Файл: 1. 1 Техникоэкономическая характеристика предметной области и предприятия 5.doc
Добавлен: 03.12.2023
Просмотров: 129
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Этап сопровождения АС зависит от требований заказчика и может предусматривать незапланированные временные издержки.
Список рисков на всех этапах жизненного цикла разрабатываемой АС приведен в таблице 6.
Возможные риски на этапах жизненного цикла АС
Таблица 6
| | Стадии | Риск |
| 1. | Формирование требований к АС. | Риск формирования неполных требований к АС в связи с недостаточными знаниями о предметной области. |
| 2. | Разработка концепции АС. | Риск принятия неправильных проектных решений в виду недостаточного опыта разработчика. |
| 3. | Техническое задание. | Риск непредвиденных временных издержек при утверждении технического задания. |
| 4. | Эскизный проект. | Риск непредвиденных временных издержек при составлении эскизного проекта. |
| 5. | Технический проект. | Риск создания программного продукта, удовлетворяющего не в полной мере требованиям заказчика. Риск непредвиденных временных издержек при разработке системы. |
Продолжение таблицы 6
| 6. | Рабочая документация. | Риск превышения времени для написания рабочей документации. |
| 7. | Ввод в действие. | Риск непринятия системы пользователями в связи с необходимостью изменения порядка и функций работы при появлении новой системы. Риск непредвиденных финансовых затрат. |
| 8. | Сопровождение АС. | Риск получения АС, в которой не будет всех необходимых функций. Риск получения АС, для которой может потребоваться существенная доработка. Риск изменения сроков ввода системы в промышленную эксплуатацию. |
Подводя итог, необходимо отметить, что риски при разработке АС обусловлены незапланированными финансовыми и временными затратами и могут повлиять на то, что срок сдачи АС будет перенесен и система не сможет начать эксплуатироваться в заранее установленную дату.
2.1.3 Организационно-правовые и программно-аппаратные средства обеспечения информационной безопасности и защиты информации
Законы РФ
-
Закон Российской Федерации " О государственной тайне" от 21.7.93 г. № 5485-1. -
Закон Российской Федерации "Об информации, информатизации и защите информации" от 25.1.95 г. -
Закон Российской Федерации "О коммерческой тайне" (проект, версия 28.12.94 г.). -
Закон Российской Федерации "О персональных данных" (проект, версия 20.02.95 г.). -
Закон Российской Федерации "О федеральных органах правительственной связи и информации" от 19.2.93 г. № 4524-1. -
Положение о государственной системе защиты информации в Российской Федерации от ИТР и от утечки по техническим каналам.(Постановление Правительства РФ от 15.9.93 г. № 912-51). -
Положение о Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), распоряжение Президента Российской Федерации от 28.12.92 г. № 829-рпс.
Документы ГТК
-
РД. АС. Защита от НСД к информации. Классификация АС и требования по защите информации. -М.: Гостехкомиссия России, 1992. -
РД. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации. -М.: Гостехкомиссия России, 1992. -
РД. Концепция защиты СВТ и АС от НСД к информации. -М.: Гостехкомиссия России, 1992. -
РД. Защита от НСД к информации. Термины и определения. -М.: Гостехкомиссия России, 1992. -
РД. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ. -М.: Гостехкомиссия России, 1992.. -
Положение об обязательной сертификации продукции по требованиям безопасности информации. -M.:Гостехкомиссия России, 1994. -
Положение о лицензировании деятельности в области защиты информации. -М.: Гостехкомиссия России, ФАПСИ, 1994. -
Система сертификации ГОСТ Р. -
Терминология в области защиты информации. Справочник: ВНИИ стандарт, 1993 г.. -
ГОСТ Р 50739-95 "СВТ. Защита от НСД к информации. ОТТ".
Документы ФАПСИ
-
Положение о порядке разработки,производства,реализации и использования средств криптографической защиты информации с ограниченным доступом,не содержащих сведений,состовляющих государственную тайну (Положение ПКЗ-99) -
Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику, в Российской Федерации (Положение ПШ-93) -
Система сертификации средств криптографической защиты информации (Система сертификации СКЗИ), рег. номер Госстандарта России РОСС RU.0001.030001 от 15.11.93 -
Положение об испытательном центре (лаборатории) средств криптографической защиты информации (ИЦ СКЗИ),аккредитованном ФАПСИ на испытания СКЗИ по требованиям безопасности информации -
Классификация средств криптографической защиты информации, не составляющей государственной тайны" . -
Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам.
Разработка СЗИ должна производиться только предприятиями, имеющими лицензии на этот вид деятельности.
Проектирование и внедрение СЗИ в АС проходит во взаимодействии с подразделениями службы безопасности предприятия-заказчика, которые осуществляют на предприятии методическое руководство и участие в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания СЗИ, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки информации, участвуют в согласовании технических заданий на проведение работ, в аттестации АС по требованиям безопасности информации.
Устанавливаются следующие стадии создания СЗИ:
-
предпроектная стадия, включающая обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и раздела технического задания на создание АС по разработке СЗИ; -
стадия разработки проектов, включающая разработку СЗИ в составе АС; -
стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемочные испытания средств защиты информации, а также аттестацию АС по требованиям безопасности информации.
На предпроектной стадии по обследованию объекта информатизации:
-
устанавливается необходимость обработки секретной информации в АС, подлежащей разработке, оценивается ее степень секретности и объемы; -
определяются режимы обработки этой информации, комплекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, предполагаемые к использованию в разрабатываемой АС; -
определяется категория СВТ; -
определяется класс АС; -
определяется степень участия персонала АС в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и с подразделениями защиты информации; -
оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации; -
определяются мероприятия по защите секретной информации на стадии разработки АС; -
на основе действующих государственных нормативных документов по защите информации с учетом установленных категории СВТ и класса защищенности АС задаются конкретные требования к СЗИ АС, включаемые в раздел ТЗ на создание АС по разработке СЗИ.
Результаты предпроектного обследования в части оценки уровня конфиденциальности и ценности защищаемой информации базируются только на документально оформленных перечнях сведений, составляющих государственную или коммерческую тайну.
Наличие таких перечней является необходимым условием, но недостаточным для решения вопроса об уровне конфиденциальности информации, обрабатываемой в АС. В целях решения этого вопроса необходимо проанализировать структуру информационного обеспечения системы, необходимость наличия в ней защищаемых сведений, объемы и формы представления информации для пользователей.
Степень секретности обрабатываемой информации определяется заказчиком АС и документально за подписью соответствующего руководителя предоставляется разработчику СЗИ.
Предпроектное обследование может быть поручено специализированному предприятию, имеющему лицензию на этот вид деятельности, но и в этом случае анализ информационного обеспечения в части секретной информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.
На основании результатов предпроектного обследования разрабатываются аналитическое обоснование необходимости создания СЗИ и раздел ТЗ на ее разработку.
"Аналитическое обоснование необходимости создания СЗИ" должно содержать:
-
информационную характеристику и организационную структуру объекта информатизации; -
характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации; -
возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению; -
предлагаемые к использованию сертифицированные средства защиты информации; -
оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ; -
ориентировочные сроки разработки и внедрения СЗИ; -
обоснование необходимости привлечения специализированных предприятий для разработки СЗИ; -
перечень мероприятий по защите секретной информации на стадии разработки АС.
Раздел (Технического задания на создание АС( на разработку СЗИ должен содержать:
-
основание для разработки; -
исходные данные создаваемой АС в техническом, программном, информационном и -
организационном аспектах; -
категорию СВТ; -
класс защищенности АС; -
ссылку на государственные нормативные документы, с учетом которых будет разрабатываться СЗИ и аттестоваться АС; -
конкретизацию требований к СЗИ на основе государственных нормативных документов и установленных категории и класса защищенности; -
перечень предполагаемых к использованию сертифицированных средств защиты информации; -
обоснование проведения разработок собственных средств защиты информации, невозможности и нецелесообразности использование имеющихся на рынке сертифицированных средств защиты информации; -
состав и содержание работ по этапам разработки и внедрения, сроки и объемы финансирования работ; -
перечень предъявляемой заказчику научно-технической продукции и документации.
Важным с экономической точки зрения является принятие решения о выборе из имеющихся на рынке сертифицированных средств защиты информации или о разработке специальных средств собственными силами. Однако при этом не следует забывать об их последующей сертификации.
Системы Защиты Информации классифицированы следующим образом:
-
Виртуальные частные сети (VPN). высокоэффективные средства создания и управления VPN (поддержка мобильных и удаленных пользователей в корпоративной VPN; объединение нескольких локальных сетей в одну глобальную). Интегрированные с ними средства защиты сети в целом, ее сегментов и каждого клиента сети в отдельности (защита TCP/IP трафика, создаваемого любыми приложениями и программами; защита рабочих станций, серверов WWW, баз данных и приложений; защищенные автопроцессинг и транзакции для финансовых и банковских приложений, платежных систем) -
Средства защиты от НСД предназначены для предотвращения несанкционированного доступа к конфиденциальной информации пользователя локального компьютера и компьютерной сети. -
Защита информации при работе в Internet. Подключение к глобальным компьютерным сетям может принести как большую пользу, так и большой вред. Продукты представленные в этой категории делают подключение компьютера/локальной сети к Internet безопасным. -
Защита по техническим каналам. Съем конфиденциальной информации может быть осуществлен не только по информационным каналам, но и по вспомогательными техническим коммуникациям: телефонная линия, сеть электропитания, ПЭМИН и др. -
Антивирусное ПО. Опасность заражения программ компьютерными вирусами велика. Что бы уберечь свои данные от разрушительных действий программ паразитов нужно принять привинтивные действия - установить антивирусное ПО. -
Компьютеры в защищенном исполнении. Готовые компьютеры со встроенными средствами защиты информации и прошедшие специальные исследования и проверки. -
Средства криптографической защиты информации. В данном разделе представлены продукты, назначением которых является защита конфиденциальной информации при помощи криптографических преобразований.