Этапы построения
Комплексной системы защиты информации
Комплексная система
защиты информации (КСЗИ) - совокупность организационных и инженерно-технических
мероприятий, которые направлены на обеспечение защиты информации от
разглашения, утечки и несанкционированного доступа.
Объектами защиты КСЗИ
является информация, в любом ее виде и форме представления.
В построении КСЗИ можно выделить следующие этапы:
1. Подготовка организационно-распорядительной документации.
2. Обследование информационной инфраструктуры Заказчика.
3. Разработка «Плана защиты информации».
4. Разработка «Технического задания на создание КСЗИ».
5. Разработка «Технического проекта на создание КСЗИ».
6. Приведение информационной инфраструктуры Заказчика в соответствие с «Техническим проектом на создание КСЗИ».
7. Разработка «Эксплуатационной документации на КСЗИ».
8. Внедрение КСЗИ.
9. Испытание КСЗИ.
10. Проведение государственной экспертизы КСЗИ и получение «Аттестата соответствия».
11. Поддержка и обслуживание КСЗИ.
В построении КСЗИ принимают участие следующие стороны: Исполнитель и Заказчик, которые связанны непосредственно с каждым этапом разработки. Также требуется участие Организатора экспертизы при проведении гос. экспертизы, этапы 4 и 10 включают в себя действие Контролирующего органа.
Исполнитель и Заказчик должны составить договор, в котором подробно описать порядок, сроки и стоимость работ.
Первым делом проводится исследование и анализ документво, предприятия и помещения Заказчика.
1. Подготовка
организационно-распорядительной документации
На этом этапе специалисты Исполнителя проводят анализ организационно-распорядительных документов Заказчика и нормативно-правовых документов в области защиты информации, влияющих на деятельность Заказчика.
К организационно-распорядительным документам обычно относятся: организационная структура, штатное расписание, положения об отделах и должностные инструкции сотрудников, связанных с эксплуатацией ИТС, документы, регламентирующие доступ к ИТС и т.д.
К нормативно-правовым документам в области защиты информации относятся Законы Украины, постановления Кабинета Министров Украины, приказы ГСССЗИУ, устанавливающие правила работы с информацией.
По результатам выполнения этого этапа Исполнитель готовит проекты документов, которые определяют организационную составляющую КСЗИ (проект приказа о создании КСЗИ, проект положения про службу защиты информации, проекты должностных инструкций и процедур и др.), которые утверждаются Заказчиком.
2. Обследование информационной
инфраструктуры Заказчика
На этом этапе специалисты Исполнителя проводят обследование (аудит) ИТС Заказчика.
Анализируется архитектура системы, её топология и составляющие элементы. Определяются типы пользователей системы, типизируется информация, обрабатываемая в ИТС.
По результатам выполнения этапа Исполнитель разрабатывает следующие документы:
- акт обследования ИТС (содержит описание, принципы построения и архитектуру ИТС);
- перечень объектов ИТС подлежащих защите,
которые утверждаются Заказчиком.
После окончания обследования, опираясь на данные полученные при этом, можно приступить к разработке.
3.
Разработка «Плана защиты информации»
По результатам выполнения второго этапа, а именно, основываясь на перечне объектов ИТС, подлежащих защите, Исполнитель разрабатывает пакет документов «План защиты информации»:
- документ «Модель угроз информации»;
- документ «Задание на создание КСЗИ»;
- документ «Политика защиты информации»,
которые утверждаются Заказчиком.
4. Разработка «Технического задания
на создание КСЗИ»
На этом этапе специалисты Исполнителя разрабатывают и согласовывают с Заказчиком документ «Техническое задание на создание КСЗИ», который определяет все основные требования к КСЗИ и возможные пути реализации её составляющих элементов.
После согласования «Технического задания на создание КСЗИ» с Заказчиком, документ согласовывается с Контролирующим органом.
5. Разработка «Технического проекта
на создание КСЗИ»
После согласования «Технического задания на создание КСЗИ» с Контролирующим органом Исполнитель разрабатывает пакет документов «Технический проект на создание КСЗИ».
«Технический проект на создание КСЗИ» представляет собой комплект документов, в который входит часть документов разработанных на предыдущих этапах и ряд новых документов, в которых описано, как именно будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ.
6. Приведение информационной
инфраструктуры Заказчика в соответствие с «Техническим проектом на создание
КСЗИ»
Особенностью этого этапа является то, что на момент принятия решения о создании КСЗИ стоимость этого этапа является неизвестной как для Заказчика, так и для Исполнителя. Также, ввиду большого возможного спектра выполнения работ, на этом этапе существует большая вероятность подключения к его выполнению Подрядчиков.
На этом этапе могут выполняться монтажные, строительные, пусконаладочные работы, работы, связанные с установкой необходимых технических или криптографических средств защиты информации, средств физической защиты элементов ИТС (устанавливается необходимое оборудование и программное обеспечение, средства контроля доступа, охранная и пожарная сигнализации) и т.д.
7. Разработка «Эксплуатационной
документации на КСЗИ»
На этом этапе Исполнитель КСЗИ создаёт пакет документов «Эксплуатационная документация на КСЗИ», который включает:
- инструкции эксплуатации КСЗИ и её элементов;
- процедуры регламентного обслуживания КСЗИ;
- правила и положения по проведению тестирования и анализа работы КСЗИ.
По окончании разработки, при её утверждении мы можем перейти непосредственно к построению системы защиты информации.
8. Внедрение КСЗИ
На этом этапе Исполнитель (или Подрядчик под авторским надзором Исполнителя) проводит все пусконаладочные работы, обучает и инструктирует персонал Заказчика правилам и режимам эксплуатации КСЗИ.
После реализации этого этапа внедренная КСЗИ готова к последующему испытанию.
9. Испытание КСЗИ
На этом этапе Заказчик при активной поддержке Исполнителя проводит предварительные испытания КСЗИ, с целью подтверждения результативности её работы и соответствия положениям, определённым в «Техническом задании на создание КСЗИ».
В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ.
По результату испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу.
10. Проведение экспертизы КСЗИ и
получение «Аттестата соответствия»
На этом этапе Контролирующий орган назначает Организатора государственной экспертизы, который проводит независимый анализ (экспертизу) соответствия КСЗИ требованиям, изложенным в документе «Техническое задание на создание КСЗИ», нормативной документации по технической защите информации, а также определяет возможность введения КСЗИ в промышленную эксплуатацию.
Привлечение независимого эксперта (Организатора экспертизы) к проведению государственной экспертизы повышает объективность оценки проведенных работ и уменьшает риск нарушений и злоупотреблений в сфере защиты информации.
Любая организация, входящая в Реестр Организаторов экспертиз в сфере ТЗИ, может проводить экспертизы вновь созданных КСЗИ или КСЗИ, «Аттестат соответствия» на которые необходимо продлевать. Реестр Организаторов экспертиз ведет Контролирующий орган.
Контролирующий орган по результатам проведения государственной экспертизы КСЗИ выдаёт документ «Аттестат соответствия», подтверждающий качество и надёжность построенной КСЗИ.
«Аттестат соответствия» является обязательным для ввода КСЗИ в промышленную эксплуатацию.
После успешного запуска и функционирования КСЗИ остаётся лишь поддерживать её работоспособность и уровень защиты
11. Поддержка и обслуживание КСЗИ
На этом этапе Исполнитель может проводить авторский надзор и оказывать консультационную помощь Заказчику в эксплуатации КСЗИ, анализе её работы, выработке рекомендаций, и, при необходимости, её модернизации и развитии.