Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 1616 / 491 | Длительность: 17:50:00
Лекция 13:

Комплекс работ по созданию системы защиты информации

< Лекция 12 || Лекция 13: 12 || Лекция 14 >

13.4. Внедрение системы защиты информации

Следующая стадия - внедрение СЗИ ИС - осуществляется на основе проектной и эксплуатационной документации. Включает в себя следующие работы:

  • установку и настройку средств защиты информации в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и документацией на средства защиты информации;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
  • приемочные испытания системы защиты информации информационной системы.

Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:

  • управления СЗИ ИС;
  • выявления инцидентов, которые могут привести к сбоям или нарушению функционирования ИС и (или) к возникновению угроз безопасности информации и реагирования на них;
  • управления конфигурацией аттестованной ИС и СЗИ ИС;
  • контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИС;
  • защиты информации при выводе из эксплуатации ИС или после принятия решения об окончании обработки информации.

При внедрении организационных мер защиты информации осуществляются:

  • реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
  • проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов ИС по реализации организационных мер защиты информации;
  • отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Предварительные испытания и опытная эксплуатация СЗИ ИС осуществляются в соответствии с ГОСТ 34.603 "Информационная технология. Виды испытаний автоматизированных систем". Опытная эксплуатация включает проверку функционирования СЗИ ИС, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации СЗИ ИС.

Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.

Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.

В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

Приемочные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.

13.5. Аттестация объекта информатизации по требованиям безопасности информации и ввод его в действие

Следующая стадия - аттестация объекта информатизации и ввод ее в действие. Аттестация ОИ организуется обладателем информации (заказчиком) или оператором. В качестве исходных данных используются (перечислен минимум документов):

  • модель угроз безопасности информации;
  • акт классификации информационной системы;
  • техническое задание на создание ИС и (или) техническое задание (частное техническое задание) на создание СЗИ ИС;
  • проектная и эксплуатационная документация на СЗИ ИС;
  • организационно-распорядительные документы по защите информации;
  • результаты анализа уязвимостей ИС;
  • материалы предварительных и приемочных испытаний системы защиты информации информационной системы.

Аттестация проводится до начала обработки информации, подлежащей защите. Для аттестации применяются национальные стандарты и документы ФСТЭК. По результатам оформляется протокол аттестационных испытаний, заключение о соответствии объекта информатизации требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний. Об аттестации будет подробнее рассказано в следующих лекциях.

Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.

13.6. Сопровождение системы защиты информации в ходе эксплуатации объекта информатизации

Обеспечение защиты информации в ходе эксплуатации объекта информатизации осуществляется в соответствии с утвержденной организационно-распорядительной, эксплуатационной документацией и требованиями нормативных документов. В частности, с пунктами 4-6 СТР-К, которые были рассмотрены в предыдущих лекциях.

Сопровождение системы защиты информации предполагает также периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

  • соблюдения нормативных и методических документов;
  • работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
  • знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

13.7. Порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении

В ГОСТ P 51583-2014 определен также порядок выполнения работ по защите информации о создаваемой АСЗИ.

Защита информации о создаваемой(модернизируемой) АСЗИ также является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком.

Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:

  • разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;
  • определение защищаемой информации о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
  • определение носителей защищаемой информации о создаваемой (модернизируемой) АСЗИ и их уязвимостей, актуальных угроз безопасности информации;
  • определение и технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
  • обоснование, разработка и /или закупка средств, необходимых для ЗИ о создаваемой (модернизируемой) АСЗИ;
  • обоснование и разработка мероприятий по контролю состояния ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
  • разработка документов, регламентирующих организацию и осуществление ЗИ о создаваемой (модернизируемой) АСЗИ.

Перечень информации, подлежащей защите, определяют на стадии формирования требований к АСЗИ и, при необходимости, уточняют на последующих стадиях ее создания. К защищаемой информации относятся:

  • цель и задачи ЗИ в АСЗИ;
  • перечень составных частей (сегментов) АСЗИ, участвующих в обработке защищаемой в АСЗИ информации;
  • состав возможных уязвимостей АСЗИ, возможных последствий от реализации угроз безопасности информации для нарушения свойств безопасности информации (конфиденциальность, целостность, доступность);
  • структурно-функциональные характеристики АСЗИ, включающие структуру и состав АСЗИ, физические, функциональные и технологические взаимосвязи между составными частями АСЗИ и взаимосвязи с иными системами, режимы обработки информации в АСЗИ в целом и в ее отдельных составных частях;
  • меры и СЗИ, применяемые в АСЗИ;
  • сведения о реализации системы ЗИ в АСЗИ.

Контроль состояния ЗИ заключается в оценке:

  • соблюдения положений нормативных документов, устанавливающих требования безопасности информации при создании (модернизации) АСЗИ;
  • эффективности ЗИ о создаваемой (модернизируемой) АСЗИ;
  • знания исполнителями работ по созданию (модернизации) АСЗИ своих функциональных обязанностей в части ЗИ[110].

Особое значение защита информации о создаваемой АСЗИ приобретает при участии в процессе сторонних организаций. Для сотрудников сторонних организаций также должна быть предусмотрена разрешительная система доступа к защищаемой информации о АСЗИ, документации, программным и техническим средствам. Возможно заключение соглашений о неразглашении (NDA).

В случае если при контроле состояния ЗИ выявлены нарушения, в зависимости от их тяжести обработка информации в АСЗИ может быть приостановлена до устранения выявленных нарушений.

< Лекция 12 || Лекция 13: 12 || Лекция 14 >
Александр Игнатьев
Александр Игнатьев

По тексту есть ссылки на литературные источники, которых нет всиске литературы. Номера есть, а источников нет. Ждать ли исправления?

Александр Тимошкин
Александр Тимошкин

В рамках курса часто упоминается сокращение "ТКЗИ". Если имеется в виду Техническая Защита Конфиденциальной Информации, то не правильнее ли использовать сокращение ТЗКИ, тем более что в разделе 11.1 Сущность, цели и задачи планирования, встречается фраза "Планирование ТЗКИ включает в себя"?

Владислав Шеревера
Владислав Шеревера
Россия, Санкт-Петербург, ФГКОУ "Санкт-Петербургский кадетский военный корпус" МО РФ
Евгений Штукерт
Евгений Штукерт
Россия, г. Краснодар