litceysel.ru
добавить свой файл
  1 ... 4 5 6 7

Приложение 3

Порядок создания и эксплуатации систем защиты информации в составе АС


Разработка АС и ее системы защиты информации может осуществляться как подразделениями органа исполнительной власти (организации), так и специализированными предприятиями, имеющими лицензию на соответствующий вид деятельности в области защиты информации.

Организация работ по защите информации возлагается на руководителей предприятий и учреждений, руководителей подразделений, разрабатывающих и эксплуатирующих АС, а методическое руководство и контроль за обеспечением защиты информации - на руководителя подразделения ИБ (ответственного за обеспечение информационной безопасности).

Научно-техническое руководство и организацию работ по проектированию (модернизации) АС и ее системы защиты информации осуществляет главный конструктор АС или другое должностное лицо, обеспечивающее научно-техническое руководство всей разработкой АС.

В случае разработки системы защиты информации или ее отдельных компонент специализированным предприятием, на предприятии (в организации), для которого осуществляется разработка АС (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации.

Разработка и внедрение системы защиты информации осуществляется во взаимодействии разработчика с подразделением ИБ организации-заказчика, которая осуществляет методическое руководство и участие в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания системы защиты информации, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, участвует в согласовании технических заданий на проведение работ, в аттестации АС.

Устанавливаются следующие стадии создания системы защиты информации:


  • предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание;

  • стадия проектирования (разработки проектов) и реализации АС, включающая разработку системы защиты информации в составе АС;

  • стадия ввода в действие системы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию АС на соответствие требованиям безопасности информации.

Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части состава и структуры конфиденциальной информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия. На этой стадии разрабатываются аналитическое обоснование и техническое задание на создание системы или частное техническое задание на подсистему информационной безопасности АС.

На стадии проектирования и реализации АС и системы защиты информации в ее составе на основе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

  • разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) АС в соответствии с требованиями ТЗ (ЧТЗ) на разработку системы защиты информации;

  • разработка раздела технического проекта на АС в части защиты информации;

  • строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещение и монтаж технических средств и систем;

  • разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
  • закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация или специсследования;


  • закупка сертифицированных образцов и серийно выпускаемых технических и программных (в т.ч. криптографических) средств защиты информации и их установка;

  • разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

  • организация охраны и физической защиты помещений АС, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

  • разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала АС к обрабатываемой информации, оформляемой в виде раздела "Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии (в организации)";

  • определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации АС;

  • выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

  • разработка организационно-распорядительной и рабочей документации по эксплуатации АС в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов);

  • выполнение других мероприятий, специфичных для конкретных АС и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, подразделением ИБ организации-заказчика в части достаточности мер по защите информации и утверждается заказчиком.

На стадии проектирования и реализации АС оформляются технический и рабочий (техно-рабочий) проект и эксплуатационная документация системы защиты информации.

На стадии ввода в действие АС и системы защиты информации в ее составе осуществляются:


  • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе АС и отработки технологического процесса обработки (передачи) информации;

  • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

  • аттестация АС на соответствие требованиям безопасности информации.

На этой стадии оформляются:

  • акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

  • предъявительский акт к проведению аттестационных испытаний;

  • заключение по результатам аттестационных испытаний.

Эксплуатация АС осуществляется в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией.

Контроль состояния и эффективности защиты информации осуществляется подразделением ИБ организации (предприятия), отраслевыми и федеральными органами контроля и заключается в оценке выполнения требований нормативных документов, обоснованности принятых мер, проверке выполнения норм эффективности защиты информации ограниченного доступа по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.

Приложение 4
(справочное)
Примерный состав и функции службы администрирования ИСиР

Служба комплексного администрирования ИСиР должна обеспечивать администрирование информационной безопасности, администрирование операционных систем, администрирование сетей (локальных и глобальных вычислительных систем и сетей), администрирование баз данных и систем управления базами данных.


Администратор защиты (безопасности) информации обеспечивает: регистрацию пользователей, формирование матрицы доступа к вычислительным и информационным ресурсам АС, учет наступления системных событий, связанных с инициализацией функций автоматизированной системы, изменением ее конфигурации, а также изменением прав доступа, формирование параметров входа в систему (идентификатора) и шифрключей, контроль текущего функционального состояния системы.

Администратор операционных систем отвечает за генерацию операционных систем и их сопровождение (тестирование работоспособности, восстановление и т.п.), обновление версий операционных систем (анализ необходимости перехода на новые версии, разработку перечня мероприятий по переводу на новую версию).

Администратор сети отвечает за ее функционирование, создает структуру каталога сети; обеспечивает необходимый уровень защиты; следит за рациональным использованием ресурсов, определяет политику развития сети, ведет описание технической конфигурации сети, ее функциональной структуры, структуры клиентов, имеющих доступ к информационным ресурсам АС, формирует список пользователей допущенных к работе с АС.

Администратор баз данных отвечает за генерацию систем управления базами данных, сопровождение и управление информационными ресурсами, создание и ведение классификаторов, ввод и модификацию нормативно-справочной информации, сохранение резервных копий, восстановление искаженной информации, архивирование информации и организацию поступления информации из архива; обработку и анализ статистической информации о характере и интенсивности использования данных, о распределении нагрузки на различные компоненты структуры баз данных, внесение изменений в структуру баз данных в процессе эксплуатации системы с целью повышения производительности, обеспечивает ввод и поддержание в актуальном состоянии общих разделов баз данных (классификаторов).

1 Согласно нормативным документам ФСТЭК России требования по защите информации предъявляются к объектам информатизации, одним из которых является АС.



<< предыдущая страница