Опубликован: 01.02.2012 | Уровень: для всех | Доступ: свободно
Лекция 11:

Требования и рекомендации по защите информации

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >

Порядок обеспечения защиты информации в АС

Устанавливаются следующие стадии создания СЗИ в АС:

  • предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
  • стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
  • стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

  • устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
  • определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
  • определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
  • определяются условия расположения объектов информатизации относительно границ КЗ;
  • определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
  • определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
  • определяются режимы обработки информации в АС в целом и в отдельных компонентах;
  • определяется класс защищенности АС;
  • определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
  • определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается обоснование необходимости создания СЗИ и создается частное техническое задание на разработку СЗИ с конкретными требованиями по обеспечению безопасности информации в АС.

Техническое (частное техническое) задание на разработку СЗИ должно содержать:

  • обоснование разработки;
  • исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
  • класс защищенности АС;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
  • конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения;
  • перечень подрядных организаций-исполнителей видов работ;
  • перечень предъявляемой заказчику научно-технической продукции и документации.

Далее производится классификация АС в соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Классификация оформляется в виде акта.

На стадии проектирования и создания объекта информатизации и СЗИ осуществляются:

  • разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
  • разработка раздела технического проекта на объект информатизации в части защиты информации;
  • строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
  • разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
  • закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
  • закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
  • разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
  • организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
  • разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
  • определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
  • выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
  • разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
  • выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации[11.1].

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

  • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
  • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
  • аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

  • акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
  • предъявительский акт к проведению аттестационных испытаний;
  • заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации.

В целях обеспечения безопасности информации в АС следует выполнять следующие требования и рекомендации:

  • допуск лиц к АС должен осуществляться в соответствии с установленным в организации порядком (разрешительной системой допуска);
  • если в помещениях, где обрабатывается защищаемая информация, есть технические средства отображения информации, должен быть исключен ее несанкционированный просмотр.
  • если пользователь закончил работу с защищаемой информацией или хочет передать управление другому, он должен стереть все временные файлы (например, перезагрузив ПЭВМ).
  • изменение или ввод новых программ в АС должен выполняться разработчиком АС и администратором АС.
  • при изменении состава администраторов АС (например, увольнении) должны быть приняты меры по быстрой смене паролей, идентификаторов и ключей шифрования и подписи.

Все носители информации (бумажные, оптические, магнитные и магнитно-оптические) должны учитываться. Для учета могут применяться карточки, журналы (для маленьких организаций), а также автоматизированный учет с использованием СВТ.

Требования и рекомендации по защите информации в конкретной АС зависят от класса АС и от режима обработки информации.

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >
Роман Скобин
Роман Скобин
Евгений Надбитов
Евгений Надбитов