Требования и рекомендации по защите информации
Порядок обеспечения защиты информации в АС
Устанавливаются следующие стадии создания СЗИ в АС:
- предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
- стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
- стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.
На предпроектной стадии по обследованию объекта информатизации:
- устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
- определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
- определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
- определяются условия расположения объектов информатизации относительно границ КЗ;
- определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
- определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
- определяются режимы обработки информации в АС в целом и в отдельных компонентах;
- определяется класс защищенности АС;
- определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
- определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.
По результатам предпроектного обследования разрабатывается обоснование необходимости создания СЗИ и создается частное техническое задание на разработку СЗИ с конкретными требованиями по обеспечению безопасности информации в АС.
Техническое (частное техническое) задание на разработку СЗИ должно содержать:
- обоснование разработки;
- исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
- класс защищенности АС;
- ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
- конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;
- перечень предполагаемых к использованию сертифицированных средств защиты информации;
- обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
- состав, содержание и сроки проведения работ по этапам разработки и внедрения;
- перечень подрядных организаций-исполнителей видов работ;
- перечень предъявляемой заказчику научно-технической продукции и документации.
Далее производится классификация АС в соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Классификация оформляется в виде акта.
На стадии проектирования и создания объекта информатизации и СЗИ осуществляются:
- разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
- разработка раздела технического проекта на объект информатизации в части защиты информации;
- строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
- разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
- закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
- закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
- разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
- организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
- разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
- определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
- выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
- разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
- выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации[11.1].
На стадии ввода в действие объекта информатизации и СЗИ осуществляются:
- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
- приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
- аттестация объекта информатизации по требованиям безопасности информации.
На этой стадии оформляются:
- акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
- предъявительский акт к проведению аттестационных испытаний;
- заключение по результатам аттестационных испытаний.
При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации.
В целях обеспечения безопасности информации в АС следует выполнять следующие требования и рекомендации:
- допуск лиц к АС должен осуществляться в соответствии с установленным в организации порядком (разрешительной системой допуска);
- если в помещениях, где обрабатывается защищаемая информация, есть технические средства отображения информации, должен быть исключен ее несанкционированный просмотр.
- если пользователь закончил работу с защищаемой информацией или хочет передать управление другому, он должен стереть все временные файлы (например, перезагрузив ПЭВМ).
- изменение или ввод новых программ в АС должен выполняться разработчиком АС и администратором АС.
- при изменении состава администраторов АС (например, увольнении) должны быть приняты меры по быстрой смене паролей, идентификаторов и ключей шифрования и подписи.
Все носители информации (бумажные, оптические, магнитные и магнитно-оптические) должны учитываться. Для учета могут применяться карточки, журналы (для маленьких организаций), а также автоматизированный учет с использованием СВТ.
Требования и рекомендации по защите информации в конкретной АС зависят от класса АС и от режима обработки информации.