Требования и рекомендации по защите информации

Порядок обеспечения защиты информации в АС

Устанавливаются следующие стадии создания СЗИ в АС:

• предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
• стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

• устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
• определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
• определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
• определяются условия расположения объектов информатизации относительно границ КЗ;
• определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
• определяются режимы обработки информации в АС в целом и в отдельных компонентах;
• определяется класс защищенности АС;
• определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
• определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается обоснование необходимости создания СЗИ и создается частное техническое задание на разработку СЗИ с конкретными требованиями по обеспечению безопасности информации в АС.

Техническое (частное техническое) задание на разработку СЗИ должно содержать:

• обоснование разработки;
• исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
• класс защищенности АС;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
• конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения;
• перечень подрядных организаций-исполнителей видов работ;
• перечень предъявляемой заказчику научно-технической продукции и документации.

Далее производится классификация АС в соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Классификация оформляется в виде акта.

На стадии проектирования и создания объекта информатизации и СЗИ осуществляются:

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
• разработка раздела технического проекта на объект информатизации в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
• закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
• разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
• организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
• определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
• выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
• разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
• выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации[11.1].

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

• опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
• приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

• акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
• предъявительский акт к проведению аттестационных испытаний;
• заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации.

В целях обеспечения безопасности информации в АС следует выполнять следующие требования и рекомендации:

• допуск лиц к АС должен осуществляться в соответствии с установленным в организации порядком (разрешительной системой допуска);
• если в помещениях, где обрабатывается защищаемая информация, есть технические средства отображения информации, должен быть исключен ее несанкционированный просмотр.
• если пользователь закончил работу с защищаемой информацией или хочет передать управление другому, он должен стереть все временные файлы (например, перезагрузив ПЭВМ).
• изменение или ввод новых программ в АС должен выполняться разработчиком АС и администратором АС.
• при изменении состава администраторов АС (например, увольнении) должны быть приняты меры по быстрой смене паролей, идентификаторов и ключей шифрования и подписи.

Все носители информации (бумажные, оптические, магнитные и магнитно-оптические) должны учитываться. Для учета могут применяться карточки, журналы (для маленьких организаций), а также автоматизированный учет с использованием СВТ.

Требования и рекомендации по защите информации в конкретной АС зависят от класса АС и от режима обработки информации.