Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 1559 / 485 | Длительность: 17:50:00
Лекция 12:

Требования по защите информации и созданию системы защиты информации

< Лекция 11 || Лекция 12: 123 || Лекция 13 >

12.6. Требования международных и национальных стандартов по защите информации

Стандартизация в области информационной безопасности обеспечивает унификацию процессов, повторяемость и измеряемость результатов, обмен и использование лучших практик по всему миру. В целом, стандартизация позволяет получить лучшее качество продукта или услуги в области информационной безопасности.

История развития стандартов в области ИБ началась в 1990 году, когда Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) составили специализированную систему мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные Common Criteria for Information Technology Security Evaluation или просто Common Criteria[109]. Таким образом международная стандартизация в области информационной безопасности развивается уже несколько десятков лет.

ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:

  • формирование политики ИБ;
  • безопасность, связанная с персоналом;
  • безопасность коммуникаций;
  • физическая безопасность;
  • управление доступом;
  • обработка инцидентов;
  • обеспечение соответствия требованиям законодательства.

Стандарт ISO 27001 содержит критерии для оценки менеджмента. Любая организация может пройти сертификацию на соответствие этому стандарту.

Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне, которые позволяют сравнивать результаты, полученные в разных странах.

В банковской сфере широко известен отраслевой стандарт PCI DSS, который содержит обязательные требования к безопасности ИТ-инфраструктуры (сетевая безопасность, управление доступом, мониторинг и др.) организаций-членов ассоциации PCI. Стандарт распространяется на процессы выпуска и обслуживания кредитных карт, а также платежные системы. Ежегодное прохождение аудита на соответствие PCI DSS является обязательным условием международных платежных систем, а непрохождение аудита может стать основанием для серьезных штрафных санкций.

Часть национальных стандартов основана на международных стандартах (серия ИСО/МЭК). С полным перечнем национальных стандартов в области информационной безопасности можно ознакомиться на сайте ФСТЭК: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/113-gosudarstvennye-standarty/377-gosudarstvennye-standarty

Более подробно с национальными и международными стандартами можно ознакомиться, пройдя обучение по курсу "Стандарты информационной безопасности" на сайте "Интуит". http://www.intuit.ru/studies/courses/30/30/info

12.7. Создание и функционирование системы защиты информации ограниченного доступа, как составные части работ по созданию и эксплуатации объектов информатизации учреждений и предприятий. Стадии и этапы создания системы защиты информации ограниченного доступа. Разработка эксплуатационной документации на систему защиты информации

Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применением (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

В СТР-К устанавливаются следующие стадии и этапы создания системы защиты информации ограниченного доступа:

  • предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
  • стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
  • стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

  • устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
  • определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
  • определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
  • определяются условия расположения объектов информатизации относительно границ КЗ;
  • определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
  • определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
  • определяются режимы обработки информации в АС в целом и в отдельных компонентах;
  • определяется класс защищенности АС;
  • определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
  • определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ. На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и утверждается его руководителем.

Аналитическое обоснование необходимости создания СЗИ должно содержать:

  • информационную характеристику и организационную структуру объекта информатизации;
  • характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
  • возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
  • перечень предлагаемых к использованию сертифицированных средств защиты информации;
  • обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
  • оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
  • ориентировочные сроки разработки и внедрения СЗИ;
  • перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

Техническое (частное техническое) задание на разработку СЗИ должно содержать:

  • обоснование разработки;
  • исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
  • класс защищенности АС;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
  • конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения;
  • перечень подрядных организаций-исполнителей видов работ;
  • перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.

На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

  • разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
  • разработка раздела технического проекта на объект информатизации в части защиты информации;
  • строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
  • разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
  • закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
  • закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
  • разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
  • организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
  • разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
  • определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
  • выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
  • разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
  • выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

На стадии проектирования и создания объекта информатизации оформляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из:

  • пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;
  • описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
  • плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;
  • технического паспорта объекта информатизации;
  • инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

  • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
  • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
  • аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

  • акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
  • предъявительский акт к проведению аттестационных испытаний;
  • заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации

Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

  • о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;
  • о формировании группы обследования и назначении ее руководителя;
  • о заключении соответствующих договоров на проведение работ;
  • о назначении лиц, ответственных за эксплуатацию объекта информатизации;
  • о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией.

< Лекция 11 || Лекция 12: 123 || Лекция 13 >
Александр Игнатьев
Александр Игнатьев

По тексту есть ссылки на литературные источники, которых нет всиске литературы. Номера есть, а источников нет. Ждать ли исправления?

Александр Тимошкин
Александр Тимошкин

В рамках курса часто упоминается сокращение "ТКЗИ". Если имеется в виду Техническая Защита Конфиденциальной Информации, то не правильнее ли использовать сокращение ТЗКИ, тем более что в разделе 11.1 Сущность, цели и задачи планирования, встречается фраза "Планирование ТЗКИ включает в себя"?

Айгуль Мухитова
Айгуль Мухитова
Россия
Ерсен Зулхаиров
Ерсен Зулхаиров
Казахстан, Алматы, Казну