Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 1908 / 711 | Длительность: 17:50:00
Лекция 13:

Комплекс работ по созданию системы защиты информации

< Лекция 12 || Лекция 13: 12 || Лекция 14 >

13.4. Внедрение системы защиты информации

Следующая стадия - внедрение СЗИ ИС - осуществляется на основе проектной и эксплуатационной документации. Включает в себя следующие работы:

  • установку и настройку средств защиты информации в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и документацией на средства защиты информации;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
  • приемочные испытания системы защиты информации информационной системы.

Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:

  • управления СЗИ ИС;
  • выявления инцидентов, которые могут привести к сбоям или нарушению функционирования ИС и (или) к возникновению угроз безопасности информации и реагирования на них;
  • управления конфигурацией аттестованной ИС и СЗИ ИС;
  • контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИС;
  • защиты информации при выводе из эксплуатации ИС или после принятия решения об окончании обработки информации.

При внедрении организационных мер защиты информации осуществляются:

  • реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
  • проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов ИС по реализации организационных мер защиты информации;
  • отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Предварительные испытания и опытная эксплуатация СЗИ ИС осуществляются в соответствии с ГОСТ 34.603 "Информационная технология. Виды испытаний автоматизированных систем". Опытная эксплуатация включает проверку функционирования СЗИ ИС, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации СЗИ ИС.

Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.

Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.

В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

Приемочные испытания системы защиты информации информационной системы проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к системе защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.

13.5. Аттестация объекта информатизации по требованиям безопасности информации и ввод его в действие

Следующая стадия - аттестация объекта информатизации и ввод ее в действие. Аттестация ОИ организуется обладателем информации (заказчиком) или оператором. В качестве исходных данных используются (перечислен минимум документов):

  • модель угроз безопасности информации;
  • акт классификации информационной системы;
  • техническое задание на создание ИС и (или) техническое задание (частное техническое задание) на создание СЗИ ИС;
  • проектная и эксплуатационная документация на СЗИ ИС;
  • организационно-распорядительные документы по защите информации;
  • результаты анализа уязвимостей ИС;
  • материалы предварительных и приемочных испытаний системы защиты информации информационной системы.

Аттестация проводится до начала обработки информации, подлежащей защите. Для аттестации применяются национальные стандарты и документы ФСТЭК. По результатам оформляется протокол аттестационных испытаний, заключение о соответствии объекта информатизации требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний. Об аттестации будет подробнее рассказано в следующих лекциях.

Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.

13.6. Сопровождение системы защиты информации в ходе эксплуатации объекта информатизации

Обеспечение защиты информации в ходе эксплуатации объекта информатизации осуществляется в соответствии с утвержденной организационно-распорядительной, эксплуатационной документацией и требованиями нормативных документов. В частности, с пунктами 4-6 СТР-К, которые были рассмотрены в предыдущих лекциях.

Сопровождение системы защиты информации предполагает также периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

  • соблюдения нормативных и методических документов;
  • работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
  • знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

13.7. Порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении

В ГОСТ P 51583-2014 определен также порядок выполнения работ по защите информации о создаваемой АСЗИ.

Защита информации о создаваемой(модернизируемой) АСЗИ также является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем, в случаях, установленных федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами уполномоченных федеральных органов исполнительной власти или заказчиком.

Основными видами работ по ЗИ о создаваемых (модернизируемых) АСЗИ являются:

  • разработка замысла ЗИ о создаваемой (модернизируемой) АСЗИ;
  • определение защищаемой информации о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
  • определение носителей защищаемой информации о создаваемой (модернизируемой) АСЗИ и их уязвимостей, актуальных угроз безопасности информации;
  • определение и технико-экономическое обоснование организационных и технических мероприятий, которые необходимо проводить в интересах ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
  • обоснование, разработка и /или закупка средств, необходимых для ЗИ о создаваемой (модернизируемой) АСЗИ;
  • обоснование и разработка мероприятий по контролю состояния ЗИ о создаваемой (модернизируемой) АСЗИ на различных стадиях ее создания;
  • разработка документов, регламентирующих организацию и осуществление ЗИ о создаваемой (модернизируемой) АСЗИ.

Перечень информации, подлежащей защите, определяют на стадии формирования требований к АСЗИ и, при необходимости, уточняют на последующих стадиях ее создания. К защищаемой информации относятся:

  • цель и задачи ЗИ в АСЗИ;
  • перечень составных частей (сегментов) АСЗИ, участвующих в обработке защищаемой в АСЗИ информации;
  • состав возможных уязвимостей АСЗИ, возможных последствий от реализации угроз безопасности информации для нарушения свойств безопасности информации (конфиденциальность, целостность, доступность);
  • структурно-функциональные характеристики АСЗИ, включающие структуру и состав АСЗИ, физические, функциональные и технологические взаимосвязи между составными частями АСЗИ и взаимосвязи с иными системами, режимы обработки информации в АСЗИ в целом и в ее отдельных составных частях;
  • меры и СЗИ, применяемые в АСЗИ;
  • сведения о реализации системы ЗИ в АСЗИ.

Контроль состояния ЗИ заключается в оценке:

  • соблюдения положений нормативных документов, устанавливающих требования безопасности информации при создании (модернизации) АСЗИ;
  • эффективности ЗИ о создаваемой (модернизируемой) АСЗИ;
  • знания исполнителями работ по созданию (модернизации) АСЗИ своих функциональных обязанностей в части ЗИ[110].

Особое значение защита информации о создаваемой АСЗИ приобретает при участии в процессе сторонних организаций. Для сотрудников сторонних организаций также должна быть предусмотрена разрешительная система доступа к защищаемой информации о АСЗИ, документации, программным и техническим средствам. Возможно заключение соглашений о неразглашении (NDA).

В случае если при контроле состояния ЗИ выявлены нарушения, в зависимости от их тяжести обработка информации в АСЗИ может быть приостановлена до устранения выявленных нарушений.

< Лекция 12 || Лекция 13: 12 || Лекция 14 >
Александр Шестов
Александр Шестов

Поддерживаю сообщение Александра Тимошкина. Сокращение не правильное, его даже проверка орфографии подчеркивает.

Александр Игнатьев
Александр Игнатьев

По тексту есть ссылки на литературные источники, которых нет всиске литературы. Номера есть, а источников нет. Ждать ли исправления?