|
Читайте также: |
Организации-участники работ по созданию СЗИ (АСЗИ) должны иметь лицензии на право проведения работ в области защиты информации. Лицензирование организаций и предприятий осуществляется в установленном порядке.
Для создания АСЗИ могут применяться как серийно выпускаемые, так и вновь разработанные технические и программные средства обработки информации, а также технические, программные, программно-технические, шифровальные средства ЗИ и средства для контроля эффективности.
Важно!
Выпускаемые средства должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации. Вновь разработанные средства должны быть сертифицированы в установленном порядке до начала опытной эксплуатации АСЗИ.
Процесс создания и применения СЗИ должен быть документирован в полном соответствии с требованиями ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем», в том числе и нормативных документов по защите обрабатываемой информации.
Заказчик, собственник и владелец АСЗИ, а также организации-участники создания АСЗИ несут ответственность за обеспечение защиты обрабатываемой информации в АСЗИ и выполняемые работы по ЗИ на всех стадиях создания АСЗИ.
Технические, программные и программно-технические средства защиты информации специального применения создаются разработчиком АСЗИ. Конструкторская документация на их изготовление включается в состав документации на АСЗИ отдельными документами или разделами основных документов.
За обеспечение создания АСЗИ несут ответственность:
- заказчик - в части включения в ТЗ (ЧТЗ) на АСЗИ и её компонентов, а также в техническую, программную, конструкторскую и эксплуатационную документацию обоснованных требований по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приёмки как АСЗИ в целом, так и её компонентов;
- предприятие-разработчик - в части обеспечения соответствия разрабатываемой АСЗИ и системы ЗИ требованиям ТЗ по защите обрабатываемой информации, действующим стандартам, нормам и другим нормативным документам;
- предприятие-изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и программной продукции заданным требованиям по защите обрабатываемой информации, реализованным в конструкторской и программной документации.
Общее руководство работами по ЗИ при создании АСЗИ в целом осуществляет главный конструктор АСЗИ или его заместители, а при создании компонентов АСЗИ - главные конструктора этих компонентов или их заместители.
Ввод АСЗИ в эксплуатацию осуществляется только после выполнения всех мероприятий по ЗИ и проведения испытаний испытательным центром (лабораторией) на соответствие требованиям нормативных документов по защите информации её аттестации на соответствие требованиям безопасности информации.
В случае, когда для создания новой АСЗИ необходимо провести исследования по изысканию новых технических решений, предварительно может проводиться одна или цикл НИР и опытно-конструкторских работ (ОКР).
Возможно объединение НИР и ОКР, если необходимо ускорить процесс разработки, то есть ставится НИОКР, в ходе которой отрабатываются требования к АСЗИ, в том числе к СЗИ в АСЗИ, определяются целесообразные технические решения по защите информации.
По результатам НИОКР разрабатывается ТЗ на создание АСЗИ. Если проводится НИР, ОКР или НИОКР, то говорят, что имеет место полный цикл разработки АСЗИ в защищённом исполнении. В ходе НИР исследуются возможные и целесообразные способы защиты информации и отрабатывается ТЗ на ОКР по созданию элементов АСЗИ в защищённом исполнении и специализированных средств защиты информации для данной АСЗИ. При этом в НИР или, если НИР не ставится, то в ходе работ по созданию АС в защищённом исполнении, наряду с вопросами построения самой АСЗИ:
1) анализируются потоки информации в АСЗИ и определяется информация, составляющая государственную и другие виды тайны;
2) определяются элементы АСЗИ, где циркулирует информация, составляющая государственную тайну;
3) проводится анализ её уязвимых звеньев с точки зрения защиты информации;
4) определяются возможные угрозы безопасности информации, оценивается опасность этих угроз и выбираются актуальные из них. (выделяются угрозы утечки информации, составляющей государственную тайну);
5) применительно к выбранным угрозам формулируются задачи и обосновываются требования по защите информации, которые необходимо предъявить к АСЗИ;
6) определяется стратегия защиты информации, с помощью которой можно реализовать обоснованные требования;
7) формируются возможные меры безопасности информации, реализуемые административными мерами администратора сети;
8) определяются эффективные и целесообразные по критерию «эффективность-стоимость» дополнительные способы защиты информации от выбранных угроз;
9) анализируется возможность реализации способов защиты с привлечением ранее разработанных программных и программно-аппаратных средств, определяется необходимость разработки нового программного обеспечения;
10) определяются основные вопросы управления защитой информации.
Рассмотрим более подробно некоторые из этих аспектов.
Анализ потоков информации в АСЗИ и определение информации, составляющей государственную и другие виды тайн, проводится на основе перечней сведений, составляющих эти виды тайн, при этом основное внимание уделяется сведениям, составляющим государственную тайну. В результате анализа устанавливается, есть в информации, циркулирующей в АСЗИ, сведения, составляющие тот или иной вид тайны. Особое внимание при этом уделяется сведениям, составляющим государственную тайну. Дело в том, что к элементам АСЗИ, в которых циркулирует информация, составляющая государственную тайну, предъявляются специальные требования по защите. Эти элементы выделяются в отдельный перечень, а затем и в отдельную подсистему, отделённую от других элементов АСЗИ, и для них формируется в последующем своя подсистема защиты информации, отделённая от системы защиты информации, составляющей другие виды тайн.
Наиболее сложным и существенным для защиты информации в АСЗИ является анализ уязвимых звеньев АСЗИ и определение возможных угроз безопасности информации. При этом анализируются следующие исходные данные об АСЗИ:
- назначение и выполняемые функции каждым элементом АСЗИ;
- состав и назначение аппаратных и программных средств;
- структурная и (или) функциональная схема;
- состав и размещение элементов АСЗИ;
- структура и состав информационной базы;
- ожидаемые ограничения по допуску лиц к информации различной категории конфиденциальности;
- перечень и время сохранение сведений, составляющих тот или иной вид тайны;
- состав, количество и виды внутренних и выходных документов;
- описание функциональных задач прикладного программного обеспечения;
- состав и выполняемые функции должностных лиц – пользователей и обслуживающего персонала;
- режим работы (закрытый или открытый, круглосуточный или с перерывами) и т.д.
Кроме этого, рассматриваются условия функционирования АСЗИ с точки зрения возникновения всех возможных угроз безопасности информации антропогенного, техногенного характера, а также угроз, обусловленных стихийными бедствиями. Для угроз антропогенного характера формируются модели ожидаемого поведения потенциального нарушителя. Наиболее сложным при этом является обоснование состава угроз несанкционированного доступа, особенно удалённого доступа в распределённой АСЗИ. Как правило, их выявление проводится на основе практического опыта и накапливаемых и анализируемых статистических данных о различных способах атак на АСЗИ.
Дата добавления: 2015-10-13; просмотров: 176 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Разработка проекта СЗИ | | | Задачи по защите информации |