Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
Назначение и структура технического задания (общие требования к содержанию)
Техническое задание (ТЗ), или тактико-техническое задание (ТТЗ), исходный технический документ, утверждаемый заказчиком работ и устанавливающий комплекс тактико-технических требований к создаваемому изделию, а также требования к содер-J жанию, объемам и срокам выполняемых работ*. Договор на npo-j ведение работ должен содержать положение о том, что ТЗ (ТТЗ) является его неотъемлемой частью.
Технические задания разрабатываются и соответстнии с государственными стандартами, например: ГОСТ РВ 15.201—2003 «Система разработки и поставки продукции на производство. Военная техника. Тактико-техническое (тех» ническос) задание на выполнение опытно-конструкторских работ».
ТЗ (ТТЗ) разрабатывается заказчиком, вместе с тем, как правило, проект ТЗ (ТТЗ) разрабатывается в соответствии с договором на проведение работ исполнителем или другой уполномоченной шказчиком организацией.
Составные части работ исполнитель по согласованию с заказчиком может поручать соисполнителям. ТЗ (ТТЗ) на составные части работ разрабатываются головным исполнителем.
В ТТЗ (ТЗ) на проведение работ устанавливают цель разработки и назначение разрабатываемого (модернизируемого) изделия, совокупность тактико-технических, технических, эксплуатационных, технико-экономических, специальных и других требований, требований к видам обеспечения, предъявляемых к изделию, этапы ОКР работ, в том числе порядок испытаний и приемки работ, сроки их выполнения и перечень руководящих документов, стандартов и других носителей информации, содержащих исходные данные, необходимые для выполнения работ. —
ТТЗ на ОКР разрабатывают на основе НТД системы ОТТ, стандартов, результатов научно-исследовательских и экспериментальных работ, аванпроектов (если они выполнялись), патентных исследований, анализа новейших достижений и перспектив разви-гия отечественной и зарубежной науки и техники, опыта предыдущих разработок аналогичных изделий, их эксплуатации и применения, исходя из условий максимальной эффективности при соблюдении требований безопасности (в том числе экологической).
Степень секретности сведений, излагаемых в ТТЗ (ТЗ) на про-недение работ, и соответствующий гриф секретности ТТЗ (ТЗ) определяют разработчик документа на основании Закона РФ «О государственной тайне» (20) и ведомственных перечней сведений, подлежащих засекречиванию.
Наличие в ТТЗ (ТЗ) другой информации ограниченного доступа определяется также его разработчиком по согласованию с заказчиком работ.
Передача информации о содержании ТТЗ (ТЗ) и проводимых работ третьим лицам осуществляется по решению заказчика.
ТТЗ должно состоять из разделов, располагаемых в следующем порядке:
• наименование, основание, исполнитель и сроки выполнения работ;
• цель выполнения работ, наименование и индекс изделия;
• тактико-технические требования к изделию (раздел должен состоять из следующих подразделов: состав изделия; требования назначения; требования радиоэлектронной защиты; требования живучести и стойкости к внешним воздействиям; требования надежности; требования эргономики, обитаемости и технической ктетики; требования к эксплуатации, хранению, удобству технического обслуживания и ремонта; требования транспортабельности; требования безопасности; требования обеспечения режима сохранности информации ограниченного доступа; требования зашиты от технических средств разведки и т.д.);
• технико-экономические требования;
• требования к видам обеспечения;
• требования к сырью и материалам;
• требования к консервации, упаковке и маркировке;
• требования к учебно-тренировочным средствам;
• специальные требования;
• требования зашиты государственной тайны или иной информации ограниченного доступа (устанавливаются цели и задачи обеспечения ЗИ применительно к создаваемому изделию; включают требования по проведению анализа возможных каналов утечки сведений об изделии, оценке их информативности и выработке мер по закрытию этих каналов при создании, испытаниях, транспортировании, эксплуатации и ремонте изделия, требования проведения контроля и оценки достаточности принятых мер по сохранению сведений об изделии на каждом этапе работ с ним, а также другие требования к образцу по обеспечению ЗИ в соответствии с действующими руководящими документами) [15];
• этапы выполнения работ;
• порядок выполнения и приемки этапов работ.
На предпроектной стадии по обследованию объекта информатизации:
• устанавливается необходимость обработки информации ограниченного доступа в АС, подлежащей разработке, ее вид, степень конфиденциальности и объемы;
• определяются режимы обработки этой информации, комплекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, предполагаемые к использованию в разрабатываемой АС;
• определяется категория СВТ;
• определяется класс АС;
• определяется степень участия персонала АС в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и с подразделениями защиты информации;
• оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации;
• определяются мероприятия по защите информации ограниченного доступа на стадии разработки АС;
• на основе действующих государственных нормативных документов по защите информации с учетом установленных категории СВТ и класса защищенности АС задаются конкретные требования к СЗИ АС, включаемые в раздел ТЗ на создание АС по разработке СЗИ.
Результаты предпроектного обследования в части оценки уровня конфиденциальности и ценности защищаемой информации базируются только на документально оформленных перечнях сведений, составляющих государственную, коммерческую тайну или иную охраняемую законом тайну. Наличие таких перечней является необходимым, но недостаточным условием для решения вопроса об уровне конфиденциальности информации, обрабатываемой в АС. В целях решения этого вопроса следует проанализировать структуру информационного обеспечения системы, необходимость наличия в ней защищаемых сведений, объемы и формы представления информации для пользователей.
Степень конфиденциальности обрабатываемой информации определяется заказчиком АС и документально, за подписью соответствующего руководителя, предоставляется разработчику СЗИ.
Предпроектное обследование может быть поручено специализированному предприятию, имеющему лицензию на этот вид деятельности, но и в этом случае анализ информационного обеспечения в части информации ограниченного доступа целесообразно выполнять представителями предприятия-заказчика при методической помощи специализированного предприятия. На основании результатов предпроектного обследования разрабатываются аналитическое обоснование необходимости создания СЗИ и раздел ТЗ на их разработку. _
В аналитическом обосновании необходимости создания СЗИ должны быть:
• информационная характеристика и организационная структура объекта информатизации;
• характеристика комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
• возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
• предлагаемые к использованию сертифицированные средства защиты информации;
• оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
• ориентировочные сроки разработки и внедрения СЗИ;
• обоснование необходимости привлечения специализированных предприятий для разработки СЗИ;
• перечень мероприятий по защите информации ограниченного доступа на стадии разработки АС.
Раздел (технического задания на создание АС), касающийся разработки СЗИ, должен содержать:
• основание для разработки;
• исходные данные создаваемой АС в техническом, программном, информационном и организационном аспектах;
• категорию С ВТ;
• класс защищенности АС;
• ссылку на государственные нормативные документы, с учетом которых будет разрабатываться СЗИ и аттестоваться АС;
• конкретизацию требований к СЗИ на основе государственных нормативных документов и установленных категории и класса защищенности;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации, невозможности и нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав и содержание работ по этапам разработки и внедрения, сроки и объемы финансирования работ;
• перечень предъявляемых заказчику научно-технической продукции и документации.
Важным в экономическом отношении является принятие решения о выборе из имеющихся на рынке сертифицированных средств защиты информации или о разработке специальных средств собственными силами.
Для правильного выбора средств зашиты информации производятся категорирование средств и систем вычислительной техники и классификация АС, предназначенных для обработки, передачи и хранения секретной информации.
На стадии проектирования АС и СЗИ в составе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:
• разработка задания и проекта на строительство или реконструкцию объекта информации в соответствии с требованиями ТЗ на разработку СЗИ;
• разработка раздела технического проекта на АС в части СЗИ;
• строительно-монтажные работы по оборудованию объекта информатизации в соответствии с проектной документацией, утвержденной заказчиком;
• разработка организационно-технических мероприятий по за-щите объекта информатизации в соответствии с предъявляемыми требованиями;
. закупка сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
• закупка и специальные исследования на побочные электромагнитные излучения и наводки несертифицированных средств с выдачей предписаний на их эксплуатацию (или сертификацию отдельных образцов импортной ВТ; сертификацию проводят специально аккредитованные сертификационные центры);
• специальная проверка импортных технических средств на предмет возможно внедренных в них специальных электронных устройств (закладок);
• размещение и монтаж технических средств АС;
• закупка сертифицированных серийно выпускаемых технических и программных (в том числе криптографических) СЗИ и их адаптация;
• разработка и последующая сертификация программных СЗИ в случае, когда на рынке отсутствуют требуемые программные средства;
• объектовые исследования технических средств АС на побочные электромагнитные излучения и наводки с целью определения соответствия установленной категории для этих технических средств;
• монтаж средств активной защиты в случае, когда по результатам специальных или объектовых исследований технических средств не выполняются нормы защиты информации для установленной категории этих технических средств;
• организация охраны и физической защиты объекта информатизации и отдельных технических средств;
• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала АС к обрабатываемой информации, оформляемой в виде раздела «Положение о разрешительной системе допуска исполнителей к документам и сведениям в учреждении»;
• определение заказчиком подразделений и лиц, ответственных за эксплуатацию СЗИ, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации АС;
• выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
• разработка организационно-распорядительной и рабочей документации по эксплуатации АС в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов).
Для эффективной и надежной в плане обеспечения безопасности информации работ АС необходимо правильно организовать разрешительную систему доступа пользователей к информации в АС, т.е. предоставить пользователям право работать с той информацией, которая необходима им для выполнения функциональных обязанностей, установить их полномочия по доступу к информации. Это означает, что необходимо определить и оформить порядок установления уровня полномочий пользователей, а также круга лиц, которым это право предоставлено, установить правила разграничения доступа, регламентирующие права доступа субъектов к объектам, т. е. не только кто из пользователей АС и их программ допускается к тем или иным программам, файлам, записям, но и какие действия при этом они могут осуществлять.
Все это оформляется службой защиты информации или администратором АС в виде матрицы доступа или иных правил разграничения доступа.
Среди организационных мероприятий по обеспечению безопасности информации — охрана объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение СВТ, информационных носителей, а также НДС к СВТ и линиям связи.
Следует отметить, что в последнее время в направлении физической защиты помещений, самих СВТ, информационных носителей наблюдается смещение в сторону использования в этих целях средств защиты, основанных на новых принципах. Например, доступ в помещение разрешается и контролируется с помощью АС, оконечными устройствами которой являются различного рода терминалы, использующие средства аутентификации на различных физических принципах, с чьей помощью осуществляются разграничение доступа в помещение, вход в систему и т.д.
На стадии ввода в действие АС и СЗИ в ее составе осуществляются:
• опытная эксплуатация разработанных или адаптированных средств защиты информации в комплексе с прикладными программами в целях проверки их работоспособности и отработки технологического процесса обработки информации;
• приемочные испытания СЗИ по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• аттестация АС по требованиям безопасности информации, которая производится аккредитованным в установленном порядке органом по аттестации в соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации», действующим в системе сертификации продукции и аттестации объектов информатики, работающей под управлением ФСТЭК России.
При положительных результатах аттестации владельцу АС выдается «Аттестат соответствия АС требованиям безопасности информации». Эксплуатация АС осуществляется в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписаниями на эксплуатацию технических средств.
Технология обработки информации в АС различна и зависит от используемых СВТ, программных средств, режимов работы. Не вдаваясь в особенности технологического процесса, обусловленные различиями в технике, программном обеспечении и другими причинами, можно констатировать, что основной характерной особенностью, связанной с обработкой секретной или иной подлежащей защите информации, является функционирование системы защиты информации от НСД как комплекса программно-технических средств и организационных решений, предусматривающей учет, хранение и выдачу пользователям информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием СЗИ, контроль соответствия общесистемной программной среды эталону и приемку включаемых в АС новых программных средств, контроль за ходом технологического процесса обработки информации путем регистрации анализа действий пользователей, сигнализации опасных событий.
Перечисленные составляющие являются функциональной направленностью службы безопасности информации, администратора АС и фиксируются, с одной стороны, в положениях об этих службах и общей организационной документации по обеспечению безопасности информации («Положение о порядке организации и проведения на предприятии работ по защите информации в АС», «Инструкция по защите информации, обрабатываемой в АС предприятия», разделе «Положения о системе допуска исполнителей к документам и сведениям на предприятии», определяющим особенности системы допуска в процесс разработки и функционирования АС), а с другой стороны, в проектной документации СЗИ НСД (инструкциях администратору АС, службе безопасности информации, пользователю АС).
Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от НСД и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации в АС.
Контроль состояния эффективности защиты информации осуществляется подразделениями по защите информации службы безопасности предприятия-заказчика и заключается в проверке выполнения требования нормативных документов по защите информации, а также в оценке обоснованности и эффективности мер.
Глава 13