Файл: 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации.docx
Добавлен: 26.10.2023
Просмотров: 2292
Скачиваний: 211
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-
Информационную характеристику и организационную структуру объекта информатизации; -
Характеристику комплекса основных и вспомогательных технических средств, программное обеспечение, режимов работы, технологического процесса обработки информации; -
Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению; -
Перечень предлагаемых к использованию сертифицированных средств защиты информации; -
Обоснование необходимости привлечения специализированных организаций, имеющие необходимые лицензии на право проведения работ по защите информации; -
Оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации; -
Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
4) Содержание технического задания на разработку системы защиты информации
Техническое (частное техническое) задание на разработку системы защиты информации должно содержать:
-
Обоснование разработки; -
Исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах; -
Класс защищенности автоматизированных систем; -
Ссылку на нормативно-методические документы, с учетом которых будет разрабатываться система защиты информации и приниматься в эксплуатацию объект информатизации; -
Требования к системе защиты информации на основе нормативно-методических документов и установленного класса защищенности автоматизированной системы; -
Перечень предполагаемых к использованию сертифицированных средств защиты информации; -
Обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации; -
Состав, содержание и сроки проведения работ по этапам разработки и внедрения; -
Перечень подрядных организаций-исполнителей видов работ; -
Перечень предъявляемый заказчику научно-технической продукции и документации.
5) Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе
На стадии проектирования и создания объекта информации и системы защиты информации в его составе на основе предъявленных требований и заданных заказчиком ограничении на финансовые, материальные, трудовые и временные ресурсы осуществляются следующими мероприятиями:
-
Разработку задания и проекта на строительные, строительно-монтажные работы (реконструкцию) объекта информатизации с учетом требований технического задания на разработку системы защиты информации; -
Разработку раздела технического проекта на объект информатизации в части защиты информации; -
Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем; -
Разработку организационно-технических мероприятий по защите информации в соответствии с предъявленными требованиями; -
Закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификации; -
Закупка сертифицированных технических средств защиты информации программных и программно-технических средств защиты информации и их установка; -
Разработка, доработка или закупка и последующая сертификация по требованиям безопасности информации, программных средств защиты информации в случае, когда на рынке отсутствует требуемые сертифицированные программные средства; -
Организация охраны и физической защиты помещений объекта информатизации, исключая несанкционированный доступ к техническим средствам обработки, ранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации; -
Разработка и реализация разрешительной системы доступа пользователей и эксплуатации персонала к обрабатываемой (обсуждаемой) на объекте информатизированной информации; -
Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами; -
Разработка эксплуатации документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказы, инструкции и другие документы);
Выполнение других мероприятий специфичных для конкретных объектов информатизации и направлений защиты информации.
Руководитель предпроектного обследования Кравченко Руслан Викторович
1 Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика. Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и утверждается его руководителем.
2 Для описания п.4-7 используйте материалы Модели угроз ПДн, разработанные на ПЗ 4.1.
На предпроектной стадии по обследованию объекта информатизации:
устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
определяются условия расположения объектов информатизации относительно границ КЗ;
определяются конфигурация и топология ИСПДн и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
определяются режимы обработки информации в ИС в целом и в отдельных компонентах;
определяется класс защищенности ИСПДн;
определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.