 ПОЗНАВАТЕЛЬНОЕ Сила воли ведет к действию, а позитивные действия формируют позитивное отношение Как определить диапазон голоса - ваш вокал Игровые автоматы с быстрым выводом Как самому избавиться от обидчивости Противоречивые взгляды на качества, присущие мужчинам Вкуснейший "Салат из свеклы с чесноком" Натюрморт и его изобразительные возможности Применение, как принимать мумие? Мумие для волос, лица, при переломах, при кровотечении и т.д. Как научиться брать на себя ответственность Зачем нужны границы в отношениях с детьми? Световозвращающие элементы на детской одежде Как победить свой возраст? Восемь уникальных способов, которые помогут достичь долголетия Классификация ожирения по ИМТ (ВОЗ) Глава 3. Завет мужчины с женщиной
Оси и плоскости тела человека - Тело человека состоит из определенных топографических частей и участков, в которых расположены органы, мышцы, сосуды, нервы и т.д.
| Тема 4.5. Техническое задание, ГОСТ, проектирование
Разработка системы защиты информации производится подразделением организации или специализированными организациями, имеющими лицензии ФСТЭК (Гостехкомиссии) России. При этом разрабатываются методическое руководство и конкретные требования по защите информации, аналитическое обоснование необходимости создания СЗИ, согласовывается выбор ОТСС и ВТСС, технических и программных средств ЗИ, организуются работы по выявлению возможных каналов утечки информации и нарушения целостности защищаемой информации, аттестация объекта информатизации. Так же разрабатывается «Положении о порядке организации и проведения работ по защите конфиденциальной информации», в котором описывается порядок организации работ по созданию и эксплуатации объектов информатизации и их СЗИ (или в приложении к так же разрабатываемому «Руководству по защите информации от утечки по техническим каналам на объекте»). Этот документ должен предусматривать порядок определения защищаемой информации; порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации; порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов; порядок разработки, ввода в действие и эксплуатации объектов информатизации; ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗИ. Стадии содзания системы защиты информации: ¾ Предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание ¾ Стадия проектирования (разработки проектов), включающая разработку СЗИ в составе объекта информатизации ¾ Стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ и задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ. Работы, выполняемые на предпроектной стадии: ¾ Устанавливается необходимость обработки (обсуждения) КИ информации на данном объекте информатизации ¾ Определяется перечень сведений конфиденциального характера, подлежащихзащите ¾ Определяются (уточняются) угрозы безопасности информации и модель вероятногонарушителя применительно к конкретным условиям функционирования объекта ¾ Определяются условия расположения объекта информатизации относительнограниц КЗ ¾ Определяются конфигурация и топология ОТСС в целом и их отдельныхкомпонентов, физические, функциональные и технологические связи ОТСС с другими системами различного уровня и назначения ¾ Определяются конкретные технические средства и системы, предполагаемые к использованию в разрабатываемой АС, условия их расположения, их программные средства ¾ Определяются режимы обработки информации в АС в целом и в отдельных компонентах ¾ Определяется класс защищенности АС ¾ Определяется степень участия персонала в информации, характер их взаимодействия между собой и со службой безопасности ¾ Определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации, руководителем службы безопасности и утверждается руководителем организации-заказчика. Аналитическое обоснование необходимости создания СЗИ включает в себя следующее: ¾ Информационная характеристика и организационная структура объекта информатизации ¾ Характеристика комплекса ОТСС и ВТСС, ПО, режимов работы, технологического процесса обработки информации ¾ Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению ¾ Перечень предлагаемых к использованию сертифицированных средств защиты информации ¾ Обоснование необходимости привлечения специализированных организаций ¾ Оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ ¾ Ориентировочные сроки разработки и внедрения СЗИ ¾ Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации Техническое задание (ТЗ) на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика и утверждается заказчиком. Содержание технического задания должно содержать следующее: ¾ Обоснование разработки ¾ Исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах ¾ Класс защищенности АС ¾ Ссылка на нормативные документы, на основании которых будет разрабатываться СЗИ ¾ Требования к СЗИ на основе нормативно-методических документов и установленного класса защищенности АС ¾ Перечень предполагаемых к использованию сертифицированных средств защиты информации ¾ Обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации ¾ Состав, содержание и сроки проведения работ по этапам разработки и внедрения ¾ Перечень подрядных организаций-исполнителей видов работ ¾ Перечень предъявляемой заказчику научно-технической продукции и документации Мероприятия по защите информации от утечки по техническим каналам относятся к основным элементам проектных решений, которые включаются в соответствующие разделы проекта, и разрабатываются одновременно с ними. Содержание технического (техно-рабочего) проекта и эксплуатационной документации приведены ниже: ¾ Пояснительная записка с изложением решений по обеспечению ЗИ, составу средств защиты информации с указанием их соответствия требованиям ТЗ ¾ Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации ¾ План организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации ¾ Технический паспорт объекта информатизации (АС, ЗП) ¾ Инструкция и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности Перечень работ, выполняемых на стадии проектирования и создания объекта информатизации: ¾ разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации ¾ разработка раздела технического проекта на объект информатизации в части реализации мероприятий по защите информации ¾ строительно-монтажные работы, размещение и монтаж технических средств и систем ¾ разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями ¾ закупка сертифицированных образцов серийно выпускаемых защищенных технических средств, либо их сертификация ¾ закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка ¾ разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации (в случае необходимости) ¾ организация охраны и физической защиты помещений объекта информатизации разработка разрешительной системы доступа пользователей и эксплуатационного персонала к защищаемой информации ¾ определение и обучение подразделений и лиц, ответственных за эксплуатацию средств защиты информации ¾ разработка эксплуатационной документации на объект информатизации, средства защиты информации, и организационно-распорядительной документации по ЗИ При вводе в эксплуатацию выполняются необходимые мероприятия, такие как опытная эксплуатация средств защиты информации с другими техническими и программными средствами для проверки их работоспособности в комплексе и отработки технологического процесса обработки (передачи) информации, приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатацииа, аттестация объекта информатизации по требованиям безопасности информации. При этом разрабатываются следующие документы: ¾ Приемо-сдаточный акт, подписываемый разработчиком (поставщиком) и заказчиком ¾ Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний ¾ Протоколы аттестационных испытаний и заключение по их результатам ¾ Аттестат соответствия объекта информатизации требованиям по безопасности информации ¾ Приказ (указание, решение) о назначении лиц, ответственных за эксплуатацию объекта информатизации ¾ Приказ (указание, решение) о разрешении обработки в АС (обсуждении в ЗП) конфиденциальной информации Контроль состояния защиты конфиденциальной информации проводится службой безопасности организации не реже чем один раз в год и федеральными и отраслевыми органами контроля не реже одного раза в два года. При проведении аттестации объектов информатизации и периодическом контроле состояния защиты конфиденциальной информации организациями могут, при необходимости, использоваться «Временные методики оценки защищенности конфиденциальной информации». При необходимости, по решению руководителя организации, могут быть проведены работы по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, осуществляемые организациями, имеющими соответствующие лицензии или ФСБ России (ФАПСИ). Проектирование системы защиты информации производится в строгом соответствии с требованиями Государственных стандартов РФ. ГОСТ Р 50739-95. Средства вычислительной техники. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ГОСТ Р 50922-96. Защита информации. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ. ГОСТ Р 51275-99. РАЗРАБОТКА ПРОЕКТА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ОБЪЕКТА ИНФОРМАТИЗАЦИИ. ГОСТ 34.201-89. ВИДЫ, КОМПЛЕКТНОСТЬ, ОБОЗНАЧЕНИЯ ДОКУМЕНТОВ ПРИ СОЗДАНИИ АС. ГОСТ Р ИСО/МЭК 21827-2010. Информационная технология. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. ПРОЕКТИРОВАНИЕ СИСТЕМ БЕЗОПАСНОСТИ. МОДЕЛЬ ЗРЕЛОСТИ ПРОЦЕССА Проектирование системы защиты информации является стадией, на которой разрабатываются основные проектно-технические решения, формируется технический состав систем, определяется номенклатура применяемого оборудования и используемых материалов, места установки отдельных элементов системы, а также стоимость внедрения и инсталляции системы на объекте Заказчика. Проектирование является неотъемлемой частью создания комплексной системы защиты информации. Оптимальный расчет проекта сводит затраты на расходные материалы, оборудование и работы к минимуму. Грамотно составленная проектная документация - гарантия быстро и качественно выполненных работ. Работы по проектированию комплексной системы защиты информации (КСЗИ) выполняются на стадиях эскизного, технического (технорабочего) проектирования. Цель проведения эскизного проектирования состоит в разработке предварительных проектных решений. Эскизный проект часто называют техническим предложением. Документация этого этапа имеет общий характер и небольшой объем, может содержать несколько вариантов решения задачи, краткий анализ этих вариантов и рекомендации по выбору. Цель работ на стадии технического проекта заключается в глубокой разработке и обосновании проектных решений по системе в целом и по ее отдельным частям. Под проектными решениями следует понимать принципы работы системы, а также решения конкретных задач и проблем, связанные с созданием системы для конкретного объекта. На этом этапе проектирования прорабатываются основные принципы работы системы, а также решения конкретных задач и пожеланий Заказчика. Как правило, на этапе проектирования КСЗИ выполняются следующие задачи: Разработка проектных решений по КСЗИ и её частям (разработка общих решений по системе и её частям, функционально-алгоритмической структуре системы, по функциям персонала и организационной структуре, по структуре технических средств, по алгоритмам решения задач и применяемым языкам, по организации и ведению информационной базы, системе классификации и кодирования информации, по программному обеспечению); Разработка документации на КСЗИ и её части (разработка, оформление, согласование и утверждение документации в объёме, необходимом для описания полной совокупности принятых проектных решений и достаточном для дальнейшего выполнения работ по созданию КСЗИ, в соответствии с ГОСТ 34.201-89); Разработка и оформление документации на поставку изделий для комплектования КСЗИ и (или) технических требований (технических заданий) на их разработку (подготовка и оформление документации на поставку изделий для комплектования КСЗИ, определение технических требований и составление ТЗ на разработку изделий, не изготовляемых серийно); Разработка заданий на проектирование в смежных частях проекта объекта автоматизации (разработка, оформление, согласование и утверждение заданий на проектирование в смежных частях проекта объекта автоматизации для проведения строительных, электротехнических, санитарно-технических и других подготовительных работ, связанных с созданием КСЗИ). Проектные решения могут базироваться как на основе уже существующих коммерческих средствах защиты, так и на специализированных решениях Проектирование аппаратных средств защищенных автоматизированных систем технологического комплекса является задачей повышенного уровня сложности, которая связана с решением не только целого ряда технических, но и большого числа организационных проблем. В процессе проектирования защищенной АС, как и любых других технических объектов можно выделить следующие стадии: ¾ технические предложения (научно-исследовательские работы – НИР), результатом работы является техническое задание (ТЗ); ¾ техническое проектирование (НИР и опытно-конструкторские работы - ОКР), результатом работы являются в начале – эскизный проект (ЭП), а затем - технический проект (ТП); ¾ рабочее проектирование (опытно-конструкторские работы – ОКР), результатом работы является – рабочий проект (РП)); ¾ испытания в составе технологического комплекса с получением соответствующих сертификатов по информационной безопасности; ¾ сопровождение в процессе серийного производства систем или комплексов. Таким образом, при проектировании защищенной АС, как и любого другого объекта разработки выполняются определенные стадии проектирования с оформлением следующих видов документации: ¾ Эскизный проект (НИОКР); ¾ Технический проект; ¾ Рабочий проект. На всех перечисленных стадиях проектирование АС состоит из неразрывного процесса совмещенного проектирования аппаратных и программных средств. Поэтому методику выполнения этого процесса удобнее всего отразить в виде следующей таблицы, в которой для двух упомянутых аспектов приведено разделение на принципиальные этапы. Именно в совмещении во времени этих двух процессов и заключается главная специфическая особенность проектирования защищенных АС. Таблица - Этапы проектирования АС
|
