Mikluho.md 11 KB
Разработка и ведение эксплуатационной документации защищенных автоматизированных систем.
Общий порядок действий по созданию систем защиты информации
Система защиты информации (применительно к органу управления, организации, учреждению – это совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (пункт 2.4.3. Национального стандарта Российской Федерации ГОСТ Р50922-2006 «Защита информации. Основные термины и определения»).
В организационную структуру системы входят:
- руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
- заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
- постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
- подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).
Система защиты информации (применительно к объекту обработки информации) – это совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации (пункт 3.3 Национального стандарта Российской Федерации ГОСТ Р51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»).
Задачи, решаемые системой защиты информации:
- исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности - информации);
- исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
- исключение неправомерного блокирования информации (обеспечение доступности информации).
Автоматизированные системы
В соответствии с определением по ГОСТ 34.003-90 (Информационная технология. Комплекс стандартов на автоматизированные системы (КСАС). Автоматизированные системы. Термины и определения) эксплуатационная документация на автоматизированную систему (АС) – это часть рабочей документации на АС, предназначенная для использования при эксплуатации системы, определяющая правила действия персонала и пользователей системы при ее функционировании, проверке и обеспечении ее работоспособности. Перечень наименований разрабатываемых документов и их комплектность на систему и ее части должен быть определен в техническом задании на создание автоматизированной системы (подсистемы). Ниже приведена таблица, в которой приведены виды и номенклатура эксплуатационных документов в соответствии с КСАС.
При проектировании системы защиты автоматизированной системы управления
определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, программируемые логические контроллеры, исполнительные устройства, иные объекты доступа);
определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в автоматизированной системе управления;
выбираются меры защиты информации, подлежащие реализации в рамках системы защиты автоматизированной системы управления;
определяются параметры программирования и настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей автоматизированной системы управления;
определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
определяется структура системы защиты автоматизированной системы управления, включая состав (количество) и места размещения ее элементов;
осуществляется при необходимости выбор средств защиты информации с учетом их стоимости, совместимости с программным обеспечением и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы управления;
определяются меры защиты информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями;
осуществляется проверка, в том числе при необходимости с использованием макетов или тестовой зоны, корректности функционирования автоматизированной системы управления с системой защиты и совместимости выбранных средств защиты информации с программным обеспечением и техническими средствами автоматизированной системы управления.
При проектировании системы защиты автоматизированной системы управления должны учитываться особенности функционирования программного обеспечения и технических средств на каждом из уровней автоматизированной системы управления.
Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на автоматизированную систему управления (систему защиты автоматизированной системы управления), разрабатываемой с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" (далее - ГОСТ 34.201) и стандартов организации.