Комплекс работ по созданию системы защиты информации

13.4. Внедрение системы защиты информации

Следующая стадия - внедрение СЗИ ИС - осуществляется на основе проектной и эксплуатационной документации. Включает в себя следующие работы:

• установку и настройку средств защиты информации в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и документацией на средства защиты информации;
• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации);
• внедрение организационных мер защиты информации;
• предварительные испытания системы защиты информации информационной системы;
• опытную эксплуатацию системы защиты информации информационной системы;
• анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
• приемочные испытания системы защиты информации информационной системы.

Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:

• управления СЗИ ИС;
• выявления инцидентов, которые могут привести к сбоям или нарушению функционирования ИС и (или) к возникновению угроз безопасности информации и реагирования на них;
• управления конфигурацией аттестованной ИС и СЗИ ИС;
• контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИС;
• защиты информации при выводе из эксплуатации ИС или после принятия решения об окончании обработки информации.

При внедрении организационных мер защиты информации осуществляются:

• реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
• проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов ИС по реализации организационных мер защиты информации;
• отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Предварительные испытания и опытная эксплуатация СЗИ ИС осуществляются в соответствии с ГОСТ 34.603 "Информационная технология. Виды испытаний автоматизированных систем". Опытная эксплуатация включает проверку функционирования СЗИ ИС, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации СЗИ ИС.

Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.

Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.

В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

Приемочные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.

13.5. Аттестация объекта информатизации по требованиям безопасности информации и ввод его в действие

Следующая стадия - аттестация объекта информатизации и ввод ее в действие. Аттестация ОИ организуется обладателем информации (заказчиком) или оператором. В качестве исходных данных используются (перечислен минимум документов):

• модель угроз безопасности информации;
• акт классификации информационной системы;
• техническое задание на создание ИС и (или) техническое задание (частное техническое задание) на создание СЗИ ИС;
• проектная и эксплуатационная документация на СЗИ ИС;
• организационно-распорядительные документы по защите информации;
• результаты анализа уязвимостей ИС;
• материалы предварительных и приемочных испытаний системы защиты информации информационной системы.

Аттестация проводится до начала обработки информации, подлежащей защите. Для аттестации применяются национальные стандарты и документы ФСТЭК. По результатам оформляется протокол аттестационных испытаний, заключение о соответствии объекта информатизации требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний. Об аттестации будет подробнее рассказано в следующих лекциях.

Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.

13.6. Сопровождение системы защиты информации в ходе эксплуатации объекта информатизации

Обеспечение защиты информации в ходе эксплуатации объекта информатизации осуществляется в соответствии с утвержденной организационно-распорядительной, эксплуатационной документацией и требованиями нормативных документов. В частности, с пунктами 4-6 СТР-К, которые были рассмотрены в предыдущих лекциях.

Сопровождение системы защиты информации предполагает также периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

• соблюдения нормативных и методических документов;
• работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
• знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

13.7. Порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении

В ГОСТ P 51583-2014 определен также порядок выполнения работ по защите информации о создаваемой АСЗИ.

Защита информации о создаваемой(модернизируемой) АСЗИ также является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком.

Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:

• разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;
• определение защищаемой информации о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
• определение носителей защищаемой информации о создаваемой (модернизируемой) АСЗИ и их уязвимостей, актуальных угроз безопасности информации;
• определение и технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
• обоснование, разработка и /или закупка средств, необходимых для ЗИ о создаваемой (модернизируемой) АСЗИ;
• обоснование и разработка мероприятий по контролю состояния ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
• разработка документов, регламентирующих организацию и осуществление ЗИ о создаваемой (модернизируемой) АСЗИ.

Перечень информации, подлежащей защите, определяют на стадии формирования требований к АСЗИ и, при необходимости, уточняют на последующих стадиях ее создания. К защищаемой информации относятся:

• цель и задачи ЗИ в АСЗИ;
• перечень составных частей (сегментов) АСЗИ, участвующих в обработке защищаемой в АСЗИ информации;
• состав возможных уязвимостей АСЗИ, возможных последствий от реализации угроз безопасности информации для нарушения свойств безопасности информации (конфиденциальность, целостность, доступность);
• структурно-функциональные характеристики АСЗИ, включающие структуру и состав АСЗИ, физические, функциональные и технологические взаимосвязи между составными частями АСЗИ и взаимосвязи с иными системами, режимы обработки информации в АСЗИ в целом и в ее отдельных составных частях;
• меры и СЗИ, применяемые в АСЗИ;
• сведения о реализации системы ЗИ в АСЗИ.

Контроль состояния ЗИ заключается в оценке:

• соблюдения положений нормативных документов, устанавливающих требования безопасности информации при создании (модернизации) АСЗИ;
• эффективности ЗИ о создаваемой (модернизируемой) АСЗИ;
• знания исполнителями работ по созданию (модернизации) АСЗИ своих функциональных обязанностей в части ЗИ[110].

Особое значение защита информации о создаваемой АСЗИ приобретает при участии в процессе сторонних организаций. Для сотрудников сторонних организаций также должна быть предусмотрена разрешительная система доступа к защищаемой информации о АСЗИ, документации, программным и техническим средствам. Возможно заключение соглашений о неразглашении (NDA).

В случае если при контроле состояния ЗИ выявлены нарушения, в зависимости от их тяжести обработка информации в АСЗИ может быть приостановлена до устранения выявленных нарушений.