Направление разработки

Аттестация комплекса ТЗИ может быть первичной, очередной и внеочередной.

Срок проведения очередной аттестации указывается в акте аттестации и паспорте на комплекс ТЗИ (срок действия акта аттестации не должен превышать два года).

Внеочередную аттестацию, а также Необходимые испытания проводят в случае изменений условий функционирования ОИД, приводящие к изменениям угроз для ИсОД, обрабатываемое техническими средствами (в нашем случае это компьютер), и тому подобное, и по выводам органов, контролирующие состояние ТЗИ.

Последний абзац требует некоторого пояснения. Непреодолимое желание изменить место расположения принтера, заменить устаревший монитор на жидкокристаллический, обновить любое другое оборудование приводить к тому, что деньги, с таким трудом Полученные и заплаченные за создание комплекса ТЗИ, оказались потраченнымы впустую. И несмотря на то, что до конца срока действия акта аттестации остался еще год, возникает необходимость искать деньги на внеочередную аттестацию комплекса ТЗИ.

Составляющими комплекса защиты на ОИД могут быть Размещенные на нем средства обработки информации, средства ТЗИ, инженерные коммуникации, оборудование, системы связи, телевидения, сигнализации, заземления, электро, водоснабжения, отопления, вентиляции, кондиционирования воздуха, канализации, ограждающие строительные конструкции, светопрозрачные отверстия помещений и т.д.

Следует напомнить, что КСЗЫ это не только комплекс ТЗИ, но и решение вопроса, направленного на Блокирование несанкционированных действий и несанкционированного доступа к информации.

Для организации работ по Созданию КСЗЫ в ИТС создается служба защиты информации, порядок создания, задания, функции, структура и полномочия которой определены в НД ТЗИ 1.40012000 «Типовое положение о службе защиты информации».

Создание КСЗЫ можно разделить на следующие этапы:

Формирование общих требований к КСЗЫ в ИТС.

Исходные данные для обоснования необходимости создания КСЗЫ в общем случае получаются по результатам:

• анализа нормативноправовых актов (государственных, ведомственных и таких, Которые действуют в пределах учреждения, организации, предприятия), на основании которых может устанавливаться ограничение доступа к определенными видам информации или запрещение такого ограничения, или определяться необходимость обеспечения защиты информации Согласно второму критериям;

• определения наличия в составе информации, подлежащей Автоматизированное обработке, таких ее видов, Которые нуждаются в ограничении доступа к ней или обеспечении целостности или доступности в соответствие с требованиями нормативноправовых актов;

• оценки возможных преимуществ (финансовоэкономических, социальных и т.п.) эксплуатации ИТС в случае создания КСЗЫ.

На основании проведенного анализа принимается решение о необходимости создания КСЗЫ.

После этого осуществляется обследование сред функционирования ИТС.

Во время выполнения ЭТИХ работ Автоматизированная система (или ИТС) рассматривается как организационнотехническая система, совмещающая вычислительную систему, физическую среду, среду пользователей, обрабатываемую информацию и технологию ее обработки, т.е. среды функционирования ИТС (рис. 1).

Результаты обследования сред функционирования ИТС оформляются в виде акта обследования и включаются, в случае необходимости, к соответствующим разделам плана защиты информации в ИТС, Который разрабатывается согласна с НД ТЗИ 1.40012000.

По результатам обследования сред функционирования ИТС утверждается перечень объектов защиты (с учетом рекомендаций НД ТЗИ 1.4001, 2.5007, 2.5008, 2.5010 Относительно классификации объектов).

Также по результатам обследования определяются потенциальные угрозы для информации, и разрабатываются модель угроз и модель нарушителя.

Угрозы обрабатываемое в ИТС информации зависят от характеристик вычислительной системы, физической среды, персонала и обрабатываемое информации. Угрозы могут иметь или объективную природу, например, изменение условий физической среды (пожары, наводнения и т. и.) Или отказ элементов вычислительной системы, или субъективную, например, ошибки персонала или действия Злоумышленник. Угрозы, имеющие субъективную природу, могут быть случайными или преднамереннымы.

Из всего множества способов классификации угроз самой пригодной для анализа является классификация угроз по результату их влияния на информацию, то есть нарушение конфиденциальности, целостности и доступности информации.

Информация сохраняет конфиденциальность, если соблюдаются установленные правила ознакомления с ней.

Информация сохраняет целостность, если соблюдаются установленные правила ее модификации (удаление).

Информация сохраняет доступность, если сохраняется возможность ознакомления с ней или ее модификации в соответствие с установленными правилами на протЯжении любого определенного (малого) промежутка времени.

Угрозы, реализация которых приводить к потере информацией какойлибо из названных свойств, соответственно являются угрозами конфиденциальности, целостности или доступности информации.

Угрозы могут влиять на информацию НЕ непосредственно, а опосредованно. Например, потеря ИТС управляемости может привести к неспособности ИТС обеспечивать защиту информации и, как результат, к потере определенных свойств обрабатываемое информации.

Построение моделей осуществляется в соответствие с положениями НД ТЗИ 1.1002, 1.4001 и 1.6003. Модель угроз для информации и модель нарушителя рекомендуется оформлять в виде отдельных документов (или объединенных в один документ) Плана защиты.

Осуществляется оформление отчета о выполнении работ Этой стадии и оформление заявки на разработку КСЗЫ (технического задания на создание КСЗЫ).

1. Разработка политики безопасности в ИТС

На этом этапе осуществляется выбор основных решений по противодействия всем существенным угрозам, формирование общих требований, правил, ограничений и т.п., регламентирующие использование защищенных технологий обработки информации в ИТС, отдельных мероприятий и средств защиты информации, деятельность пользователей всех категорий, а также документальное оформление политики безопасности информации.

Политика безопасности разрабатывается Согласно положениям НД ТЗИ 1.100299 и рекомендациям НД ТЗИ 1.40012000. Политику безопасности рекомендуется оформлять в виде отдельного документа Плана защиты.

Согласно «Положению о технической защите информации в Украине» в ИТС, где обрабатывается информация, являющаяся собственностью государства, или защита которой гарантируется государством, Должны использоваться средства ТЗИ, имеющие документ, Который свидетельствует о соответствие требованиям НД ТЗИ (Экспертный вывод и / или сертификат соответствия ).

Состав средств ТЗИ, Которые используются во время создания комплекса средств защиты информации, определяют владельцы ИТС, в которой обрабатывается информация, подлежащая защите, или Уполномоченные ими субъекты системы ТЗИ, с учетом того, что Эти средства Должны иметь уровень гарантий корректности реализации услуг безопасности (НД ТЗИ 2.500499) не ниже уровня гарантий создаваемого комплекса средств защиты.

1. Разработка технического задания на создание КСЗЫ

Разработка и оформление технического задания на создание КСЗЫ, его содержание, порядок согласования и утверждения Должны отвечать НД ТЗИ 3.7001 и ГОСТ 34.602.

2. Разработка проекта КСЗЫ

Для всех стадий разработки проекта КСЗЫ состав документации определяется техническим заданием на КСЗЫ, виды и содержание ГОСТом 34.201, НД ТЗИ 2.500499.

3. Введение КСЗЫ в эксплуатацию и оценка защищенности информации в ИТС

На этом этапе проводятся работы по подготовке организационной структуры и разработке предписывающих документов, регламентирующих деятельность по обеспечению защиты информации в ИТС.

В основном должна быть завершена разработка и утверждены документы, входящие в План защиты (за исключением тех, для разработки которых необходимы результаты следующих этапов работ).