Рассмотрите этапы создания систем защиты информации кратко

Обновлено: 30.06.2024

В 2014 году был введен в действие национальный стандарт ГОСТ P 51583-2014 " Защита информации . Порядок создания автоматизированных систем в защищенном исполнении. Общие положения", который определил комплекс работ по созданию системы защиты информации для создаваемых (модернизируемых) автоматизированных систем, в отношении которых законодательством или заказчиком установлены требования по их защите.

Автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система , реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации[111]. В качестве основных видов автоматизированных систем ГОСТ рассматривает автоматизированные рабочие места и информационные системы . В этой лекции будет рассматриваться информационная система как наиболее часто защищаемый объект информатизации.

В ГОСТ P 51583-2014 выделен следующий комплекс работ по созданию системы защиты информации:

  1. формирование требований к системе защиты информации АСЗИ;
  2. разработка (проектирование) системы защиты информации АСЗИ;
  3. внедрение системы защиты информации АСЗИ;
  4. аттестация АСЗИ по требованиям безопасности информации и ввод в действие;
  5. сопровождение системы защиты информации в ходе эксплуатации АСЗИ.

В "Требования по защите информации и созданию системы защиты информации" были рассмотрены стадии создания СЗИ в соответствии с СТР-К (предроектная, проектирование, ввод в действие СЗИ). ГОСТ Р 51583-2014 не противоречит СТР-К, а лишь более подробно раскрывает комплекс работ по созданию СЗИ. Стоит отметить, что на ГОСТ ссылаются последние документы ФСТЭК.

13.2. Формирование требований к системе защиты информации

Формирование требований к системе защиты информации (СЗИ) осуществляется обладателем информации (заказчиком) с учетом требований, закрепленных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти и национальных стандартах в области ЗИ, и включает в себя:

  • принятие решения о необходимости защиты информации, содержащейся в информационной системе;
  • классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
  • определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
  • определение требований к системе защиты информации информационной системы.

При принятии решения о необходимости защиты информации необходимо:

  • проанализировать цели и задачи ИС;
  • определить, какая информация обрабатывается в ИС;
  • на основе информации, полученной в предыдущих пунктах определить, каким нормативным правовым актам, методическим документам и национальным стандартам должна соответствовать информационная система;
  • определить цели и задачи СЗИ, основных этапов создания, обладателя информации(заказчика), оператора и уполномоченных лиц.

Результаты классификации информационной системы оформляются актом классификации.

Составляется техническое задание на создание СЗИ на основе ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.

Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве основы для определения угроз ФСТЭК рекомендует использовать банк данных угроз и уязвимостей ФСТЭК, рассмотренный ранее, и иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации. Результатом этого этапа является модель угроз и модель злоумышленника.

Требования к СЗИ определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации. Они включаются в техническое задание на создание СЗИ и должны, в том числе, включать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе;
  • стадии (этапы работ) создания системы защиты информационной системы;
  • требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
  • функции заказчика и оператора по обеспечению защиты информации в информационной системе;
  • требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);
  • требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации[110].

13.3. Разработка (проектирование) системы защиты информации

Следующая стадия - разработка СЗИ - осуществляется на основе ТЗ и включает в себя:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы (при необходимости).

При разработке СЗИ ИС учитываются взаимодействие ИС с другими ИС и информационно-телекоммуникационными сетями и применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

При проектировании СЗИ ИС:

  • определяются типы субъектов доступа и объектов доступа, являющихся объектами защиты (пример субъекта доступа - пользователь ИС, объекта доступа - объект файловой системы;
  • определяются методы управления доступом, типы доступа и правила разграничения доступа субъектов доступа к объектам доступа, подлежащие реализации в информационной системе;
  • выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
  • определяются виды и типы средств защиты информации;
  • определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
  • осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации (если того требует законодательство), с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
  • определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
  • определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Результаты проектирования СЗИ отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем".

Эксплуатационная документация на СЗИ ИС разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:

  • структуры системы защиты информации информационной системы;
  • состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
  • правил эксплуатации системы защиты информации информационной системы.

При макетировании и тестировании СЗИ ИС осуществляются:

  • проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
  • проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
  • корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы.

Макетирование системы защиты информации информационной системы и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.

- этап (60-е годы) – создание механизмов, содержащих технические и программные средства, обеспечивающих надежную защиту информации. Техническими были названы такие средства, которые реализуются в виде электрических, электромеханических и электронных устройств. Всю совокупность этих средств было принято делить на аппаратные и физические. Под аппаратными техническими средствами защиты понимали устройства, встраиваемые непосредственно в аппаратуру. Физическими средствами были названы такие, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т.п.) Программные средства – программы, предназначенные для выполнения функций, связанных с защитой информации.

- этап (70-е годы) – характеризуется интенсивным развитием технических и криптографических средств защиты. Для повышения эффективности программной защиты стала попытка организации дифференцированного разграничения доступа пользователей к данным. Для этого идентифицировались все пользователи и все элементы защищаемых данных, устанавливалось соответствие между идентификаторами пользователей и идентификаторами элементов данных. Уникальной по своему содержанию была система безопасности ресурса (СБР) в операционной системе, разработанная фирмой IBM. Система реализовывала три основные функции защиты: изоляцию, контроль доступа и контроль уровня защиты. Кроме того, предполагалось, что программная защита будет дополнена комплексом организационных мер под руководством специального должностного лица – офицера безопасности. Всесторонние испытания СБР выявили ряд серьезных недостатков. В итоге специалисты пришли к выводу, что концепция, основанная на концентрации механизмов защиты в рамках операционной системы, не отвечает требованиям надежной защиты информации.

- этап (90-е годы) – вновь стало уделяться большое внимание проблемам защиты программного обеспечения компьютерных систем. Это было обусловлено рядом причин: программное обеспечение играет решающую роль в качественной обработке информации; программы становятся предметом коммерческой тайны и авторского права; программные средства являются одним из наиболее уязвимых компонентов компьютерных систем. Распространение сетевых технологий превратило отдельные машины в локальные сети, совместно использующие общие ресурсы, а применение технологии клиент – сервер преобразовало такие сети в распределенные вычислительные среды. Безопасность такой сети зависит от безопасности оставляющих ее компьютеров.




Критерий 1. Политика безопасности.

Компьютерная система (КС) должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом.

Критерий 2. Метки. Каждый объект доступа в КС должен иметь метку безопасности, используемую в качестве исходной информации для исполнения процедур контроля доступа.

Критерий 3. Идентификация и аутентификация. Все субъекты должны иметь уникальный идентификатор. Доступ субъекта к ресурсам КС должен осуществляться на основании результатов идентификации и подтверждения подлинности их идентификаторов (аутентификация). Идентификаторы и аутентификационные данные должны быть защищены от НСД, модификации и уничтожения.

Критерий 5. Контроль корректности функционирования средств защиты. Все средства защиты, обеспечивающие политику безопасности, должны находиться под контролем средств, проверяющих корректность их функционирования и быть независимыми от них.

Критерий 6. Непрерывность защиты. Все средства защиты должны быть защищены от несанкционированного воздействия или отключения. Защита должна быть постоянной и непрерывной в любом режиме функционирования системы.

В России аналогичные стандарты вышли в 1992 году и были дополнены в последующие годы. Основой стандартов является концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации и основные принципы защиты КС. Руководящие материалы представляют семь критериев защиты КС:

1. Защита КС основывается на положении существующих законов, стандартов и нормативно-методических документов по защите информации.

2. Защита средств вычислительной техники обеспечивается комплексом программно-технических средств.

3. Защита С обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

4. Защита КС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

5. Программно-технические средства не должны существенно ухудшать основные функциональные характеристики КС (надежность, производительность, возможность изменения конфигурации).

6. Оценка эффективности средств защиты, учитывающей всю совокупность технических характеристик, включая технические решения и практическую реализацию средств защиты.

7. Защита КС должна предусматривать контроль эффективности средств защиты от НСД, который может быть периодическим или включаться по мере необходимости пользователем или контролирующими органами.

Анализ проблемы защиты и путей ее решения, а также опыт разработки соответствующих систем позволяют предположить следующие причины недостатков существующих систем защиты:

- отсутствие четких и ясных определений объектов и предмета защиты, оптимальных классификаций потенциальных угроз и возможных каналов НСД;

- отсутствие адекватных моделей объектов защиты информации и ожидаемой модели поведения нарушителя.

- при построении защиты часто не учитываются различие предметов защиты, возможных каналов НСД и соответствующих им средств защиты на этапах проектирования и эксплуатации автоматизированных систем.

Выявленные недостатки и трудности решения проблемы защиты информации дают основание искать их причины в анализе объектов обработки и защиты информации, потенциальных угроз и выборе другой концепции защиты информации.

Лекция 1.

Основные угрозы информации в компьютерных системах.

Добавить из другого файла: Основные этапы создания защиты. Основные угрозы информации в компьютерных системах. Критерии защищенности средств компьютерных систем

Этапы создания защиты информации

- этап (60-е годы) – создание механизмов, содержащих технические и программные средства, обеспечивающих надежную защиту информации. Техническими были названы такие средства, которые реализуются в виде электрических, электромеханических и электронных устройств. Всю совокупность этих средств было принято делить на аппаратные и физические. Под аппаратными техническими средствами защиты понимали устройства, встраиваемые непосредственно в аппаратуру. Физическими средствами были названы такие, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т.п.) Программные средства – программы, предназначенные для выполнения функций, связанных с защитой информации.

- этап (70-е годы) – характеризуется интенсивным развитием технических и криптографических средств защиты. Для повышения эффективности программной защиты стала попытка организации дифференцированного разграничения доступа пользователей к данным. Для этого идентифицировались все пользователи и все элементы защищаемых данных, устанавливалось соответствие между идентификаторами пользователей и идентификаторами элементов данных. Уникальной по своему содержанию была система безопасности ресурса (СБР) в операционной системе, разработанная фирмой IBM. Система реализовывала три основные функции защиты: изоляцию, контроль доступа и контроль уровня защиты. Кроме того, предполагалось, что программная защита будет дополнена комплексом организационных мер под руководством специального должностного лица – офицера безопасности. Всесторонние испытания СБР выявили ряд серьезных недостатков. В итоге специалисты пришли к выводу, что концепция, основанная на концентрации механизмов защиты в рамках операционной системы, не отвечает требованиям надежной защиты информации.

- этап (90-е годы) – вновь стало уделяться большое внимание проблемам защиты программного обеспечения компьютерных систем. Это было обусловлено рядом причин: программное обеспечение играет решающую роль в качественной обработке информации; программы становятся предметом коммерческой тайны и авторского права; программные средства являются одним из наиболее уязвимых компонентов компьютерных систем. Распространение сетевых технологий превратило отдельные машины в локальные сети, совместно использующие общие ресурсы, а применение технологии клиент – сервер преобразовало такие сети в распределенные вычислительные среды. Безопасность такой сети зависит от безопасности оставляющих ее компьютеров.

Критерий 1. Политика безопасности.

Компьютерная система (КС) должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом.

Критерий 2. Метки. Каждый объект доступа в КС должен иметь метку безопасности, используемую в качестве исходной информации для исполнения процедур контроля доступа.

Критерий 3. Идентификация и аутентификация. Все субъекты должны иметь уникальный идентификатор. Доступ субъекта к ресурсам КС должен осуществляться на основании результатов идентификации и подтверждения подлинности их идентификаторов (аутентификация). Идентификаторы и аутентификационные данные должны быть защищены от НСД, модификации и уничтожения.

Критерий 5. Контроль корректности функционирования средств защиты. Все средства защиты, обеспечивающие политику безопасности, должны находиться под контролем средств, проверяющих корректность их функционирования и быть независимыми от них.

Критерий 6. Непрерывность защиты. Все средства защиты должны быть защищены от несанкционированного воздействия или отключения. Защита должна быть постоянной и непрерывной в любом режиме функционирования системы.

В России аналогичные стандарты вышли в 1992 году и были дополнены в последующие годы. Основой стандартов является концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации и основные принципы защиты КС. Руководящие материалы представляют семь критериев защиты КС:

1. Защита КС основывается на положении существующих законов, стандартов и нормативно-методических документов по защите информации.

2. Защита средств вычислительной техники обеспечивается комплексом программно-технических средств.

3. Защита С обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

4. Защита КС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

5. Программно-технические средства не должны существенно ухудшать основные функциональные характеристики КС (надежность, производительность, возможность изменения конфигурации).

6. Оценка эффективности средств защиты, учитывающей всю совокупность технических характеристик, включая технические решения и практическую реализацию средств защиты.

7. Защита КС должна предусматривать контроль эффективности средств защиты от НСД, который может быть периодическим или включаться по мере необходимости пользователем или контролирующими органами.

Анализ проблемы защиты и путей ее решения, а также опыт разработки соответствующих систем позволяют предположить следующие причины недостатков существующих систем защиты:

- отсутствие четких и ясных определений объектов и предмета защиты, оптимальных классификаций потенциальных угроз и возможных каналов НСД;

- отсутствие адекватных моделей объектов защиты информации и ожидаемой модели поведения нарушителя.

- при построении защиты часто не учитываются различие предметов защиты, возможных каналов НСД и соответствующих им средств защиты на этапах проектирования и эксплуатации автоматизированных систем.

Выявленные недостатки и трудности решения проблемы защиты информации дают основание искать их причины в анализе объектов обработки и защиты информации, потенциальных угроз и выборе другой концепции защиты информации.

В организационную структуру системы входят:

  • руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
  • заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
  • постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
  • подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).

Задачи, решаемые системой защиты информации:

  • исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • исключение неправомерного блокирования информации (обеспечение доступности информации).

Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации состоит из стадии создания системы и стадии эксплуатации.

Стадию создания осуществляет (организует) обладатель информации, заказчик; стадию эксплуатации СЗИ осуществляет оператор.

Жизненный цикл системы защиты информации объекта информатизации - совокупность взаимоувязанных процессов последовательного изменения состояния системы защиты информации конкретного объекта от принятия решения о необходимости защиты обрабатываемой на нем информации до окончания его эксплуатации.

Стадия (этап) жизненного цикла – часть жизненного цикла, характеризующаяся определенным состоянием системы защиты информации, совокупностью видов предусмотренных работ с их конечными результатами.

Обладатель информации – лицо, создавшее информацию и (или) имеющее право разрешать или ограничивать доступ к информации.

Заказчик – лицо, заключившее контракт на создание объекта обработки информации.

Оператор – лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.

Уполномоченное лицо – лицо, осуществляющее на договорной основе с заказчиком или оператором обработку информационного ресурса и (или) предоставляющее для этих целей вычислительные ресурсы.

Поставщик информации – лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.

Этапы стадии создания системы защиты информации

  1. Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
  2. Этап 2. Разработка системы защиты информации (этап проектирования).
  3. Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
  4. Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).

Формирование требований к системе защиты информации

Этап 1 осуществляется обладателем информации (заказчиком).

Перечень работ на этапе 1:

  1. Принятие решения о необходимости защиты обрабатываемой информации.
  2. Классификация объекта по требованиям защиты информации (установление уровня защищенности обрабатываемой информации).
  3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности обрабатываемой информации.
  4. 4. Определение требований к системе защиты информации.

Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач, обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные характеристики объекта и режим обработки информации:

  • статус (принадлежность) объекта (государственный, муниципальный, иной);
  • структура объекта (локальный или распределенный);
  • масштаб объекта (федеральный, региональный, объектовый);
  • наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
  • режим обработки информации (одно или многопользовательский);
  • уровень доступа (с разграничением или без разграничения);
  • перечень технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод,);
  • используемые информационные технологии (беспроводный, удаленный доступ, виртуализация, мобильные объекты, туннелирование и пр.),

Категория информации, подлежащей защите, и свойства ее безопасности:

  • информация ограниченного доступа (конфиденциальность, целостность, доступность);
  • общедоступная информация (целостность, доступность),

Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:

  • защита информации, составляющей государственную тайну;
  • защита государственного информационного ресурса, не отнесенного к государственной тайне;
  • обеспечение безопасности персональных данных в иных информационных системах;
  • обеспечение безопасности критической информационной инфраструктуры;
  • обеспечение безопасности информации в информационных системах общего пользования.

Более подробно правовое сопровождение защиты информации рассмотрено в разделе экономических и правовых аспектов защиты информации.

Актуальным на этом этапе видится формулирование целей и задач защиты информации.

Цель защиты информации - минимизировать (предотвратить) ущерб обладателю информации из-за возможных нарушений свойств ее безопасности.

Задача защиты информации - обеспечить необходимый уровень защищенности информации от нарушений ее целостности, доступности, конфиденциальности.

Решение оформляется локальным нормативным правовым актом, в котором отражаются цели и задачи защиты информации, этапы и сроки создания системы защиты информации, функционал и ответственность обладателя информации, заказчика и оператора.

Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:

Действие Документ
1. Принятие решения о необходимости защиты информации Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации
2. Классификация по требованиям защиты информации (по уровню защищенности информации) Акт классификации по требованиям безопасности информации
3.Определение актуальных угроз безопасности информации Частная модель угроз безопасности информации
4. Определение требований к системе защиты информации ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации

Разработка системы защиты информации

Этап 2 - разработка системы защиты информации – организуется обладателем информации (заказчиком).

Перечень работ на этапе 2:

  1. Проектирование системы защиты информации.
  2. Разработка эксплуатационной документации на систему защиты информации.

работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений.

Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:


Действие Документ
1.Проектирование системы защиты информации Технический проект (рабочая документация) на создание системы защиты информации
2.Разработка эксплуатационной документации на систему защиты информации Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств.
Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации.

Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации

  1. Технический паспорт с указанием состава и мест установки ее технических и программных средств.
  2. Описание технологического процесса обработки информации.
  3. Описание параметров и порядка настройки средств защиты информации.
  4. Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
  5. Ведомость и журнал учета применяемых машинных носителей информации.
  6. Правила эксплуатации системы защиты информации.

Внедрение системы защиты информации

Этап 3 - Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. Перечень работ на этапе 3:

  1. Установка и настройка средств защиты информации.
  2. Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
  3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
  4. Испытания и опытная эксплуатации системы защиты информации.

Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:

Действие Документ
1. Установка и настройка средств защиты информации Акт установки средств защиты информации
2.Внедрение организационных мер, разработка организационно-распорядительных документов Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации
3.Выявление и анализ уязвимостей Протокол контроля уязвимостей программного обеспечения и технических средств
4.Испытания и опытная эксплуатации системы защиты информации Протоколы контроля оценки эффективности средств и оценки защищенности информации

Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:

  1. Порядок администрирования системой защиты информации.
  2. Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
  3. Порядок управления конфигурацией объекта и его системы защиты информации.
  4. Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
  5. Порядок защиты информации при выводе из эксплуатации объекта.

Подтверждение соответствия системы защиты информации

Этап 4 - подтверждение соответствия системы защиты информации – организуется обладателем информации (заказчиком) или оператором. Перечень работ на этапе 4 определяется в Программе и методиках аттестационных испытаний, разрабатываемой до их начала. Документ формируется исполнителем работ и согласовывается с заявителем.

Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации (информационной системы) требованиям безопасности информации.

Аттестация объектов информатизации делится на обязательную и добровольную.

Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.

Обязательной аттестации подлежат государственные (муниципальные) информационные системы и их сегменты, содержащие информацию ограниченного доступа, добровольной – все иные информационные системы.

Порядок проведения аттестации информационных систем по требованиям безопасности информации:

  1. Подача и рассмотрение заявки на аттестацию.
  2. Предварительное ознакомление с аттестуемым объектом (при необходимости).
  3. Разработка программы и методики аттестационных испытаний.
  4. Проведение аттестационных испытаний объекта.
  5. Оформление, регистрация и выдача аттестата соответствия.

Подача и рассмотрение заявки на аттестацию объекта информатизации:

  1. Заявителем выбирается исполнитель работ по аттестации объекта информатизации (организация-лицензиат по технической защите конфиденциальной информации).
  2. Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
  3. Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.

При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.

Аттестуемая распределенная информационно-телекоммуникационная система


Основные документы, формируемые по результатам исполнения работ на этапе подтверждения соответствия системы защиты информации:


Действие Документ
1.Аттестационные испытания системы защиты информации Протоколы и заключение по результатам аттестационных испытаний
2.Оформление результатов аттестационных испытаний Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия

После подтверждения соответствия системы защиты информации осуществляется переход на другую стадию жизненного цикла – стадию эксплуатации.

Этапы стадии эксплуатации системы защиты информации

  • Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
  • Этап 6. Промышленная эксплуатация системы защиты информации.
  • Этап 7. Вывод из эксплуатации системы защиты информации.

Этап 5 - ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.

Решение о вводе оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.

Этап 6 - промышленная эксплуатация системы защиты информации – осуществляется оператором.

Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и реагирование на них, управление конфигурацией объекта и его системой защиты информации, контроль за обеспечение необходимого уровня защищенности информации.

  • осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
  • извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
  • предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.

Органы по аттестации:

  • отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
  • проводят на договорной основе оценку эффективности средств защиты информации и оценку защищенности информации от несанкционированного доступа.

Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.

При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Продление срока действия сертификата организацией, эксплуатирующей СЗИ:

Организация, эксплуатирующая средство защиты информации, заблаговременно , но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.

В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).


Этап 7 - вывод системы защиты информации из эксплуатации - осуществляется оператором.

На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации.


Согласно модели PDCA выделяется 4 этапа создания системы обеспечения информационной безопасности (СОИБ):

  • Планирование СОИБ
  • Реализация СОИБ
  • Проверка СОИБ
  • Совершенствование СОИБ

Планирование СОИБ


  1. Определить область и границы действия СОИБ
  2. Определить политику СОИБ
  3. Определить подход к оценке риска в организации
  4. Идентифицировать риски
  5. Проанализировать и оценить риски
  6. Определить и оценить различные варианты обработки рисков
  7. Выбрать цели и меры управления для обработки рисков
  8. Получить подтверждения руководством предполагаемых остаточных рисков
  9. Получить разрешение руководства на внедрение СОИБ
  10. Подготовить Положение о применимости

Реализация (внедрение и функционирование) СОИБ


  1. Разработать план обработки рисков
  2. Реализовать план обработки рисков
  3. Внедрить выбранные меры управления
  4. Определить способ измерения результативности
  5. Реализовать программы по обучению и повышению квалификации сотрудников
  6. Управлять работой СОИБ
  7. Управлять ресурсами СОИБ
  8. Внедрить процедуры, обеспечивающие возможность быстрого реагирования на инциденты

Проверка (мониторинг и анализ) СОИБ


  1. Выполнять процедуры мониторинга и анализа
  2. Проводить регулярный анализ результативности СОИБ
  3. Измерять результативность мер управления для проверки соответствия требованиям ИБ
  4. Пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков
  5. Проводить внутренние аудиты системы менеджмента информационной безопасности (СМИБ) через установленные периоды времени
  6. Регулярно проводить руководством организации анализ СМИБ
  7. Обновлять планы ИБ с учетом результатов анализа и мониторинга
  8. Регистрировать действия и события, способные повлиять на результативность или функционирование СОИБ

Совершенствование СОИБ


  1. Выявлять возможности улучшения СОИБ
  2. Предпринимать необходимые корректирующие и предупреждающие действия
  3. Передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам
  4. Обеспечивать внедрение улучшений СМИБ для достижения запланированных целей

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Боитесь что ANONYMOUS опустошат ваши счета ? Хакеры объявили Кибервойну России! Узнай первым , как выжить в цифровом кошмаре!

Читайте также: