Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 1908 / 711 | Длительность: 17:50:00
Лекция 12:

Требования по защите информации и созданию системы защиты информации

< Лекция 11 || Лекция 12: 123 || Лекция 13 >

12.6. Требования международных и национальных стандартов по защите информации

Стандартизация в области информационной безопасности обеспечивает унификацию процессов, повторяемость и измеряемость результатов, обмен и использование лучших практик по всему миру. В целом, стандартизация позволяет получить лучшее качество продукта или услуги в области информационной безопасности.

История развития стандартов в области ИБ началась в 1990 году, когда Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) составили специализированную систему мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные Common Criteria for Information Technology Security Evaluation или просто Common Criteria[109]. Таким образом международная стандартизация в области информационной безопасности развивается уже несколько десятков лет.

ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:

  • формирование политики ИБ;
  • безопасность, связанная с персоналом;
  • безопасность коммуникаций;
  • физическая безопасность;
  • управление доступом;
  • обработка инцидентов;
  • обеспечение соответствия требованиям законодательства.

Стандарт ISO 27001 содержит критерии для оценки менеджмента. Любая организация может пройти сертификацию на соответствие этому стандарту.

Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне, которые позволяют сравнивать результаты, полученные в разных странах.

В банковской сфере широко известен отраслевой стандарт PCI DSS, который содержит обязательные требования к безопасности ИТ-инфраструктуры (сетевая безопасность, управление доступом, мониторинг и др.) организаций-членов ассоциации PCI. Стандарт распространяется на процессы выпуска и обслуживания кредитных карт, а также платежные системы. Ежегодное прохождение аудита на соответствие PCI DSS является обязательным условием международных платежных систем, а непрохождение аудита может стать основанием для серьезных штрафных санкций.

Часть национальных стандартов основана на международных стандартах (серия ИСО/МЭК). С полным перечнем национальных стандартов в области информационной безопасности можно ознакомиться на сайте ФСТЭК: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/113-gosudarstvennye-standarty/377-gosudarstvennye-standarty

Более подробно с национальными и международными стандартами можно ознакомиться, пройдя обучение по курсу "Стандарты информационной безопасности" на сайте "Интуит". http://www.intuit.ru/studies/courses/30/30/info

12.7. Создание и функционирование системы защиты информации ограниченного доступа, как составные части работ по созданию и эксплуатации объектов информатизации учреждений и предприятий. Стадии и этапы создания системы защиты информации ограниченного доступа. Разработка эксплуатационной документации на систему защиты информации

Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применением (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

В СТР-К устанавливаются следующие стадии и этапы создания системы защиты информации ограниченного доступа:

  • предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
  • стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
  • стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

  • устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
  • определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
  • определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
  • определяются условия расположения объектов информатизации относительно границ КЗ;
  • определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
  • определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
  • определяются режимы обработки информации в АС в целом и в отдельных компонентах;
  • определяется класс защищенности АС;
  • определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
  • определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ. На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и утверждается его руководителем.

Аналитическое обоснование необходимости создания СЗИ должно содержать:

  • информационную характеристику и организационную структуру объекта информатизации;
  • характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
  • возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
  • перечень предлагаемых к использованию сертифицированных средств защиты информации;
  • обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
  • оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
  • ориентировочные сроки разработки и внедрения СЗИ;
  • перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

Техническое (частное техническое) задание на разработку СЗИ должно содержать:

  • обоснование разработки;
  • исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
  • класс защищенности АС;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
  • конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения;
  • перечень подрядных организаций-исполнителей видов работ;
  • перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.

На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

  • разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
  • разработка раздела технического проекта на объект информатизации в части защиты информации;
  • строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
  • разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
  • закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
  • закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
  • разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
  • организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
  • разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
  • определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
  • выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
  • разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
  • выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

На стадии проектирования и создания объекта информатизации оформляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из:

  • пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;
  • описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
  • плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;
  • технического паспорта объекта информатизации;
  • инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

  • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
  • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
  • аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

  • акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
  • предъявительский акт к проведению аттестационных испытаний;
  • заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации

Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

  • о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;
  • о формировании группы обследования и назначении ее руководителя;
  • о заключении соответствующих договоров на проведение работ;
  • о назначении лиц, ответственных за эксплуатацию объекта информатизации;
  • о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией.

< Лекция 11 || Лекция 12: 123 || Лекция 13 >
Александр Шестов
Александр Шестов

Поддерживаю сообщение Александра Тимошкина. Сокращение не правильное, его даже проверка орфографии подчеркивает.

Александр Игнатьев
Александр Игнатьев

По тексту есть ссылки на литературные источники, которых нет всиске литературы. Номера есть, а источников нет. Ждать ли исправления?