Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
:Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
Комплекс работ по созданию системы защиты информации
13.1. Комплекс работ по созданию СЗИ
В 2014 году был введен в действие национальный стандарт ГОСТ P 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения", который определил комплекс работ по созданию системы защиты информации для создаваемых (модернизируемых) автоматизированных систем, в отношении которых законодательством или заказчиком установлены требования по их защите.
Автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации[111]. В качестве основных видов автоматизированных систем ГОСТ рассматривает автоматизированные рабочие места и информационные системы. В этой лекции будет рассматриваться информационная система как наиболее часто защищаемый объект информатизации.
В ГОСТ P 51583-2014 выделен следующий комплекс работ по созданию системы защиты информации:
- формирование требований к системе защиты информации АСЗИ;
- разработка (проектирование) системы защиты информации АСЗИ;
- внедрение системы защиты информации АСЗИ;
- аттестация АСЗИ по требованиям безопасности информации и ввод в действие;
- сопровождение системы защиты информации в ходе эксплуатации АСЗИ.
В "Требования по защите информации и созданию системы защиты информации" были рассмотрены стадии создания СЗИ в соответствии с СТР-К (предроектная, проектирование, ввод в действие СЗИ). ГОСТ Р 51583-2014 не противоречит СТР-К, а лишь более подробно раскрывает комплекс работ по созданию СЗИ. Стоит отметить, что на ГОСТ ссылаются последние документы ФСТЭК.
13.2. Формирование требований к системе защиты информации
Формирование требований к системе защиты информации (СЗИ) осуществляется обладателем информации (заказчиком) с учетом требований, закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, и включает в себя:
- принятие решения о необходимости защиты информации, содержащейся в информационной системе;
- классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты информации информационной системы.
При принятии решения о необходимости защиты информации необходимо:
- проанализировать цели и задачи ИС;
- определить, какая информация обрабатывается в ИС;
- на основе информации, полученной в предыдущих пунктах определить, каким нормативным правовым актам, методическим документам и национальным стандартам должна соответствовать информационная система;
- определить цели и задачи СЗИ, основных этапов создания, обладателя информации(заказчика), оператора и уполномоченных лиц.
Результаты классификации информационной системы оформляются актом классификации.
Составляется техническое задание на создание СЗИ на основе ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.
Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве основы для определения угроз ФСТЭК рекомендует использовать банк данных угроз и уязвимостей ФСТЭК, рассмотренный ранее, и иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации. Результатом этого этапа является модель угроз и модель злоумышленника.
Требования к СЗИ определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации. Они включаются в техническое задание на создание СЗИ и должны, в том числе, включать:
- цель и задачи обеспечения защиты информации в информационной системе;
- класс защищенности информационной системы;
- перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
- перечень объектов защиты информационной системы;
- требования к мерам и средствам защиты информации, применяемым в информационной системе;
- стадии (этапы работ) создания системы защиты информационной системы;
- требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
- функции заказчика и оператора по обеспечению защиты информации в информационной системе;
- требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);
- требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации[110].
13.3. Разработка (проектирование) системы защиты информации
Следующая стадия - разработка СЗИ - осуществляется на основе ТЗ и включает в себя:
- проектирование системы защиты информации информационной системы;
- разработку эксплуатационной документации на систему защиты информации информационной системы;
- макетирование и тестирование системы защиты информации информационной системы (при необходимости).
При разработке СЗИ ИС учитываются взаимодействие ИС с другими ИС и информационно-телекоммуникационными сетями и применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
При проектировании СЗИ ИС:
- определяются типы субъектов доступа и объектов доступа, являющихся объектами защиты (пример субъекта доступа - пользователь ИС, объекта доступа - объект файловой системы;
- определяются методы управления доступом, типы доступа и правила разграничения доступа субъектов доступа к объектам доступа, подлежащие реализации в информационной системе;
- выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
- определяются виды и типы средств защиты информации;
- определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
- осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации (если того требует законодательство), с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
- определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
- определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Результаты проектирования СЗИ отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем".
Эксплуатационная документация на СЗИ ИС разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:
- структуры системы защиты информации информационной системы;
- состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
- правил эксплуатации системы защиты информации информационной системы.
При макетировании и тестировании СЗИ ИС осуществляются:
- проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
- проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
- корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы.
Макетирование системы защиты информации информационной системы и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.