Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 801
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
ческого обслуживания и ремонта; требования транспортабельно
сти; требования безопасности; требования обеспечения режима сохранности информации ограниченного доступа; требования за
щиты от технических средств разведки и т.д.);
• технико-экономические требования;
• требования к видам обеспечения;
• требования к сырью и материалам;
. требования к консервации, упаковке и маркировке;
• требования к учебно-тренировочным средствам;
• специальные требования;
• требования защиты государственной тайны или иной инфор
мации ограниченного доступа (устанавливаются цели и задачи обеспечения ЗИ применительно к создаваемому изделию; вклю
чают требования по проведению анализа возможных каналов утеч
ки сведений об изделии, оценке их информативности и выработ
ке мер по закрытию этих каналов при создании, испытаниях, транс
портировании, эксплуатации и ремонте изделия, требования про
ведения контроля и оценки достаточности принятых мер по со
хранению сведений об изделии на каждом этапе работ с ним, а также другие требования к образцу по обеспечению ЗИ в соответ
ствии с действующими руководящими документами) [15];
• этапы выполнения работ;
• порядок выполнения и приемки этапов работ.
12.4. Предпроектное обследование,
технический проект, рабочий проект.
Апробация и ввод в эксплуатацию
На предпроектной стадии по обследованию объекта информа
тизации:
• устанавливается необходимость обработки информации огра
ниченного доступа в АС, подлежащей разработке, ее вид, степень конфиденциальности и объемы;
• определяются режимы обработки этой информации, комп
лекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, пред
полагаемые к использованию в разрабатываемой АС;
• определяется категория СВТ;
• определяется класс АС;
• определяется степень участия персонала АС в обработке (пе
редаче, хранении, обсуждении) информации, характер их взаимо
действия между собой и с подразделениями защиты информации;
• оценивается возможность использования имеющихся на рынке сертифицированных средств зашиты информации;
сти; требования безопасности; требования обеспечения режима сохранности информации ограниченного доступа; требования за
щиты от технических средств разведки и т.д.);
• технико-экономические требования;
• требования к видам обеспечения;
• требования к сырью и материалам;
. требования к консервации, упаковке и маркировке;
• требования к учебно-тренировочным средствам;
• специальные требования;
• требования защиты государственной тайны или иной инфор
мации ограниченного доступа (устанавливаются цели и задачи обеспечения ЗИ применительно к создаваемому изделию; вклю
чают требования по проведению анализа возможных каналов утеч
ки сведений об изделии, оценке их информативности и выработ
ке мер по закрытию этих каналов при создании, испытаниях, транс
портировании, эксплуатации и ремонте изделия, требования про
ведения контроля и оценки достаточности принятых мер по со
хранению сведений об изделии на каждом этапе работ с ним, а также другие требования к образцу по обеспечению ЗИ в соответ
ствии с действующими руководящими документами) [15];
• этапы выполнения работ;
• порядок выполнения и приемки этапов работ.
12.4. Предпроектное обследование,
технический проект, рабочий проект.
Апробация и ввод в эксплуатацию
На предпроектной стадии по обследованию объекта информа
тизации:
• устанавливается необходимость обработки информации огра
ниченного доступа в АС, подлежащей разработке, ее вид, степень конфиденциальности и объемы;
• определяются режимы обработки этой информации, комп
лекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, пред
полагаемые к использованию в разрабатываемой АС;
• определяется категория СВТ;
• определяется класс АС;
• определяется степень участия персонала АС в обработке (пе
редаче, хранении, обсуждении) информации, характер их взаимо
действия между собой и с подразделениями защиты информации;
• оценивается возможность использования имеющихся на рынке сертифицированных средств зашиты информации;
• определяются мероприятия по защите информации ограни
ченного доступа на стадии разработки АС;
• на основе действующих государственных нормативных доку
ментов по защите информации с учетом установленных катего
рии СВТ и класса защищенности АС задаются конкретные требо
вания к СЗИ АС, включаемые в раздел ТЗ на создание АС по разработке СЗИ.
Результаты предпроектного обследования в части оценки уровня конфиденциальности и ценности защищаемой информации ба
зируются только на документально оформленных перечнях сведе
ний, составляющих государственную, коммерческую тайну или иную охраняемую законом тайну. Наличие таких перечней явля
ется необходимым, но недостаточным условием для решения воп
роса об уровне конфиденциальности информации, обрабатывае
мой в АС. В целях решения этого вопроса следует проанализиро
вать структуру информационного обеспечения системы, необхо
димость наличия в ней защищаемых сведений, объемы и формы представления информации для пользователей.
Степень конфиденциальности обрабатываемой информации определяется заказчиком АС и документально, за подписью соот
ветствующего руководителя, предоставляется разработчику СЗИ.
Предпроектное обследование может быть поручено специали
зированному предприятию, имеющему лицензию на этот вид де
ятельности, но и в этом случае анализ информационного обеспе
чения в части информации ограниченного доступа целесообразно выполнять представителями предприятия-заказчика при методи
ческой помощи специализированного предприятия. На основа
нии результатов предпроектного обследования разрабатываются аналитическое обоснование необходимости создания СЗИ и раз
дел ТЗ на их разработку.
В аналитическом обосновании необходимости создания СЗИ должны быть:
• информационная характеристика и организационная струк
тура объекта информатизации;
• характеристика комплекса основных и вспомогательных тех
нических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
• возможные каналы утечки информации и перечень меропри
ятий по их устранению и ограничению;
• предлагаемые к использованию сертифицированные средства зашиты информации;
• оценка материальных, трудовых и финансовых затрат на раз
работку и внедрение СЗИ;
• ориентировочные сроки разработки и внедрения СЗИ;
• обоснование необходимости привлечения специализирован
ных предприятий для разработки СЗИ;
• перечень мероприятий по защите информации ограниченно
го доступа на стадии разработки АС.
Раздел (технического задания на создание АС), касающийся разработки СЗИ, должен содержать:
• основание для разработки;
• исходные данные создаваемой АС в техническом, программ
ном, информационном и организационном аспектах;
• категорию С ВТ;
• класс защищенности АС;
• ссылку на государственные нормативные документы, с уче
том которых будет разрабатываться СЗИ и аттестоваться АС;
• конкретизацию требований к СЗИ на основе государствен
ных нормативных документов и установленных категории и клас
са защищенности;
• перечень предполагаемых к использованию сертифицирован
ных средств защиты информации;
• обоснование проведения разработок собственных средств за
щиты информации, невозможности и нецелесообразности исполь
зования имеющихся на рынке сертифицированных средств защи
ты информации;
• состав и содержание работ по этапам разработки и внедре
ния, сроки и объемы финансирования работ;
• перечень предъявляемых заказчику научно-технической про
дукции и документации.
Важным в экономическом отношении является принятие ре
шения о выборе из имеющихся на рынке сертифицированных средств защиты информации или о разработке специальных средств собственными силами.
Для правильного выбора средств защиты информации произ
водятся категорирование средств и систем вычислительной тех
ники и классификация АС, предназначенных для обработки, пе
редачи и хранения секретной информации.
На стадии проектирования АС и СЗИ в составе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осу
ществляются:
• разработка задания и проекта на строительство или реконст
рукцию объекта информации в соответствии с требованиями ТЗ на разработку СЗИ;
• разработка раздела технического проекта на АС в части СЗИ;
• строительно-монтажные работы по оборудованию объекта информатизации в соответствии с проектной документацией, утвержденной заказчиком;
• разработка организационно-технических мероприятий по за
щите объекта информатизации в соответствии с предъявляемыми требованиями;
• закупка сертифицированных серийно выпускаемых в защи
щенном исполнении технических средств обработки, передачи и хранения информации;
• закупка и специальные исследования на побочные электро
магнитные излучения и наводки несертифицированных средств с выдачей предписаний на их эксплуатацию (или сертификацию отдельных образцов импортной ВТ; сертификацию проводят спе
циально аккредитованные сертификационные центры);
• специальная проверка импортных технических средств на предмет возможно внедренных в них специальных электронных устройств (закладок);
• размещение и монтаж технических средств АС;
• закупка сертифицированных серийно выпускаемых техниче
ских и программных (в том числе криптографических) СЗИ и их адаптация;
• разработка и последующая сертификация программных СЗИ в случае, когда на рынке отсутствуют требуемые программные средства;
• объектовые исследования технических средств АС на побоч
ные электромагнитные излучения и наводки с целью определения соответствия установленной категории для этих технических средств;
• монтаж средств активной защиты в случае, когда по результа
там специальных или объектовых исследований технических средств не выполняются нормы защиты информации для уста
новленной категории этих технических средств;
• организация охраны и физической защиты объекта информа
тизации и отдельных технических средств;
• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала АС к обрабатыва
емой информации, оформляемой в виде раздела «Положение о разрешительной системе допуска исполнителей к документам и сведениям в учреждении»;
• определение заказчиком подразделений и лиц, ответствен
ных за эксплуатацию СЗИ, обучение назначенных лиц специфи
ке работ по защите информации на стадии эксплуатации АС;
• выполнение генерации пакета прикладных программ в комп
лексе с программными средствами защиты информации;
• разработка организационно-распорядительной и рабочей до
кументации по эксплуатации АС в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов).
Для эффективной и надежной в плане обеспечения безопасно
сти информации работ АС необходимо правильно организовать разрешительную систему доступа пользователей к информации в
АС, т.е. предоставить пользователям право работать с той ин
формацией, которая необходима им для выполнения функцио
нальных обязанностей, установить их полномочия по доступу к информации. Это означает, что необходимо определить и офор
мить порядок установления уровня полномочий пользователей, а также круга лиц, которым это право предоставлено, установить правила разграничения доступа, регламентирующие права досту
па субъектов к объектам, т.е. не только кто из пользователей АС и их программ допускается к тем или иным программам, файлам, записям, но и какие действия при этом они могут осуществлять.
Все это оформляется службой защиты информации или адми
нистратором АС в виде матрицы доступа или иных правил разгра
ничения доступа.
Среди организационных мероприятий по обеспечению без
опасности информации — охрана объекта, на котором располо
жена защищаемая АС (территория, здания, помещения, хранили
ща информационных носителей), путем установления соответству
ющих постов технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющи
ми хищение СВТ, информационных носителей, а также НДС к
СВТ и линиям связи.
Следует отметить, что в последнее время в направлении физи
ческой защиты помещений, самих СВТ, информационных носи
телей наблюдается смещение в сторону использования в этих це
лях средств защиты, основанных на новых принципах. Например, доступ в помещение разрешается и контролируется с помощью
АС, оконечными устройствами которой являются различного рода терминалы, использующие средства аутентификации на различ
ных физических принципах, с чьей помощью осуществляются разграничение доступа в помещение, вход в систему и т.д.
На стадии ввода в действие АС и СЗИ в ее составе осуществля
ются:
• опытная эксплуатация разработанных или адаптированных средств защиты информации в комплексе с прикладными про
граммами в целях проверки их работоспособности и отработки технологического процесса обработки информации;
• приемочные испытания СЗИ по результатам опытной экс
плуатации с оформлением приемо-сдаточного акта, подписывае
мого разработчиком (поставщиком) и заказчиком;
• аттестация АС по требованиям безопасности информации, которая производится аккредитованным в установленном поряд
ке органом по аттестации в соответствии с «Положением по атте
стации объектов информатики по требованиям безопасности ин
формации», действующим в системе сертификации продукции и аттестации объектов информатики, работающей под управлением
ФСТЭК России.
При положительных результатах аттестации владельцу АС вы
дается «Аттестат соответствия АС требованиям безопасности ин
мить порядок установления уровня полномочий пользователей, а также круга лиц, которым это право предоставлено, установить правила разграничения доступа, регламентирующие права досту
па субъектов к объектам, т.е. не только кто из пользователей АС и их программ допускается к тем или иным программам, файлам, записям, но и какие действия при этом они могут осуществлять.
Все это оформляется службой защиты информации или адми
нистратором АС в виде матрицы доступа или иных правил разгра
ничения доступа.
Среди организационных мероприятий по обеспечению без
опасности информации — охрана объекта, на котором располо
жена защищаемая АС (территория, здания, помещения, хранили
ща информационных носителей), путем установления соответству
ющих постов технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющи
ми хищение СВТ, информационных носителей, а также НДС к
СВТ и линиям связи.
Следует отметить, что в последнее время в направлении физи
ческой защиты помещений, самих СВТ, информационных носи
телей наблюдается смещение в сторону использования в этих це
лях средств защиты, основанных на новых принципах. Например, доступ в помещение разрешается и контролируется с помощью
АС, оконечными устройствами которой являются различного рода терминалы, использующие средства аутентификации на различ
ных физических принципах, с чьей помощью осуществляются разграничение доступа в помещение, вход в систему и т.д.
На стадии ввода в действие АС и СЗИ в ее составе осуществля
ются:
• опытная эксплуатация разработанных или адаптированных средств защиты информации в комплексе с прикладными про
граммами в целях проверки их работоспособности и отработки технологического процесса обработки информации;
• приемочные испытания СЗИ по результатам опытной экс
плуатации с оформлением приемо-сдаточного акта, подписывае
мого разработчиком (поставщиком) и заказчиком;
• аттестация АС по требованиям безопасности информации, которая производится аккредитованным в установленном поряд
ке органом по аттестации в соответствии с «Положением по атте
стации объектов информатики по требованиям безопасности ин
формации», действующим в системе сертификации продукции и аттестации объектов информатики, работающей под управлением
ФСТЭК России.
При положительных результатах аттестации владельцу АС вы
дается «Аттестат соответствия АС требованиям безопасности ин
формации». Эксплуатация АС осуществляется в соответствии с утвержденной организационно-распорядительной и эксплуатаци
онной документацией, предписаниями на эксплуатацию техни
ческих средств.
Технология обработки информации в АС различна и зависит от используемых СВТ, программных средств, режимов работы.
Не вдаваясь в особенности технологического процесса, обуслов
ленные различиями в технике, программном обеспечении и дру
гими причинами, можно констатировать, что основной характер
ной особенностью, связанной с обработкой секретной или иной подлежащей защите информации, является функционирование системы зашиты информации от НСД как комплекса програм
мно-технических средств и организационных решений, предус
матривающей учет, хранение и выдачу пользователям информа
ционных носителей, паролей, ключей, ведение служебной инфор
мации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функ
ционированием СЗИ, контроль соответствия общесистемной про
граммной среды эталону и приемку включаемых в АС новых про
граммных средств, контроль за ходом технологического процесса обработки информации путем регистрации анализа действий пользователей, сигнализации опасных событий.
Перечисленные составляющие являются функциональной на
правленностью службы безопасности информации, администра
тора АС и фиксируются, с одной стороны, в положениях об этих службах и общей организационной документации по обеспече
нию безопасности информации («Положение о порядке органи
зации и проведения на предприятии работ по защите информа
ции в АС», «Инструкция по защите информации, обрабатывае
мой в АС предприятия», разделе «Положения о системе допуска исполнителей к документам и сведениям на предприятии», опре
деляющим особенности системы допуска в процесс разработки и функционирования АС), а с другой стороны, в проектной доку
ментации СЗИ НСД (инструкциях администратору АС, службе безопасности информации, пользователю АС).
Следует отметить, что без надлежащей организационной под
держки программно-технических средств защиты информации от
НСД и точного выполнения предусмотренных проектной доку
ментацией процедур в должной мере не решить проблему обеспе
чения безопасности информации в АС.
Контроль состояния эффективности зашиты информации осу
ществляется подразделениями по защите информации службы безопасности предприятия-заказчика и заключается в проверке выполнения требования нормативных документов по защите ин
формации, а также в оценке обоснованности и эффективности мер.
онной документацией, предписаниями на эксплуатацию техни
ческих средств.
Технология обработки информации в АС различна и зависит от используемых СВТ, программных средств, режимов работы.
Не вдаваясь в особенности технологического процесса, обуслов
ленные различиями в технике, программном обеспечении и дру
гими причинами, можно констатировать, что основной характер
ной особенностью, связанной с обработкой секретной или иной подлежащей защите информации, является функционирование системы зашиты информации от НСД как комплекса програм
мно-технических средств и организационных решений, предус
матривающей учет, хранение и выдачу пользователям информа
ционных носителей, паролей, ключей, ведение служебной инфор
мации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функ
ционированием СЗИ, контроль соответствия общесистемной про
граммной среды эталону и приемку включаемых в АС новых про
граммных средств, контроль за ходом технологического процесса обработки информации путем регистрации анализа действий пользователей, сигнализации опасных событий.
Перечисленные составляющие являются функциональной на
правленностью службы безопасности информации, администра
тора АС и фиксируются, с одной стороны, в положениях об этих службах и общей организационной документации по обеспече
нию безопасности информации («Положение о порядке органи
зации и проведения на предприятии работ по защите информа
ции в АС», «Инструкция по защите информации, обрабатывае
мой в АС предприятия», разделе «Положения о системе допуска исполнителей к документам и сведениям на предприятии», опре
деляющим особенности системы допуска в процесс разработки и функционирования АС), а с другой стороны, в проектной доку
ментации СЗИ НСД (инструкциях администратору АС, службе безопасности информации, пользователю АС).
Следует отметить, что без надлежащей организационной под
держки программно-технических средств защиты информации от
НСД и точного выполнения предусмотренных проектной доку
ментацией процедур в должной мере не решить проблему обеспе
чения безопасности информации в АС.
Контроль состояния эффективности зашиты информации осу
ществляется подразделениями по защите информации службы безопасности предприятия-заказчика и заключается в проверке выполнения требования нормативных документов по защите ин
формации, а также в оценке обоснованности и эффективности мер.
Г л а в а 13
1 ... 23 24 25 26 27 28 29 30 ... 41