ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4288
Скачиваний: 25
• информации, выводимой на экраны видеомониторов;
• информации, передаваемой по каналам связи, выходящим за
пределы КЗ.
Для защиты информации рекомендуется использовать серти
фицированные по требованиям безопасности информации тех
нические средства обработки и передачи информации, техниче
ские и программные средства зашиты информации. Надо учесть,
что при обработке документированной конфиденциальной инфор
мации на объектах информатизации в государственных органах
власти, предприятиях и учреждениях средства защиты информа
ционных систем подлежат обязательной сертификации.
Объекты информатизации должны быть аттестованы на соот
ветствие требованиям по защите информации. (Здесь и далее под
аттестацией понимается комиссионная приемка объекта инфор
матизации силами предприятия с обязательным участием специа
листа по защите информации.)
Ответственность за обеспечение требований по технической
защите конфиденциальной информации возлагается на руково
дителей учреждений и предприятий, эксплуатирующих объекты
информатизации.
7.2. Задачи КСЗИ по выявлению угроз и КУИ
Организация работ по защите информации возлагается на ру
ководителей учреждений и предприятий, руководителей подраз
делений, осуществляющих разработку проектов объектов инфор
матизации и их эксплуатацию, а методическое руководство и кон
троль за эффективностью предусмотренных мер защиты инфор
мации — на руководителей подразделений по защите информа
ции (служб безопасности) учреждения (предприятия) [40].
На предприятии должны быть определены подразделения (или
отдельные специалисты), ответственные за организацию и прове
дение (внедрение и эксплуатацию) мероприятий по защите ин
формации в ходе выполнения работ с использованием конфиден
циальной информации.
Разработка и внедрение СЗИ осуществляются во взаимодей
ствии разработчика со службой безопасности предприятия-заказ-
чика, которая осуществляет методическое руководство и участву
ет: в разработке конкретных требований по защите информации,
аналитическом обосновании необходимости создания СЗИ, со
гласовании выбора средств вычислительной техники и связи, тех
нических и программных средств защиты, организации работ по
выявлению возможностей и предупреждению утечки и наруше
ния целостности защищаемой информации, в аттестации объек
тов информатизации.
Организация работ по созданию и эксплуатации объектов ин
форматизации и их СЗИ определяется в разрабатываемом на пред
приятии «Руководстве по защите информации» или в специаль
ном «Положении о порядке организации и проведения работ по
защите информации» и должна предусматривать:
• порядок определения защищаемой информации;
• порядок привлечения подразделений предприятия, специа
лизированных сторонних организаций к разработке и эксплуата
ции объектов информатизации и СЗИ, их задачи и функции на
различных стадиях создания и эксплуатации объекта информати
зации;
• порядок взаимодействия всех занятых в этой работе органи
заций, подразделений и специалистов;
• порядок разработки, ввода в действие и эксплуатацию объек
тов информатизации;
• ответственность должностных лиц за своевременность и ка
чество формирования требований по технической защите инфор
мации, за качество и научно-технический уровень разработки СЗИ.
Устанавливаются следующие стадии создания системы защиты
информации:
• предпроектная стадия, включающая предпроектное обследо
вание объекта информатизации, разработку аналитического обо
снования необходимости создания СЗИ и технического (частного
технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации
объекта информатизации, включающая разработку СЗИ в составе
объекта информатизации;
• стадия ввода в действие СЗИ, включающая опытную эксплу
атацию и приемо-сдаточные испытания средств защиты инфор
мации, а также аттестацию объекта информатизации на соответ
ствие требованиям безопасности информации.
На предпроектной стадии по обследованию объекта информа
тизации:
• устанавливается необходимость обработки (обсуждения) кон
фиденциальной информации на данном объекте информатиза
ции;
• определяется перечень сведений конфиденциального харак
тера, подлежащих защите от утечки по техническим каналам;
• определяются (уточняются) угрозы безопасности информа
ции и модель вероятного нарушителя применительно к конкрет
ным условиям функционирования;
• определяются условия расположения объектов информатиза
ции относительно границ КЗ;
• определяются конфигурация и топология автоматизирован
ных систем и систем связи в целом и их отдельных компонент,
физические, функциональные и технологические связи как внут
ри этих систем, так и с другими системами различного уровня и
назначения;
• определяются технические средства и системы, предполагае
мые к использованию в разрабатываемой АС и системах связи,
условия их расположения, общесистемные и прикладные про
граммные средства, имеющиеся на рынке и предлагаемые к раз
работке;
• определяются режимы обработки информации в АС в целом
и в отдельных компонентах;
• определяется класс защищенности АС;
• определяется степень участия персонала в обработке (обсуж
дении, передаче, хранении) информации, характер их взаимодей
ствия между собой и со службой безопасности;
• определяются мероприятия по обеспечению конфиденциаль
ности информации в процессе проектирования объекта инфор
матизации.
По результатам предпроектного обследования разрабатывается
аналитическое обоснование необходимости создания СЗИ.
На основе действующих нормативных правовых актов и мето
дических документов по защите конфиденциальной информации
с учетом установленного класса защищенности АС задаются кон
кретные требования по защите информации, включаемые в тех
ническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование в части определения защищае
мой информации должно базироваться на документально оформ
ленных перечнях сведений конфиденциального характера. Пере
чень сведений конфиденциального характера составляется заказ
чиком объекта информатизации и оформляется за подписью со
ответствующего руководителя.
Предпроектное обследование может быть поручено специали
зированному предприятию, имеющему соответствующую лицен
зию, но и в этом случае анализ информационного обеспечения в
части защищаемой информации целесообразно выполнять пред
ставителям предприятия-заказчика при методической помощи
специализированного предприятия. Ознакомление специалистов
этого предприятия с защищаемыми сведениями осуществляется в
установленном на предприятии-заказчике порядке.
Аналитическое обоснование необходимости создания СЗИ дол
жно содержать:
• информационную характеристику и организационную струк
туру объекта информатизации;
• характеристику комплекса основных и вспомогательных тех
нических средств, программного обеспечения, режимов работы,
технологического процесса обработки информации;
• возможные каналы утечки информации и перечень меропри
ятий по их устранению и ограничению;
• перечень предлагаемых к использованию сертифицирован
ных средств защиты информации;
• обоснование необходимости привлечения специализирован
ных организаций, имеющих необходимые лицензии на право про
ведения работ по защите информации;
• оценку материальных, трудовых и финансовых затрат на раз
работку и внедрение СЗИ;
• ориентировочные сроки разработки и внедрения СЗИ;
• перечень мероприятий по обеспечению конфиденциальности
информации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем
пред проектного обследования, согласовывается с главным конст
руктором (должностным лицом, обеспечивающим научно-техни
ческое руководство создания объекта информатизации), руково
дителем службы безопасности и утверждается руководителем пред
приятия-заказчика.
Техническое (частное техническое) задание на разработку СЗИ
должно содержать:
• обоснование разработки;
• исходные данные создаваемого (модернизируемого) объекта
информатизации в техническом, программном, информационном
и организационном аспектах;
• класс защищенности АС;
• ссылку на нормативные документы, с учетом которых будет
разрабатываться СЗИ и приниматься в эксплуатацию объект ин
форматизации;
• конкретизацию требований к СЗИ на основе действующих
нормативно-методических документов и установленного класса
защищенности АС;
• перечень предполагаемых к использованию сертифицирован
ных средств защиты информации;
• обоснование проведения разработок собственных средств за
щиты информации, невозможности или нецелесообразности ис
пользования имеющихся на рынке сертифицированных средств
защиты информации;
• состав, содержание и сроки проведения работ по этапам раз
работки и внедрения;
• перечень подрядных организаций-исполнителей видов работ;
• перечень предъявляемой заказчику научно-технической про
дукции и документации.
Техническое (частное техническое) задание на разработку СЗИ
подписывается разработчиком, согласовывается со службой без
опасности предприятия-заказчика, подрядными организациями и
утверждается заказчиком.
В целях дифференцированного подхода к защите информа
ции производится классификация АС по требованиям защищен
ности от НСД к информации. Класс защищенности АС от НСД
к информации устанавливается совместно заказчиком и разра
ботчиком АС с привлечением специалистов по защите инфор
мации в соответствии с требованиями руководящего документа
(РД) Гостехкомиссии России «Автоматизированные системы.
Защита от несанкционированного доступа к информации. Клас
сификация автоматизированных систем и требования по защите
информации» оформляются актом.
Пересмотр класса защищенности АС производится в обязатель
ном порядке, если произошло изменение хотя бы одного из кри
териев, на основании которых он был установлен.
На стадии проектирования и создания объекта информатиза
ции и СЗИ в его составе на основе предъявляемых требований и
заданных заказчиком ограничений на финансовые, материальные,
трудовые и временные ресурсы осуществляются следующие меро
приятия:
• разработка задания и проекта на строительные, строительно
монтажные работы (или реконструкцию) объекта информатиза
ции в соответствии с требованиями технического (частного тех
нического) задания на разработку СЗИ;
• разработка раздела технического проекта на объект информа
тизации в части защиты информации;
• строительно-монтажные работы в соответствии с проектной
документацией, утвержденной заказчиком, размещением и мон
тажом технических средств и систем;
• разработка организационно-технических мероприятий по за
щите информации в соответствии с предъявляемыми требова
ниями;
• закупка сертифицированных образцов и серийно выпускае
мых в защищенном исполнении технических средств обработки,
передачи и хранения информации, либо их сертификация;
• закупка сертифицированных технических, программных и
программно-технических (в т.ч. криптографических) средств за
щиты информации и их установка;
• разработка (доработка) или закупка и последующая сертифи
кация по требованиям безопасности информации программных
средств защиты информации в случае, когда на рынке отсутству
ют требуемые сертифицированные программные средства;
• организация охраны и физической защиты помещений объекта
информатизации, исключающих несанкционированный доступ к
техническим средствам обработки, хранения и передачи инфор
мации, их хищение и нарушение работоспособности, хищение
носителей информации;
• разработка и реализация разрешительной системы доступа
пользователей и эксплуатационного персонала к обрабатываемой
(обсуждаемой) на объекте информатизации информации;