DataLogic. Методичний посібник щодо створення комплексної системи захисту інформації в автоматизованих системах

Подождите немного. Документ загружается.

Вище зазначена інформація може бути надана у вигляді копій діючих документів, в

електронному вигляді та може бути зібрана в процесі обстеження об'єкту (робочі

матеріали, відомості, які надає Замовник за відповідними напрямами).

Обстеження буде проводитися у наступній послідовності:

- опис середовищ функціонування АС (Загальні відомості);

- опис персоналу (середовища користувачів);

- опис інформації, що обробляється в АС (інформаційного середовища);

- опис технології обробки інформації (технологічного середовища);

- опис фізичного середовища;

- опис режимно-секретних заходів.

За результатами обстеження складається акт обстеження, до якого додаються схеми

розміщення технічних засобів і проходження комунікацій на об'єкті; класифікується і

погоджується із Замовником перелік об'єктів захисту АС, що потребують захисту.

• Розробка моделі загроз

За результатами обстеження визначаються потенційні загрози для інформації і

розробляються модель загроз та модель порушника. Побудова моделей здійснюється

відповідно до вимог НД ТЗІ 1.1-002 та НД ТЗІ 1.6-003.

• Формування завдання на створення КСЗІ

Визначається завдання захисту інформації в АС, мета створення КСЗІ, варіант

вирішення задач захисту та основні напрямки забезпечення захисту.

3.2 Розробка політики безпеки

Під політикою безпеки інформації слід розуміти набір вимог, правил, обмежень,

рекомендацій та ін., які регламентують порядок обробки інформації і спрямовані на

захист інформації від певних загроз.

Політика стосується всіх осіб, що мають відношення до вирішення питань щодо

забезпечення надійного та безпечного функціонування АС, службовців сторонніх

організацій, постачальників та розробників апаратних та програмних компонентів

КСЗІ.

Політика безпеки визначає ресурси, що потребують захисту, враховує основні загрози

для інформації і моделі порушників, впроваджені технології обробки інформації і

вимоги до захисту інформації від загроз.

На етапі розробки політики безпеки здійснюється вибір основних рішень з протидії

всім суттєвим загрозам, формування загальних вимог, правил, обмежень,

рекомендацій, які регламентують використання захищених технологій обробки

інформації в АС, окремих заходів і засобів захисту інформації, діяльність

користувачів всіх категорій.

Політика безпеки розробляється згідно з положеннями НД ТЗІ 1.1-002 та

рекомендаціями НД ТЗІ 1.4-001.

3.3 Розробка технічного завдання на створення КСЗІ в АС

Технічне завдання (ТЗ) на створення КСЗІ в АС є засадним організаційно-технічним

документом для виконання робіт щодо забезпечення захисту інформації в системі,

який визначає вимоги із захисту оброблюваної в АС інформації, порядок створення

КСЗІ, порядок проведення всіх видів випробувань КСЗІ та введення її в експлуатацію

в складі АС.

В ТЗ на КСЗІ в АС викладаються вимоги до функціонального складу і порядку

розробки і впровадження технічних засобів, що забезпечують безпеку інформації в

процесі її обробки в обчислювальній системі АС. Додатково викладаються вимоги до

організаційних, фізичних та інших заходів захисту, що реалізуються поза

обчислювальною системою АС у доповнення до комплексу програмно-технічних

засобів захисту інформації.

Роботу з погодження проекту ТЗ на КСЗІ в АС здійснюють спільно Розробник ТЗ на

КСЗІ в АС і Замовник, кожен в своїй організації.

Розробник ТЗ на КСЗІ в АС, за домовленістю з Замовником, відправляє ТЗ на КСЗІ в

АС на затвердження в Адміністрацію Держспецзв'язку України.

3.4 Розробка техноробочого проекту КСЗІ в АС

Техноробочий проект КСЗІ в АС розробляється на підставі та у відповідності до ТЗ

на створення КСЗІ в АС. На цьому етапі відбувається розробка документів, у яких

описується, як саме буде створюватись, експлуатуватися, а в разі необхідності,

модернізуватися КСЗІ в АС.

Техноробочий проект КСЗІ в АС включає наступні роботи:

• Розробка технічного проекту

На етапі розробки технічного проекту виконується розробка загальних проектних

рішень, необхідних для реалізації вимог ТЗ на КСЗІ, рішень щодо структури КСЗІ,

алгоритмів функціонування та умов використання засобів захисту, рішень щодо

архітектури КЗЗ та механізмів реалізації, визначених функціональним профілем

послуг безпеки інформації.

Здійснюються організаційно-технічні заходи щодо забезпечення послідовності

розробки КЗЗ, архітектури, середовища розробки, випробувань, середовища

функціонування та експлуатаційної документації КЗЗ у відповідності до заданих

рівнем гарантій реалізації послуг безпеки згідно із специфікаціями НД ТЗІ 2.5-004,

НД ТЗІ 2.5-007, НД ТЗІ 2.5-008, НД ТЗІ 2.5-010.

Виконується розроблення, оформлення, узгодження та затвердження документації в

обсязі, передбаченому ТЗ на КСЗІ.

• Розробка робочого проекту

На етапі створення робочого проекту виконується опис порядку функціонування АС

та настанови (інструкції) щодо забезпечення цього порядку обслуговуючим

персоналом і користувачами, порядку супроводження КСЗІ впродовж життєвого

циклу АС.

3.5 Впровадження КСЗІ

На цьому етапі буде проведено наступні роботи:

• Навчання користувачів АС

Проводиться навчання користувачів АС в частині, що їх стосується, основним

положенням документів, які необхідні їм для дотримання правил політики безпеки

інформації.

• Створення служби захисту інформації

Створюється служба захисту інформації (призначаються відповідальні особи за

захист інформації) згідно НД ТЗІ 1.4-001.

• Пусконалагоджувальні роботи

Здійснюється встановлення і налагодження комплексу засобів захисту згідно з

документацією робочого проекту (інсталяція, ініціалізація та перевірка

працездатності комплексу засобів захисту).

3.6 Попередні випробування КСЗІ в АС

Метою попередніх випробувань є перевірка працездатності КСЗІ та визначення

можливості прийняття її у дослідну експлуатацію. Під час випробувань

перевіряються працездатність КСЗІ та відповідність її вимогам ТЗ.

Попередні випробування проводяться згідно з програмою та методикою випробувань.

Програму і методику випробувань готує розробник КСЗІ в АС, а узгоджує Замовник.

Програма та методики випробувань, протоколи випробувань розробляються та

оформлюються згідно з вимогами РД 50-34.698.

Попередні випробування організовує Замовник, а проводить Розробник КСЗІ в АС

спільно із Замовником. Для проведення попередніх випробувань Замовником

створюється комісія. Головою комісії призначається представник Замовника.

Результати попередніх випробувань оформлюються Протоколом та Актом, в якому

міститься висновок щодо можливості прийняття КСЗІ в АС у дослідну експлуатацію.

3.7 Дослідна експлуатація КСЗІ в АС

Дослідну експлуатацію організовує та проводить Замовник.

Під час дослідної експлуатації КСЗІ в АС:

- відпрацьовуються технології оброблення інформації, керування засобами

захисту, розмежування доступу користувачів до ресурсів АС та

автоматизованого контролю за діями користувачів;

- співробітники служби захисту інформації та користувачі АС набувають

практичних навичок з використання технічних та програмно-апаратних засобів

захисту інформації, засвоюють вимоги організаційних та розпорядчих

документів з питань розмежування доступу до технічних засобів та

інформаційних ресурсів.

За результатами робіт за довільною формою складається акт про завершення

дослідної експлуатації, який містить висновок щодо можливості представлення КСЗІ

в АС на державну експертизу.

3.8 Державна експертиза КСЗІ в АС

Державна експертиза КСЗІ є окремим етапом приймальних випробувань АС.

Державна експертиза проводиться з метою визначення відповідності КСЗІ

технічному завданню, вимогам нормативних документів із захисту інформації та

визначення можливості введення КСЗІ в складі АС в експлуатацію.

Державна експертиза КСЗІ в АС проводиться згідно з вимогами документу

«Положення про державну експертизу в сфері технічного захисту інформації» (Наказ

Адміністрації Держзпецзв'язку України №93 від 16.05.07).

Виявлені під час державної експертизи недоліки усуваються до її завершення,

порядок усунення такий самий, як і для попередніх випробувань. Якщо в силу будь-

яких причин усунути недоліки в ході експертизи неможливо - це оформлюється

актом, до якого вноситься перелік необхідних доробок та рекомендації щодо їх

виконання. Після завершення передбачених актом робіт проводиться повторна

експертиза.

Допускається розпочинати і проводити державну експертизу КСЗІ паралельно з

роботами етапів проектування КСЗІ АС.

Звертаємо увагу, що державну експертизу КСЗІ не може проводити організація, яка

розробляє КСЗІ. Організація, що буде проводити Державну експертизу визначається

ДССЗЗІ України.

Детальніше про Державну експертизу КСЗІ ви можете прочитати в розділі 5 цього

документа.

4. Порядок проведення робіт зі створенню КСЗІ в АС

В таблиці 4.1 наведено порядок проведення робіт зі створення КСЗІ в АС.

Таблиця 4.1 Порядок проведення робіт зі створення КСЗІ в АС

№

з/п

Найменування робіт

Результат робіт

Відповідальний

Узгодження

Замовника

Узгодження

Дсржспсцзв'язку

Етап № 1. Формування загальних вимог до КСЗІ в АС

1.1

Обгрунтування необхідності створення

КСЗІ

Наказ про створення КСЗІ;

Наказ про створення комісії для проведення

категорування АС, приміщення;

Акт проведення категорування АС, приміщення;

Наказ про створення комісії з проведення обстеження

АС.

Виконавець

Замовник

- -

1.2

Обстеження середовища

функціонування АС

Акт обстеження АС;

Перелік об'єктів захисту.

Виконавець

1.3 Розробка моделі загроз

Модель загроз Виконавець

1.4

Формування завдання на створення

КСЗІ

Затверджений Акт обстеження та перелік об'єктів

захисту

Виконавець

Етап № 2. Розробка політики безпеки інформації в АС

2.1

Розробка політики безпеки Політика безпеки

Виконавець

Етап № 3. Розробка технічного завдання на створення КСЗІ в АС

3.1 Розробка технічного завдання

Технічне завдання на створення КСЗІ Виконавець

+ +

Етап № 4. Розробка техноробочого проекту на створення КСЗІ в АС

4.1 Розробка технічного проекту Технічна документація КСЗІ в АС

Виконавець

№

з/п

Найменування робіт

Результат робіт

Відповідальний

Узгодження

Замовника

Узгодження

Держспецзв'язку

4.2 Розробка робочого проекту Робоча документація КСЗІ в АС

Виконавець

Етап № 5. Впровадження КСЗІ

5.1

Навчання користувачів АС Акт завершення навчання користувачів АС

Виконавець

Замовник

5.2 Створення служби захисту інформації Наказ про створення служби захисту інформації;

Положення про службу захисту інформації

Виконавець

Замовник

5.3 Пусконалагоджувальні роботи Встановлення і налагодження КЗЗ, перевірка

працездатності засобів захисту інформації в

автономному режимі та при їх комплексній взаємодії

Виконавець

Замовник

Етап № 6. Попередні випробування КСЗІ в АС

6.1

Розробка програми та методики

попередніх випробувань

Програма та методика попередніх випробувань

Виконавець

6.2 Проведення попередніх випробувань

Протокол проведення попередніх випробувань

Акт завершення попередніх випробувань КСЗІ АС

Виконавець

Замовник

Етап № 7. Дослідна експлуатація КСЗІ в АС

7.1 Дослідна експлуатація Акт приймання КСЗІ в АС у дослідну експлуатацію

Акт завершення дослідної експлуатації КСЗІ в АС

Замовник +

Етап № 8. Державна експертиза КСЗІ в АС

8.1 Державна експертиза КСЗІ в АС Атестат відповідності та Експертний висновок

Виконавець

Замовник

5. Державна експертиза КСЗІ в АС

5.1 Суб'єкти Державної експертизи КСЗІ в АС

Суб'єктами, що приймають участь в Державній експертизі КСЗІ в АС є:

- Замовник (організація-власник КСЗІ та АС);

- Державна служба спеціального зв'язку та захисту інформації України

(Держспецзв'язку - контролюючий орган);

- Організатор (організація-виконавець Державної експертизи);

- Експерти.

Організатора Державної експертизи КСЗІ в АС призначає Держспецзв'язку України

на підставі подання Замовником заяви на проведення Державної експертизи КСЗІ в

АС. В заяві допускається висловлення побажань щодо призначення Організатора на

основі попередніх домовленостей між Замовником та організацією, що має право

проводити роботи з експертизи КСЗІ в АС. .

Експерти - це фізичні особи, які безпосередньо виконують роботи із проведення

Державної експертизи КСЗІ в АС. Експерти можуть бути як співробітниками

Організатора, так і співпрацювати з Організатором по договору на виконання

певних робіт.

5.2 Мета проведення Державної експертизи КСЗІ в АС

Мета проведення Експертизи КСЗІ в АС полягає у дослідженні, перевірці, аналізі

та оцінці КСЗІ в АС щодо можливості її використання для забезпечення технічного

захисту інформації в АС.

5.3 Необхідність та обгрунтування проведення Експертизи КСЗІ в АС

Відповідно до п.1.4 «Положення про Державну експертизу в сфері технічного

захисту інформації» (Затвердженого наказом Адміністрації Держспецзв'язку

України №93 від 16.05.07), КСЗІ підлягає обов'язковій перевірці на відповідність

вимогам нормативних документів з технічного захисту інформації (НД ТЗІ).

5.4 Вимоги до складу проекту КСЗІ в АС

Експертиза КСЗІ в АС полягає у перевірці відповідності створеної КСЗІ вимогам

НД ТЗІ та технічного завдання на КСЗІ в АС і містить наступні етапи:

- Аналіз документації на КСЗІ в АС;

- Розробка програми та методики проведення Експертизи КСЗІ в АС;

- Узгодження програми і методики з Державною службою спеціального

зв'язку та захисту інформації України (Програма також погоджується із

Замовником);

- Обстеження об'єкта і проведення випробувань;

- Оформлення протоколів проведення випробувань;

- Оформлення Експертного висновку.

5.5 Аналіз документації на КСЗІ в АС

На цьому етапі Замовник експертизи надає Організатору комплект організаційно-

технічної документації на об'єкт експертизи, необхідний для проведення

експертних випробувань. Організатор визначає фахівців для проведення

експертизи, передає їм документацію, отриману від Замовника. Фахівці

ознайомлюються з документацією і визначають спосіб і технологію проведення

експертизи.

5.6 Розробка програми і методики проведення Експертизи КСЗІ в АС

Організатор, за результатами аналізу наданих документів і з урахуванням

загальних методик оцінювання задекларованих характеристик засобів ТЗІ та КСЗІ,

формує програму і окремі методики проведення експертизи. Терміни розробки

програми і методики (методик) залежать від складності КСЗІ і визначаються у

договорі на проведення експертизи.

5.7 Узгодження програми та методик Державної експертизи

Програма випробувань узгоджується із Замовником, а після цього направляється на

узгодження до Адміністрації Держспецзв'язку. А методика (окремі методики)

випробувань узгоджується із Адміністрацією Держспецзв'язку.

5.8 Обстеження об'єкта і проведення випробувань

Організатор виконує випробування КСЗІ, згідно узгодженої програми та відповідно

до розробленої методики. В разі невідповідності КСЗІ вимогам НД ТЗІ або

технічного завдання на КСЗІ АС Організатор може запропонувати Замовнику

виконати доробку об'єкта. Термін доробки об'єкта експертизи визначається

спільним протоколом або додатковою угодою до договору між Замовником та

Організатором.

5.9 Оформлення протоколів проведення випробувань

Результати виконання чи невиконання перевірок КСЗІ заносяться до протоколів

проведення випробувань КСЗІ. Відомості щодо всіх доробок, а також результати

додаткових експертних робіт оформлюються окремими протоколами. Протоколи

підписуються всіма членами експертної комісії.

5.10 Оформлення експертного висновку

За результатами проведених робіт Організатор складає Експертний висновок

відповідного змісту щодо відповідності або невідповідності об'єкта експертизи

вимогам НД ТЗІ та ТЗ на КСЗІ, підписує його і подає до Адміністрації

Держспецзв'язку. Результати робіт, визначених окремою методикою,

узагальнюються Організатором в Експертному висновку. На підставі позитивного

рішення щодо експертизи КСЗІ Замовнику видається зареєстрований Атестат

відповідності за підписом Голови (заступника Голови) Держспецзв'язку. Атестати

друкуються на бланках суворого обліку, які виготовляються в установленому

законодавством порядку. Адміністрація Держспецзв'язку має право призупинити

або анулювати дію Експертного висновку або Атестата.

6. Специфікація на роботи

В таблиці 6.1 наведено специфікації на роботи з проведення Державної експертизи

КСЗІ в АС.

Таблиця 6.1 Специфікації на роботи з проведення Державної експертизи створення КСЗІ в АС

№

з/п

Найменування етапу

робіт

Етапи

робіт

Результат робіт Відповідальнії й

№

з/п

Найменування етапу

робіт

Етапи

робіт

Результат робіт Відповідальнії й

№

з/п

Найменування етапу

робіт

Етапи

робіт

Результат робіт Відповідальнії й

і.

Аналіз документації на КСЗІ

в АС

Етап № 1 Визначення фахівців для

проведення Експертизи,

визначення способів і методик

випробувань

Організатор

2. Розробка програми та

методики Експертизи КСЗІ в

АС

Етап № 2

Програма та методика

випробувань

Організатор

Узгодження програми і

методики випробувань

Етап № 3

Узгоджена програма і

методика проведення

випробувань

Організатор, Замовник,

Державна служба

спеціального зв'язку та

захисту інформації України

3.1 Узгодження програми

випробувань із Замовником

та Державною службою

спеціального зв'язку та

захисту інформації України

Етап № 3

Узгоджена програма

проведення випробувань

Організатор, Замовник,

Державна служба

спеціального зв'язку та

захисту інформації України

3.2 Узгодження методики

випробувань з Державною

службою спеціального

зв'язку та захисту інформації

України

Етап № 3

Узгоджена методика

проведення випробувань

Організатор, Державна

служба спеціального

зв'язку та захисту

інформації України

Обстеження об'єкта і

проведення випробувань

Етап № 4

Проведені випробування КСЗІ Організатор (Експерти)

Оформлення протоколів

проведення випробувань

Етап № 5

Протоколи випробувань Організатор (Експерти)

Оформлення Експертного

висновку

Етап № 6

Експертний висновок та

Атестат відповідності

Організатор (Експерти)

8. Перелік використаної та рекомендованої літератури

1. Закон України «Про інформацію».

2. Закон України «Про захист інформації в інформаційно-телекомунікаційних

системах».

3. Постанова КМУ № 373 від 29 березня 2006 р. «Про затвердження Правил

забезпечення захисту інформації в інформаційних, телекомунікаційних та

інформаційно-телекомунікаційних системах».

4. НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в комп'ютерних

системах від несанкціонованого доступу».

5. НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації в комп'ютерних

системах від несанкціонованого доступу».

6. НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в

автоматизованій системі».

7. НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних

системах від несанкціонованого доступу».

8. НД ТЗІ 2.5-005-99 «Класифікація автоматизованих систем і стандартні

функціональні профілі захищеності оброблюваної інформації від

несанкціонованого доступу».

9. НД ТЗІ 2.5-008-2002 «Вимоги із захисту конфіденційної інформації від

несанкціонованого доступу під час оброблення в автоматизованих системах

класу 2».

10. НД ТЗІ 3.7-001-99 «Методичні вказівки щодо розробки технічного завдання на

створення комплексної системи захисту інформації в автоматизованій системі».

11. НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи

захисту інформації в інформаційно-телекомунікаційній системі».

12. Наказ Адміністрацій Держспецзв'язку України №93 від 16.05.07 «Про

затвердження Положення про державну експертизу в сфері технічного захисту

інформації».

13. РД 50-34.698 «Методические указания. Информационная технология. Комплекс

стандартов и руководящих документов на автоматизированные системы.

Автоматизированные системы. Требования к содержанию документов».

14. ГОСТ 34.602 «Техническое задание на создание автоматизированной системы».