пользователей: 30398
предметов: 12406
вопросов: 234839
Конспект-online
 РЕГИСТРАЦИЯ ЭКСКУРСИЯ
I семестр:
» ГОС

Технологическое и организационное построение КСЗИ.

Техническое направление работ по созданию КСЗИ

Техническая составляющая КСЗИ — комплекс технических средств и технологий защиты информации при ее обработке, хранении и передаче.

Для реализации технического направления проводится сбор исходных данных для разработки технических предложений по оснащенности автоматизированной системы обработки, хранения и передачи информации средствами ЗИ, позволяющими реализовать требуемый уровень защищенности.

АС является составляющей информационной системы предприятия, поэтому подготовка технических предложений хронологически следует за разработкой общей концепции КСЗИ.

Подготовка технических решений проблемы соответствия параметров АС установленным требованиям защищенности (определяются в Концепции безопасности) возможна в двух направлениях:

  • первоначальная разработка АС с учетом требований защищенности;
  • встраивание механизмов защиты в уже существующую АС.

 

Техническое задание (ТЗ), или тактико-техническое задание (ТТЗ), - исходный технический документ, утверждаемый заказчиком работ и устанавливающий комплекс тактико-технических требований к создаваемому изделию, а также требования к содержанию, объемам и срокам выполняемых работ .

 

Этапы технологического построения КСЗИ:

  • Постановка проблемы
  • Исследование проблемы: сбор и анализ всех данных и знаний о проблеме, и факторах, влияющих на ее решение
  • Определение границ проблемного объекта, т.е. потенциальных участников решения проблемы
  • Обследование проблемного объекта. Формируется целевая программа по решению проблемы  и решается вопрос о целесообразности создания организационной системы (далее ОС, ОС эквивалентно КСЗИ).
  • Выбор критерия эффективности ОС
  • Выбор границ объекта управления
  • Обследование объекта управления
  • Разработка технического задания на создание ОС. Выбор эффективного варианта построения ОС.
  • Техническое и рабочее проектирование ОС
  • Внедрение ОС.

 

Организационной системой называется такая система, структурными элементами которой являются люди, осуществляющие преобразование ресурсов этой системы.

 

Организационное построение КСЗИ включает в себя 4 этапа:

1)      Предпроектное обследование объекта защиты. На предпроектной стадии выполняется важнейшая работа: изучается объект защиты.

  • устанавливается необходимость обработки информации ограниченного доступа в АС, подлежащей разработке, ее вид, степень конфиденциальности и объемы;
  •  определяются режимы обработки этой информации, комплекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, предполагаемые к использованию в разрабатываемой АС;
  • определяется категория СВТ;
  • определяется класс АС;
  • определяется степень участия персонала АС в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и с подразделениями защиты информации;
  • оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации;
  • определяются мероприятия по защите информации ограниченного доступа на стадии разработки АС;
  • на основе действующих государственных нормативных документов по защите информации с учетом установленных категории СВТ и класса защищенности АС задаются конкретные требования к СЗИ АС, включаемые в раздел ТЗ на создание АС по разработке СЗИ.

 

 

2)      Разработка технического проекта. На этом этапе разрабатываются и обосновываются все проектные решения: Разработан и обоснован выбранный вариант проекта; уточнены перечни технических средств, порядок и сроки их поставки. В техническом проекте могут рассматриваться 2-3 варианта решения поставленной задачи по созданию системы защиты. Все варианты должны сопровождаться расчетом эффективности, на основе которого могут быть сделаны выводы о рациональном варианте. При создании системы защиты небольшого или простого объекта этап технического проектирования может быть исключен. Цель технического проекта – определение основных методов, используемых при создании КСЗИ и окончательное определение ее сметной стоимости.

3) На стадии проектирования АС и СЗИ в составе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

  • разработка задания и проекта на строительство или реконструкцию объекта информации в соответствии с требованиями ТЗ на разработку СЗИ;
  • разработка раздела технического проекта на АС в части СЗИ;
  • строительно-монтажные работы по оборудованию объекта информатизации в соответствии с проектной документацией, утвержденной заказчиком;
  • разработка организационно-технических мероприятий по защите объекта информатизации в соответствии с предъявляемыми требованиями;
  • закупка сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
  • закупка и специальные исследования на побочные электромагнитные излучения и наводки несертифицированных средств с выдачей предписаний на их эксплуатацию (или сертификацию отдельных образцов импортной ВТ; сертификацию проводят специально аккредитованные сертификационные центры);
  • специальная проверка импортных технических средств на предмет возможно внедренных в них специальных электронных устройств (закладок);
  • размещение и монтаж технических средств АС;
  • закупка сертифицированных серийно выпускаемых технических и программных (в том числе криптографических) СЗИ и их адаптация;
  • разработка и последующая сертификация программных СЗИ в случае, когда на рынке отсутствуют требуемые программные средства;
  • объектовые исследования технических средств АС на побочные электромагнитные излучения и наводки с целью определения соответствия установленной категории для этих технических средств;
  • монтаж средств активной защиты в случае, когда по результатам специальных или объектовых исследований технических средств не выполняются нормы защиты информации для установленной категории этих технических средств;
  • организация охраны и физической защиты объекта информатизации и отдельных технических средств;
  • разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала АС к обрабатываемой информации, оформляемой в виде раздела «Положение о разрешительной системе допуска исполнителей к документам и сведениям в учреждении»;
  • определение заказчиком подразделений и лиц, ответственных за эксплуатацию СЗИ, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации АС;
  • выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
  • разработка организационно-распорядительной и рабочей документации по эксплуатации АС в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов).

 

Для эффективной и надежной в плане обеспечения безопасности информации работ АС необходимо правильно организовать разрешительную систему доступа пользователей к информации в АС, т.е. предоставить пользователям право работать с той информацией, которая необходима им для выполнения функциональных обязанностей, установить их полномочия по доступу к информации.

Все это оформляется службой защиты информации или администратором АС в виде матрицы доступа или иных правил разграничения доступа.

Среди организационных мероприятий по обеспечению безопасности информации — охрана объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение СВТ, информационных носителей, а также НДС к СВТ и линиям связи.

4) На стадии ввода в действие АС и СЗИ в ее составе осуществляются:

  • опытная эксплуатация разработанных или адаптированных средств защиты информации в комплексе с прикладными программами в целях проверки их работоспособности и отработки технологического процесса обработки информации;
  • приемочные испытания СЗИ по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
  • аттестация АС по требованиям безопасности информации, которая производится аккредитованным в установленном порядке органом по аттестации в соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации», действующим в системе сертификации продукции и аттестации объектов информатики, работающей под управлением ФСТЭК России.

 

При положительных результатах аттестации владельцу АС выдается «Аттестат соответствия АС требованиям безопасности информации». Эксплуатация АС осуществляется в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписаниями на эксплуатацию технических средств.

Технология обработки информации в АС различна и зависит от используемых СВТ, программных средств, режимов работы. Не вдаваясь в особенности технологического процесса, обусловленные различиями в технике, программном обеспечении и другими причинами, можно констатировать, что основной характерной особенностью, связанной с обработкой секретной или иной подлежащей защите информации, является функционирование системы защиты информации от НСД как комплекса программно-технических средств и организационных решений, предусматривающей учет, хранение и выдачу пользователям информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием СЗИ, контроль соответствия общесистемной программной среды эталону и приемку включаемых в АС новых программных средств, контроль за ходом технологического процесса обработки информации путем регистрации анализа действий пользователей, сигнализации опасных событий.

Перечисленные составляющие являются функциональной направленностью службы безопасности информации, администратора АС и фиксируются, с одной стороны, в положениях об этих службах и общей организационной документации по обеспечению безопасности информации («Положение о порядке организации и проведения на предприятии работ по защите информации в АС», «Инструкция по защите информации, обрабатываемой в АС предприятия», разделе «Положения о системе допуска исполнителей к документам и сведениям на предприятии», определяющим особенности системы допуска в процесс разработки и функционирования АС), а с другой стороны, в проектной документации СЗИ НСД (инструкциях администратору АС, службе безопасности информации, пользователю АС).

Контроль состояния эффективности защиты информации осуществляется подразделениями по защите информации службы безопасности предприятия- заказчика и заключается в проверке выполнения требования нормативных документов по защите информации, а также в оценке обоснованности и эффективности мер.

26.02.2014; 17:52
хиты: 79
рейтинг:0
для добавления комментариев необходимо авторизироваться.
  Copyright © 2013-2024. All Rights Reserved. помощь