ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4221
Скачиваний: 25
ющие положения предусматриваются в Концепции безопасности
предприятия — см. гл. 10).
Концепция должна определять цели и задачи КСЗИ, принци
пы и правовые основы ее организации и функционирования, виды
угроз информации и ресурсы, подлежащие защите, а также ос
новные направления разработки КСЗИ, включая правовую, орга
низационную и инженерно-техническую защиту.
Примерное содержание разделов Концепции:
1. Характеристика предприятия как объекта защиты.
2. Цели КСЗИ. Они формулируются в Концепции исходя из
изложенных нами выше, применительно к специфике деятельно
сти предприятия.
3. Типовые задачи КСЗИ:
• прогнозирование, своевременное выявление и устранение уг
роз информационным ресурсам, причин и условий, способствую
щих нанесению ущерба, нарушению нормального функциониро
вания и развитию;
• отнесение информации к категории ограниченного доступа
(государственной, служебной, коммерческой тайнам, иной инфор
мации, подлежащей защите от неправомерного использования;
• создание механизма и условий оперативного реагирования на
угрозы и проявления негативных тенденций в функционирова
нии;
• эффективное пресечение угроз на основе правовых, органи
зационных и инженерно-технических мер и средств защиты ин
формации;
• создание условий для максимально возможного возмещения
и локализации наносимого ущерба неправомерными действиями
физических и юридических лиц, ослабление негативного влияния
последствий нарушения на достижение стратегических целей пред
приятия.
4. Принципы создания и функционирования КСЗИ (типовые):
• Комплексность, т.е.:
— обеспечение защиты информации от возможных угроз всеми
доступными законными средствами, методами и мероприятиями;
— обеспечение безопасности информационных ресурсов в те
чение всего их жизненного цикла, на всех технологических эта
пах их обработки (преобразования) и использования, во всех ре
жимах функционирования;
— способность системы к развитию и совершенствованию в
соответствии с изменениями условий функционирования.
• Своевременность — упреждающий характер мер ЗИ. Свое
временность предполагает постановку задач по КЗИ на ранних
стадиях разработки системы на основе анализа и прогнозирова
ния обстановки, угроз, а также разработку эффективных мер преду
преждения.
• Непрерывность — считается, что злоумышленники только и
ищут возможность, как бы обойти защитные меры, прибегая для
этого к легальным и нелегальным методам.
• Активность — проведение мероприятий ЗИ с достаточной
степенью настойчивости, с широким использованием маневра
силами и средствами зашиты.
• Законность — разработка КСЗИ на основе законодательства
в области информатизации и зашиты информации и других нор
мативных актов в данной области, с применением всех дозволен
ных методов обнаружения и пресечения правонарушений.
• Обоснованность — реализация используемых возможностей
и средств защиты на современном уровне развития науки и тех
ники, обоснованными с точки зрения заданного уровня защиты и
соответствующими установленным требованиям и нормам.
• Экономическая целесообразность и сопоставимость возможно
го ущерба и затрат (критерий «эффективность — стоимость») —
во всех случаях стоимость системы должна быть меньше размера
возможного ущерба.
• Специализация — привлечение к разработке и внедрению
мер и средств защиты специализированных организаций, имею
щих опыт практической работы и государственную лицензию на
право оказания услуг в этой области. Эксплуатация технических
средств и реализация мер ЗИ должны осуществляться профессио
нально подготовленными специалистами.
• Взаимодействие и координация — осуществление мер обес
печения безопасности на основе четкой взаимосвязи соответству
ющих подразделений и служб, сторонних специализированных
организаций в этой области, координации их усилий для дости
жения поставленных целей, а также сотрудничества с заинтересо
ванными организациями и взаимодействия с органами государ
ственного управления и правоохранительными органами.
• Совершенствование — совершенствование мер и средств за
щиты на основе собственного опыта, появления новых техниче
ских средств, с учетом изменений в методах и средствах разведки
и промышленного шпионажа, нормативно-технических требова
ний, достигнутого отечественного и зарубежного опыта.
• Централизация управления — функционирование системы ЗИ
по единым правовым, организационным, функциональным и ме
тодологическим принципам.
5.
Классификация опасных воздействующих факторов и угроз
информационной инфраструктуре предприятия, в том числе:
• общие внешние и внутренние воздействующие факторы;
• опасные факторы и угрозы на объектах (подсистемах);
• способы и средства реализации угроз;
• модель возможного нарушителя;
• подход к оценке риска.
6. Организация защиты информации на предприятии:
• объекты защиты;
• основные меры и методы (способы, средства) защиты от уг
роз;
• структура системы защиты информации предприятия;
• особенности защиты сети связи (телекоммуникации);
• содержание мероприятий по защите информации;
• реализация технической политики по защите информации.
12.2. Характеристика основных стадий
создания КСЗИ
Организационное направление работ по созданию КСЗИ.
На
основе концепции защиты информации на предприятии, законо
дательства и иных нормативных документов в информационной
области, с учетом уставных положений и специфики деятельно
сти предприятия определяется и разрабатывается комплект внут
ренних нормативных и методических документов, как правило,
включающий:
• перечни сведений, подлежащих защите на предприятии;
• документы, регламентирующие порядок обращения сотруд
ников предприятия с информацией, подлежащей защите;
• положения о структурных подразделениях предприятия;
• документы, регламентирующие порядок взаимодействия пред
приятия со сторонними организациями по вопросам обмена ин
формацией;
• документы, регламентирующие порядок эксплуатации авто
матизированных систем предприятия;
• планы защиты автоматизированных систем предприятия;
• документы, регламентирующие порядок разработки, испыта
ния и сдачи в эксплуатацию программных средств;
• документы, регламентирующие порядок закупки программ
ных и аппаратных средств (в т.ч. средств защиты информации);
• документы, регламентирующие порядок эксплуатации техни
ческих средств связи и телекоммуникации.
Технология КСЗИ предусматривает взаимодействие и реализа
цию функций по ЗИ структурными подразделениями и должно
стными лицами предприятия:
• руководством предприятия, принимающим стратегические
решения по вопросам ЗИ и устанавливающим (утверждающим)
основные документы, регламентирующие порядок функциониро
вания и развития КСЗИ, обеспечивающий безопасную обработку
и использование защищаемой информации;
• подразделением защиты информации;
• подразделением, ведущим учет и хранение носителей защи
щаемой информации;
• подразделением, отвечающим за разработку или приобрете
ние технических средств обработки защищаемой информации;
• подразделениями, отвечающими за обеспечение нормальной
работы вычислительных средств, программных средств, средств
телекоммуникации;
• подразделением, отвечающим за проведение проверок под
разделений предприятия по вопросам соблюдения технологии;
• основными подразделениями предприятия, решающими за
дачи с использованием защищаемой информации.
Техническое направление работ по созданию КСЗИ.
Техническая
составляющая КСЗИ — комплекс технических средств и техноло
гий защиты информации при ее обработке, хранении и передаче.
Для реализации технического направления проводится сбор
исходных данных для разработки технических предложений по
оснащенности автоматизированной системы обработки, хранения
и передачи информации средствами ЗИ, позволяющими реализо
вать требуемый уровень защищенности.
АС является составляющей информационной системы пред
приятия, поэтому подготовка технических предложений хроноло
гически следует за разработкой общей концепции КСЗИ.
Подготовка технических решений проблемы соответствия па
раметров АС установленным требованиям защищенности (опре
деляются в Концепции безопасности) возможна в двух направле
ниях:
• первоначальная разработка АС с учетом требований защи
щенности;
• встраивание механизмов защиты в уже существующую АС.
12.3. Назначение и структура технического
задания (общие требования к содержанию)
Техническое задание (ТЗ), или тактико-техническое задание
(ТТЗ), —исходный технический документ, утверждаемый
заказ
чиком
работ и устанавливающий комплекс тактико-технических
требований к создаваемому изделию, а также требования к содер
жанию, объемам и срокам выполняемых работ*. Договор на про
ведение работ должен содержать положение о том, что ТЗ (ТТЗ)
является его неотъемлемой частью.
*
Технические задания разрабатываются в соответствии с государственными
стандартами, например: ГОСТ РВ 15.201 — 2003 «Система разработки и поста
новки продукции на производство. Военная техника. Тактико-техническое (тех
ническое) задание на выполнение опытно-конструкторских работ».
ТЗ (ТТЗ) разрабатывается заказчиком, вместе с тем, как прави
ло, проект ТЗ (ТТЗ) разрабатывается в соответствии с договором
на проведение работ исполнителем или другой уполномоченной
заказчиком организацией.
Составные части работ исполнитель по согласованию с заказ
чиком может поручать соисполнителям. ТЗ (ТТЗ) на составные
части работ разрабатываются головным исполнителем.
В ТТЗ (ТЗ) на проведение работ устанавливают цель разработ
ки и назначение разрабатываемого (модернизируемого) изделия,
совокупность тактико-технических, технических, эксплуатацион
ных, технико-экономических, специальных и других требований,
требований к видам обеспечения, предъявляемых к изделию, эта
пы ОКР работ, в том числе порядок испытаний и приемки работ,
сроки их выполнения и перечень руководящих документов, стан
дартов и других носителей информации, содержащих исходные
данные, необходимые для выполнения работ.
ТТЗ на ОКР разрабатывают на основе НТД системы ОТТ, стан
дартов, результатов научно-исследовательских и эксперименталь
ных работ, аванпроектов (если они выполнялись), патентных ис
следований, анализа новейших достижений и перспектив разви
тия отечественной и зарубежной науки и техники, опыта преды
дущих разработок аналогичных изделий, их эксплуатации и при
менения, исходя из условий максимальной эффективности при
соблюдении требований безопасности (в том числе экологиче
ской).
Степень секретности сведений, излагаемых в ТТЗ (ТЗ) на про
ведение работ, и соответствующий гриф секретности ТТЗ (ТЗ)
определяют разработчик документа на основании Закона РФ
«О государственной тайне» [20] и ведомственных перечней сведе
ний, подлежащих засекречиванию.
Наличие в ТТЗ (ТЗ) другой информации ограниченного досту
па определяется также его разработчиком по согласованию с за
казчиком работ.
Передача информации о содержании ТТЗ (ТЗ) и проводимых
работ третьим лицам осуществляется по решению заказчика.
ТТЗ должно состоять из разделов, располагаемых в следующем
порядке:
• наименование, основание, исполнитель и сроки выполнения
работ;
• цель выполнения работ, наименование и индекс изделия;
• тактико-технические требования к изделию (раздел должен
состоять из следующих подразделов: состав изделия; требования
назначения; требования радиоэлектронной защиты; требования
живучести и стойкости к внешним воздействиям; требования на
дежности; требования эргономики, обитаемости и технической
эстетики; требования к эксплуатации, хранению, удобству техни