В построении КСЗИ можно выделить следующие этапы:
— Подготовка организационно-распорядительной документации.
— Обследование информационной инфраструктуры Заказчика.
— Разработка «Технического задания на создание КСЗИ».
— Разработка «Плана защиты информации».
— Разработка «Технического проекта на создание КСЗИ».
— Приведение информационной инфраструктуры Заказчика в соответствии с «Техническим проектом на создание КСЗИ».
— Разработка «Эксплуатационной документации на КСЗИ».
— Внедрение КСЗИ.
— Испытания КСЗИ.
— Проведение государственной экспертизы КСЗИ и получения «Аттестата соответствия».
— Поддержка и обслуживание КСЗИ.
1. Подготовка организационно-распорядительной документации
Специалисты Исполнителя проводят анализ организационно-распорядительных документов Заказчика и нормативно-правовых документов в области защиты информации, влияющие на деятельность Заказчика. К организационно-распорядительным документам обычно относятся: организационная структура, штатное расписание, положение об отделах и должностные инструкции сотрудников, связанных с эксплуатацией ИТС, документы, регламентирующие доступ к ИТС и так далее.
По результатам проведенного анализа Исполнитель опираясь на нормативную базу, которая действует в Украине в сфере защиты информации, готовит проекты документов, которые определяют организационную составляющую КСЗИ (проект приказа о создании КСЗИ, проект положения о службе защиты информации, проекты должностных инструкций и процедур и др .), которые утверждаются Заказчиком.
2. Обследование информационной инфраструктуры Заказчика
Для каждой конкретной ИТС состав, структура и требования к КСЗИ определяются свойствами обрабатываемой информации, классом автоматизированной системы и условиями ее эксплуатации. Специалисты Исполнителя проводят обследование (аудит) ИТС Заказчика. Анализируется архитектура системы, ее топология и составляющие элементы. Определяются типы пользователей системы, нетипизированный информация, обрабатываемая в ИТС.
По результатам выполнения этапа Исполнитель разрабатывает следующие документы:
— акт обследования ИТС (содержит описание, принципы построения и архитектуру ИТС);
— перечень объектов ИТС подлежащих защите, которые утверждаются Заказчиком.
3. Разработка «Технического задания на создание КСЗИ»
Специалисты Исполнителя разрабатывают и согласовывают с Заказчиком документ «Техническое задание на создание КСЗИ», которое определяет все основные требования к КСЗИ и возможные варианты реализации ее составляющих элементов. После согласования «Технического задания на создание КСЗИ» с Заказчиком, документ согласовывается с контролирующими органами.
В ТЗ излагаются требования к функциональному составу и порядку разработки и внедрения технических средств, обеспечивающих безопасность информации в процессе ее обработки в вычислительной системе ИТС, а также требования к организационным, физическим и другим мерам защиты, которые реализуются вне вычислительной системы ИТС в дополнение к комплексу программно-технических средств защиты информации.
«Техническое задание на создание КСЗИ» может разрабатываться для впервые создаваемых ИТС, а также при модернизации уже существующих ИТС в виде отдельного раздела ТЗ на создание ИТС, отдельного (частичного) ТЗ или дополнения к ТЗ на создание ИТС.
4. Разработка «Плана защиты информации».
По результатам выполнения второго этапа, а именно, основываясь на перечень объектов ИТС, подлежащих защите, Исполнитель разрабатывает пакет документов «План защиты информации»:
— документ «Модель угроз информации. Модель нарушителя»;
— документ «Положение о Службе защиты информации»;
— документ «Политика безопасности информации», которые утверждаются Заказчиком.
5. Разработка «Технического проекта на создание КСЗИ».
После согласования «Технического задания на создание КСЗИ» с контролирующими органами Исполнитель разрабатывает пакет документов «Технический проект на создание КСЗИ». «Технический проект на создание КСЗИ» представляет собой комплект документов, в который входит часть документов разработанных на предыдущих этапах и ряд новых документов, в которых описано, как будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ. «Технический проект на создание КСЗИ» разрабатывается на основании и в соответствии с «Техническим заданием на создание КСЗИ».
При разработке проекта КСЗИ обосновываются и принимаются проектные решения, позволяющие реализовать требования технического задания, обеспечить совместимость и взаимодействие различных компонентов КСЗИ, а также различных мероприятий и способов защиты информации. В результате создается комплект рабочей и эксплуатационной документации, необходимой для обеспечения тестирования, проведения пусконаладочных работ, испытаний и управления КСЗИ.
6. Приведение информационной инфраструктуры Заказчика в соответствии с «Техническим проектом на создание КСЗИ».
Особенностью этого этапа является то, что на момент принятия решения о создании КСЗИ стоимость этого этапа является неизвестной как для Заказчика, так и для Исполнителя. Также, учитывая большой возможный спектр выполнения работ на этом этапе существует большая вероятность подключения к его выполнению подрядчика.
На этом этапе могут выполняться монтажные, строительные, пусконаладочные работы, работы, связанные с установлением необходимых технических или криптографических средств защиты информации, средств физической защиты элементов ИТС (устанавливается необходимое оборудование и программное обеспечение, средства контроля доступа, охранная и пожарная сигнализации) и так далее.
7. Разработка «эксплуатационной документации на КСЗИ».
На этом этапе Исполнитель КСЗИ создает пакет документов «Эксплуатационная документация на КСЗИ», который включает:
— инструкции эксплуатации КСЗИ и ее элементов;
— процедуры регламентного обслуживания КСЗИ;
— правила и положения по проведению тестирования и анализа работы КСЗИ;
— руководство администраторов и пользователей;
— формуляр КСЗИ ИТС.
8. Внедрение КСЗИ.
На этом этапе Исполнитель (или Подрядчик под наблюдением Исполнителя) проводит все пусконаладочные работы, обучает и инструктирует персонал Заказчика правилам и режимам эксплуатации КСЗИ.
Включает следующие мероприятия:
— организация защиты информации от несанкционированного доступа (НСД);
— организация антивирусной защиты информации;
— разработку программы и методики предварительных испытаний;
— проведение предварительных испытаний.
После реализации этого этапа внедрена КСЗИ и готова к дальнейшему испытанию.
9. Испытание КСЗИ.
На этом этапе Заказчик при активной поддержке Исполнителя проводит предварительные испытания КСЗИ, с целью подтверждения результативности ее работы и соответствия положениям, определенным в «Техническом задании на создание КСЗИ». В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ.
По результату испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу. Во время предварительных испытаний проверяются работоспособность КСЗИ и соответствие ее требованиям ТЗ.
Во время опытной эксплуатации:
— отрабатывают технологии обработки информации, учет машинных носителей информации, управление средствами защиты, разграничение доступа пользователей к ресурсам ИТС и автоматизированного контроля за действиями пользователей;
— сотрудники службы защиты информации и пользователи ИТС приобретают практические навыки по использованию технических и программно-аппаратных средств защиты информации, усваивают требования организационных и распорядительных документов по вопросам разграничения доступа к техническим средствам и информационным ресурсам;
— осуществляется (при необходимости) доработка программного обеспечения, дополнительная отладка и конфигурация комплекса средств защиты информации от несанкционированного доступа;
— осуществляется (при необходимости) корректировка рабочей и эксплуатационной документации.
По результатам опытной эксплуатации принимается решение о готовности КСЗИ в ИТС к представлению на государственную экспертизу.
10. Проведение государственной экспертизы КСЗИ и получения «Аттестата соответствия» состоит из:
— подготовка КСЗИ к проведению государственной экспертизы в Администрации Госспецсвязи и сопровождение экспертных испытаний;
— согласование с Администрацией Госспецсвязи результатов экспертизы и выдача Заказчику Аттестата соответствия.
Государственная экспертиза проводится с целью определения соответствия КСЗИ «Техническому заданию на создание КСЗИ», требованиям нормативной документации по защите информации и определения возможности введения КСЗИ на ИТС в эксплуатацию.
11. Поддержка и обслуживание КСЗИ.
Этот пункт оговаривается отдельно.