляются:

• разработка задания и проекта на строительство или реконст­рукцию объекта информации в соответствии с требованиями ТЗ на разработку СЗИ;

• разработка раздела технического проекта на АС в части СЗИ;

• строительно-монтажные работы по оборудованию объекта информатизации в соответствии с проектной документацией, утвержденной заказчиком;

• разработка организационно-технических мероприятий по за-щите объекта информатизации в соответствии с предъявляемыми требованиями;

. закупка сертифицированных серийно выпускаемых в защи­щенном исполнении технических средств обработки, передачи и хранения информации;

• закупка и специальные исследования на побочные электро­магнитные излучения и наводки несертифицированных средств с выдачей предписаний на их эксплуатацию (или сертификацию отдельных образцов импортной ВТ; сертификацию проводят спе­циально аккредитованные сертификационные центры);

• специальная проверка импортных технических средств на предмет возможно внедренных в них специальных электронных устройств (закладок);

• размещение и монтаж технических средств АС;

• закупка сертифицированных серийно выпускаемых техниче­ских и программных (в том числе криптографических) СЗИ и их адаптация;

• разработка и последующая сертификация программных СЗИ в случае, когда на рынке отсутствуют требуемые программные средства;

• объектовые исследования технических средств АС на побоч­ные электромагнитные излучения и наводки с целью определения соответствия установленной категории для этих технических средств;

• монтаж средств активной защиты в случае, когда по результа­там специальных или объектовых исследований технических средств не выполняются нормы защиты информации для уста­новленной категории этих технических средств;

• организация охраны и физической защиты объекта информа­тизации и отдельных технических средств;

• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала АС к обрабатыва­емой информации, оформляемой в виде раздела «Положение о разрешительной системе допуска исполнителей к документам и сведениям в учреждении»;

• определение заказчиком подразделений и лиц, ответствен­ных за эксплуатацию СЗИ, обучение назначенных лиц специфи­ке работ по защите информации на стадии эксплуатации АС;

• выполнение генерации пакета прикладных программ в комп­лексе с программными средствами защиты информации;

• разработка организационно-распорядительной и рабочей до­кументации по эксплуатации АС в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов).

Для эффективной и надежной в плане обеспечения безопасно­сти информации работ АС необходимо правильно организовать разрешительную систему доступа пользователей к информации в АС, т.е. предоставить пользователям право работать с той ин­формацией, которая необходима им для выполнения функциональных обязанностей, установить их полномочия по доступу к информации. Это означает, что необходимо определить и офор­мить порядок установления уровня полномочий пользователей, а также круга лиц, которым это право предоставлено, установить правила разграничения доступа, регламентирующие права досту­па субъектов к объектам, т. е. не только кто из пользователей АС и их программ допускается к тем или иным программам, файлам, записям, но и какие действия при этом они могут осуществлять.

Все это оформляется службой защиты информации или адми­нистратором АС в виде матрицы доступа или иных правил разгра­ничения доступа.

Среди организационных мероприятий по обеспечению без­опасности информации — охрана объекта, на котором располо­жена защищаемая АС (территория, здания, помещения, хранили­ща информационных носителей), путем установления соответству­ющих постов технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющи­ми хищение СВТ, информационных носителей, а также НДС к СВТ и линиям связи.

Следует отметить, что в последнее время в направлении физи­ческой защиты помещений, самих СВТ, информационных носи­телей наблюдается смещение в сторону использования в этих це­лях средств защиты, основанных на новых принципах. Например, доступ в помещение разрешается и контролируется с помощью АС, оконечными устройствами которой являются различного рода терминалы, использующие средства аутентификации на различ­ных физических принципах, с чьей помощью осуществляются разграничение доступа в помещение, вход в систему и т.д.

На стадии ввода в действие АС и СЗИ в ее составе осуществля­ются:

• опытная эксплуатация разработанных или адаптированных средств защиты информации в комплексе с прикладными про­граммами в целях проверки их работоспособности и отработки технологического процесса обработки информации;

• приемочные испытания СЗИ по результатам опытной экс­плуатации с оформлением приемо-сдаточного акта, подписывае­мого разработчиком (поставщиком) и заказчиком;

• аттестация АС по требованиям безопасности информации, которая производится аккредитованным в установленном поряд­ке органом по аттестации в соответствии с «Положением по атте­стации объектов информатики по требованиям безопасности ин­формации», действующим в системе сертификации продукции и аттестации объектов информатики, работающей под управлением ФСТЭК России.

При положительных результатах аттестации владельцу АС вы­дается «Аттестат соответствия АС требованиям безопасности информации». Эксплуатация АС осуществляется в соответствии с утвержденной организационно-распорядительной и эксплуатаци­онной документацией, предписаниями на эксплуатацию техни­ческих средств.

Технология обработки информации в АС различна и зависит от используемых СВТ, программных средств, режимов работы. Не вдаваясь в особенности технологического процесса, обуслов­ленные различиями в технике, программном обеспечении и дру­гими причинами, можно констатировать, что основной характер­ной особенностью, связанной с обработкой секретной или иной подлежащей защите информации, является функционирование системы защиты информации от НСД как комплекса програм­мно-технических средств и организационных решений, предус­матривающей учет, хранение и выдачу пользователям информа­ционных носителей, паролей, ключей, ведение служебной инфор­мации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функ­ционированием СЗИ, контроль соответствия общесистемной про­граммной среды эталону и приемку включаемых в АС новых про­граммных средств, контроль за ходом технологического процесса обработки информации путем регистрации анализа действий пользователей, сигнализации опасных событий.

Перечисленные составляющие являются функциональной на­правленностью службы безопасности информации, администра­тора АС и фиксируются, с одной стороны, в положениях об этих службах и общей организационной документации по обеспече­нию безопасности информации («Положение о порядке органи­зации и проведения на предприятии работ по защите информа­ции в АС», «Инструкция по защите информации, обрабатывае­мой в АС предприятия», разделе «Положения о системе допуска исполнителей к документам и сведениям на предприятии», опре­деляющим особенности системы допуска в процесс разработки и функционирования АС), а с другой стороны, в проектной доку­ментации СЗИ НСД (инструкциях администратору АС, службе безопасности информации, пользователю АС).

Следует отметить, что без надлежащей организационной под­держки программно-технических средств защиты информации от НСД и точного выполнения предусмотренных проектной доку­ментацией процедур в должной мере не решить проблему обеспе­чения безопасности информации в АС.

Контроль состояния эффективности защиты информации осу­ществляется подразделениями по защите информации службы безопасности предприятия-заказчика и заключается в проверке выполнения требования нормативных документов по защите ин­формации, а также в оценке обоснованности и эффективности мер.

Глава 13

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

2345678

double arrow
Сейчас читают про:

article image
Калибры, виды и назначение. Контроль параметров макрогеометрии деталей калибрами
article image
Классификация методов обучения
article image
Примеры решения задач. Определите рентабельность продукции по следующим данным: количество выпущенных изделий за квартал - 1 500 штук
article image
Виды деятельности. Существуют различные классификации видов деятельности:
article image
Показатели движения численности работников. Пример 1,2
article image
Технология изготовления порошков
article image
Самый сильный аргумент, почему эволюция человека не могла быть

И то, что мы называем счастьем, и то, что называем несчастьем, одинаково полезно нам, если мы смотрим на то и на другое, как на испытание. © Лев Толстой ==> читать все изречения...
like icon 6144
like icon 6074
Понравился сайт? Поделись им с друзьями: