|
|
@@ -1,22 +1,112 @@
|
|
|
# Содержание и порядок выполнения работ по защите информации при модернизации автоматизированной системы в защищенном исполнении
|
|
|
|
|
|
-Модернизация АС в защищенном исполнении подразумевает обновление аппаратного и программного обеспечения, интеграцию новых компонентов и оптимизацию процессов, при этом обеспечивая защиту конфиденциальной информации. Основная цель — минимизировать риски утечек, несанкционированного доступа и нарушений целостности данных. Работы по защите информации (ЗИ) должны проводиться параллельно с модернизацией, чтобы избежать уязвимостей.
|
|
|
+Настоящий стандарт распространяется на создаваемые (модернизируемые) информационные автоматизированные системы, в отношении которых законодательством или заказчиком установлены требования по их защите, и устанавливает содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении, содержание и порядок выполнения работ по защите информации о создаваемой (модернизируемой) автоматизированной системе в защищенном исполнении.
|
|
|
|
|
|
+Примечание - В качестве основных видов автоматизированных систем рассматриваются автоматизированные рабочие места и информационные системы. Положения настоящего стандарта дополняют положения комплекса стандартов "Информационная технология. Комплекс стандартов на автоматизированные системы" в части порядка создания автоматизированных систем в защищенном исполнении.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+# Термины и определения
|
|
|
+В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ Р 53114, ГОСТ 34.003, ГОСТ 16504, а также следующие термины с соответствующими определениями:
|
|
|
+
|
|
|
+Мероприятия по защите информации - совокупность действий, направленных на разработку и/или практическое применение способов и средств защиты информации.
|
|
|
+
|
|
|
+Обработка информации - выполнение любого действия (операции) или совокупности действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация, преобразование, отображение и т.п.), совершаемых с заданной целью.
|
|
|
+
|
|
|
+Система защиты информации автоматизированной системы - совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.
|
|
|
+
|
|
|
+Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
|
|
|
+
|
|
|
+
|
|
|
+# Обозначения и сокращения
|
|
|
+**АС** - автоматизированная система;
|
|
|
+
|
|
|
+**АСЗИ** - автоматизированная система в защищенном исполнении;
|
|
|
+
|
|
|
+**ЗИ** - защита информации;
|
|
|
+
|
|
|
+**НИР** - научно-исследовательская работа;
|
|
|
+
|
|
|
+**НСД** - несанкционированный доступ;
|
|
|
+
|
|
|
+**ОКР** - опытно-конструкторская работа;
|
|
|
+
|
|
|
+**ПС** - программное средство;
|
|
|
+
|
|
|
+**СЗИ** - средство защиты информации;
|
|
|
+
|
|
|
+**ТЗ** - техническое задание;
|
|
|
+
|
|
|
+**ТТЗ** - тактико-техническое задание;
|
|
|
+
|
|
|
+**ТС** - техническое средство.
|
|
|
+
|
|
|
+
|
|
|
+# Общие положения
|
|
|
+Для обработки информации, необходимость защиты которой определяется законодательством Российской Федерации или решением ее обладателя, должны создаваться АСЗИ, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о ЗИ. Реализация требований о ЗИ в АСЗИ осуществляется системой ЗИ, являющейся неотъемлемой составной частью АСЗИ.
|
|
|
+
|
|
|
+Целью создания системы ЗИ АСЗИ является обеспечение ЗИ от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа, реализация права на доступ к информации.
|
|
|
+
|
|
|
+При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями:
|
|
|
+
|
|
|
+- система ЗИ АСЗИ должна обеспечивать комплексное решение задач по ЗИ от НСД, от утечки защищаемой информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на информацию (на носители информации) применительно к конкретной АСЗИ. Состав решаемых задач по ЗИ определяется задачами обработки информации, решаемыми с использованием АСЗИ, ее программным и аппаратным составом, конфигурацией этой системы, условиями функционирования, требованиями, предъявляемыми к обрабатываемой информации, угрозами безопасности информации;
|
|
|
+
|
|
|
+- система ЗИ АСЗИ должна разрабатываться (проектироваться) с учетом возможности реализации требований о защите обрабатываемой информации при использовании в АСЗИ методов и программно-аппаратных средств организации сетевого взаимодействия;
|
|
|
+
|
|
|
+- система ЗИ АСЗИ должна создаваться с учетом обеспечения возможности формирования различных вариантов ее построения, а также расширения возможностей ее составных частей (сегментов) в зависимости от условий функционирования АСЗИ и требований о ЗИ;
|
|
|
+
|
|
|
+- ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой информации; - входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны препятствовать нормальному функционированию АСЗИ;
|
|
|
+
|
|
|
+- программное обеспечение системы ЗИ должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ и не должно снижать требуемый уровень защищенности информации в АСЗИ;
|
|
|
+
|
|
|
+- программно-технические средства, используемые для построения системы ЗИ, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности информации в АСЗИ. ЗИ о создаваемой АСЗИ является составной частью работ по их созданию и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем.
|
|
|
+
|
|
|
+Обеспечение ЗИ в АСЗИ достигается заданием, реализацией и контролем выполнения требований о защите информации:
|
|
|
+
|
|
|
+- к процессу хранения, передачи и обработки защищаемой в АСЗИ информации;
|
|
|
+
|
|
|
+- к системе ЗИ;
|
|
|
+
|
|
|
+- к взаимодействию АСЗИ с другими АС;
|
|
|
+
|
|
|
+- к условиям функционирования АСЗИ;
|
|
|
+
|
|
|
+- к содержанию работ по созданию (модернизации) АСЗИ на различных стадиях и этапах ее создания (модернизации);
|
|
|
+
|
|
|
+- к организациям (должностным лицам), участвующим в создании (модернизации) и эксплуатации АСЗИ;
|
|
|
+
|
|
|
+- к документации на АСЗИ;
|
|
|
+
|
|
|
+- к АСЗИ в целом.
|
|
|
+
|
|
|
+АСЗИ должны создаваться в соответствии с ТЗ, являющимся основным документом, на основании которого выполняются работы, необходимые для создания (модернизации) АСЗИ в целом и ее системы ЗИ, и осуществляется приемка этих работ заказчиком.
|
|
|
+
|
|
|
+Процесс создания АСЗИ должен представлять собой совокупность упорядоченных во времени, взаимосвязанных, объединенных в стадии и этапы работ, выполнение которых необходимо и достаточно для создания АСЗИ, соответствующей заданным к ней требованиям.
|
|
|
+
|
|
|
+В работах по созданию (модернизации) АСЗИ и ее системы ЗИ участвуют:
|
|
|
+
|
|
|
+- заказчик АСЗИ - в части задания в ТЗ на АСЗИ и систему ЗИ, включения в документацию на АСЗИ обоснованных требований о защите обрабатываемой АСЗИ информации и контроля их выполнения в процессе экспертизы документации, испытаний и приемки как АСЗИ в целом, так и системы ЗИ, а также в части организации аттестации АСЗИ на соответствие требованиям безопасности информации и сопровождения АСЗИ в ходе ее эксплуатации;
|
|
|
+
|
|
|
+- разработчик АСЗИ - в части обеспечения соответствия разрабатываемой АСЗИ и ее системы ЗИ требованиям ТЗ, нормативных правовых актов, методических документов и национальных стандартов в области защиты информации;
|
|
|
+
|
|
|
+- изготовитель ТС и ПС - в части осуществления технических мер по обеспечению соответствия изготавливаемых ТС и ПС заданным требованиям о защите обрабатываемой АСЗИ информации, в соответствии с документацией на АСЗИ;
|
|
|
+
|
|
|
+- поставщик ТС и ПС - в части поставки ТС и ПС для АСЗИ, соответствующих требованиям по ЗИ, по заказу изготовителя, разработчика или заказчика и их гарантийного и послегарантийного обслуживания.
|
|
|
|
|
|
# Содержание работ по защите информации
|
|
|
Содержание работ включает комплекс мероприятий, направленных на анализ, планирование и реализацию мер безопасности:
|
|
|
|
|
|
- Анализ текущего состояния АС и рисков: Оценка существующих угроз, уязвимостей и уровня защищённости. Включает аудит конфигурации, проверку на соответствие стандартам (например, ГОСТ Р 57580 или ISO 27001).
|
|
|
+1. Анализ текущего состояния АС и рисков: Оценка существующих угроз, уязвимостей и уровня защищённости. Включает аудит конфигурации, проверку на соответствие стандартам (например, ГОСТ Р 57580 или ISO 27001).
|
|
|
|
|
|
- Проектирование мер защиты: Разработка плана модернизации с учётом требований к ЗИ, таких как шифрование данных, многофакторная аутентификация и контроль доступа.
|
|
|
+2. Проектирование мер защиты: Разработка плана модернизации с учётом требований к ЗИ, таких как шифрование данных, многофакторная аутентификация и контроль доступа.
|
|
|
|
|
|
- Реализация защитных механизмов: Интеграция средств защиты (файрволы, антивирусы, системы обнаружения вторжений) в модернизируемые компоненты.
|
|
|
+3. Реализация защитных механизмов: Интеграция средств защиты (файрволы, антивирусы, системы обнаружения вторжений) в модернизируемые компоненты.
|
|
|
|
|
|
- Тестирование и верификация: Проверка эффективности мер ЗИ через пентесты, симуляции атак и анализ логов.
|
|
|
+4. Тестирование и верификация: Проверка эффективности мер ЗИ через пентесты, симуляции атак и анализ логов.
|
|
|
|
|
|
- Документация и обучение: Составление отчётов о выполненных работах и обучение персонала правилам безопасного использования АС.
|
|
|
+5. Документация и обучение: Составление отчётов о выполненных работах и обучение персонала правилам безопасного использования АС.
|
|
|
|
|
|
- Мониторинг и поддержка: Постоянный контроль после модернизации для своевременного реагирования на инциденты.
|
|
|
+6. Мониторинг и поддержка: Постоянный контроль после модернизации для своевременного реагирования на инциденты.
|
|
|
|
|
|
Эти работы обеспечивают непрерывность защиты на всех этапах.
|
|
|
|
|
|
@@ -42,4 +132,4 @@
|
|
|
|
|
|
|
|
|
|
|
|
-**В заключении** могу сказать, что модернизация АС в защищенном исполнении требует тщательного подхода к защите информации, чтобы сохранить доверие пользователей и предотвратить инциденты. Следуя описанному содержанию и порядку, организации могут успешно обновлять системы без компрометации безопасности. Спасибо за внимание! Если есть вопросы, я готов обсудить.
|
|
|
+**В заключении** могу сказать, что модернизация АС в защищенном исполнении требует тщательного подхода к защите информации, чтобы сохранить доверие пользователей и предотвратить инциденты. Следуя описанному содержанию и порядку, организации могут успешно обновлять системы без компрометации безопасности.
|
