Требования по защите информации и созданию системы защиты информации

12.6. Требования международных и национальных стандартов по защите информации

Стандартизация в области информационной безопасности обеспечивает унификацию процессов, повторяемость и измеряемость результатов, обмен и использование лучших практик по всему миру. В целом, стандартизация позволяет получить лучшее качество продукта или услуги в области информационной безопасности.

История развития стандартов в области ИБ началась в 1990 году, когда Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) составили специализированную систему мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные Common Criteria for Information Technology Security Evaluation или просто Common Criteria[109]. Таким образом международная стандартизация в области информационной безопасности развивается уже несколько десятков лет.

ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:

• формирование политики ИБ;
• безопасность, связанная с персоналом;
• безопасность коммуникаций;
• физическая безопасность;
• управление доступом;
• обработка инцидентов;
• обеспечение соответствия требованиям законодательства.

Стандарт ISO 27001 содержит критерии для оценки менеджмента. Любая организация может пройти сертификацию на соответствие этому стандарту.

Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне, которые позволяют сравнивать результаты, полученные в разных странах.

В банковской сфере широко известен отраслевой стандарт PCI DSS, который содержит обязательные требования к безопасности ИТ-инфраструктуры (сетевая безопасность, управление доступом, мониторинг и др.) организаций-членов ассоциации PCI. Стандарт распространяется на процессы выпуска и обслуживания кредитных карт, а также платежные системы. Ежегодное прохождение аудита на соответствие PCI DSS является обязательным условием международных платежных систем, а непрохождение аудита может стать основанием для серьезных штрафных санкций.

Часть национальных стандартов основана на международных стандартах (серия ИСО/МЭК). С полным перечнем национальных стандартов в области информационной безопасности можно ознакомиться на сайте ФСТЭК: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/113-gosudarstvennye-standarty/377-gosudarstvennye-standarty

Более подробно с национальными и международными стандартами можно ознакомиться, пройдя обучение по курсу "Стандарты информационной безопасности" на сайте "Интуит". http://www.intuit.ru/studies/courses/30/30/info

12.7. Создание и функционирование системы защиты информации ограниченного доступа, как составные части работ по созданию и эксплуатации объектов информатизации учреждений и предприятий. Стадии и этапы создания системы защиты информации ограниченного доступа. Разработка эксплуатационной документации на систему защиты информации

Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применением (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

В СТР-К устанавливаются следующие стадии и этапы создания системы защиты информации ограниченного доступа:

• предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
• стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

• устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
• определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
• определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
• определяются условия расположения объектов информатизации относительно границ КЗ;
• определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
• определяются режимы обработки информации в АС в целом и в отдельных компонентах;
• определяется класс защищенности АС;
• определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
• определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ. На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и утверждается его руководителем.

Аналитическое обоснование необходимости создания СЗИ должно содержать:

• информационную характеристику и организационную структуру объекта информатизации;
• характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
• возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
• перечень предлагаемых к использованию сертифицированных средств защиты информации;
• обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
• оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
• ориентировочные сроки разработки и внедрения СЗИ;
• перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

Техническое (частное техническое) задание на разработку СЗИ должно содержать:

• обоснование разработки;
• исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
• класс защищенности АС;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
• конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения;
• перечень подрядных организаций-исполнителей видов работ;
• перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.

На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
• разработка раздела технического проекта на объект информатизации в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
• закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
• разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
• организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
• определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
• выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
• разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
• выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

На стадии проектирования и создания объекта информатизации оформляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из:

• пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;
• описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
• плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;
• технического паспорта объекта информатизации;
• инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации.

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

• опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
• приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

• акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
• предъявительский акт к проведению аттестационных испытаний;
• заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации

Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

• о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;
• о формировании группы обследования и назначении ее руководителя;
• о заключении соответствующих договоров на проведение работ;
• о назначении лиц, ответственных за эксплуатацию объекта информатизации;
• о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией.