У побудові КСЗІ можна виділити наступні етапи:
– Підготовка організаційно-розпорядчої документації.
– Обстеження інформаційної інфраструктури Замовника.
– Розробка “Технічного завдання на створення КСЗІ”.
– Розробка “Плану захисту інформації”.
– Розробка “Технічного проекту на створення КСЗІ”.
– Приведення інформаційної інфраструктури Замовника у відповідність з “Технічним проектом на створення КСЗІ”.
– Розробка “Експлуатаційної документації на КСЗІ”.
– Впровадження КСЗІ.
– Випробування КСЗІ.
– Проведення державної експертизи КСЗІ і отримання “Атестата відповідності”.
– Підтримка і обслуговування КСЗІ.
1. Підготовка організаційно-розпорядчої документації
Фахівці Виконавця проводять аналіз організаційно-розпорядливих документів Замовника і нормативно-правових документів в області захисту інформації, що впливають на діяльність Замовника. До організаційно-розпорядливих документів зазвичай відносяться: організаційна структура, штатний розклад, положення про відділи і посадові інструкції співробітників, пов’язаних з експлуатацією ІТС, документи, що регламентують доступ до ІТС і так далі.
За результатами проведеного аналізу Виконавець спираючись на нормативну базу, що діє в Україні, у сфері захисту інформації, готує проекти документів, які визначають організаційну складову КСЗІ (проект наказу про створення КСЗІ, проект положення про службу захисту інформації, проекти посадових інструкцій і процедур і ін.), які затверджуються Замовником.
2. Обстеження інформаційної інфраструктури Замовника
Для кожної конкретної ІТС склад, структура і вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом автоматизованої системи і умовами її експлуатації. Фахівці Виконавця проводять обстеження (аудит) ІТС Замовника. Аналізується архітектура системи, її топологія і складові елементи. Визначаються типи користувачів системи, типізується інформація, що обробляється в ІТС.
За результатами виконання етапу Виконавець розробляє наступні документи:
– акт обстеження ІТС (містить опис, принципи побудови і архітектуру ІТС);
– перелік об’єктів ІТС що підлягають захисту, які затверджуються Замовником.
3. Розробка “Технічного завдання на створення КСЗІ”
Фахівці Виконавця розробляють і погоджують із Замовником документ “Технічне завдання на створення КСЗІ”, яке визначає всі основні вимоги до КСЗІ і можливих варіантів реалізації її складових елементів. Після узгодження “Технічного завдання на створення КСЗІ” із Замовником, документ узгоджується з Контролюючим органом.
У ТЗ викладаються вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, які забезпечують безпеку інформації в процесі її обробки в обчислювальній системі ІТС, а також вимоги до організаційних, фізичних та інших заходів захисту, які реалізуються поза обчислювальною системою ІТС в доповнення до комплексу програмно-технічних засобів захисту інформації.
“Технічне завдання на створення КСЗІ” може розроблятися для вперше створюваних ІТС, а також під час модернізації вже існуючих ІТС у вигляді окремого розділу ТЗ на створення ІТС, окремого (часткового) ТЗ або доповнення до ТЗ на створення ІТС.
4. Розробка “Плану захисту інформації”.
За результатами виконання другого етапу, а саме, грунтуючись на переліку об’єктів ІТС, що підлягають захисту, Виконавець розробляє пакет документів “План захисту інформації”:
– документ “Модель загроз інформації. Модель порушника”;
– документ “Положення про Службу захисту інформації”;
– документ “Політика безпеки інформації», які затверджуються Замовником.
5. Розробка “Технічного проекту на створення КСЗІ”.
Після узгодження “Технічного завдання на створення КСЗІ” з Контролюючим органом Виконавець розробляє пакет документів “Технічний проект на створення КСЗІ”. “Технічний проект на створення КСЗІ” є комплектом документів, в який входить частина документів розроблених на попередніх етапах і ряд нових документів, в яких описано, як саме створюватиметься, експлуатуватиметься і, у разі потреби, модернізуватиметься КСЗІ. “Технічний проект на створення КСЗІ” розробляється на підставі і відповідно до “Технічного завдання на створення КСЗІ”. Під час розробки проекту КСЗІ обґрунтовуються і приймаються проектні рішення, які дають можливість реалізувати вимоги технічного завдання, забезпечити сумісність і взаємодію різних компонентів КСЗІ, а також різних заходів і способів захисту інформації. В результаті створюється комплект робочої і експлуатаційної документації, необхідної для забезпечення тестування, проведення пусконалагоджувальних робіт, випробувань та управління КСЗІ.
6. Приведення інформаційної інфраструктури Замовника у відповідність з “Технічним проектом на створення КСЗІ”.
Особливістю цього етапу є те, що на момент ухвалення рішення про створення КСЗІ вартість цього етапу є невідомою як для Замовника, так і для Виконавця. Також, зважаючи на великий можливий спектр виконання робіт, на цьому етапі існує велика вірогідність підключення до його виконання Підрядчиків.
На цьому етапі можуть виконуватися монтажні, будівельні, пусконалагоджувальні роботи, роботи, пов’язані зі встановленням необхідних технічних або криптографічних засобів захисту інформації, засобів фізичного захисту елементів ІТС (встановлюється необхідне устаткування і програмне забезпечення, засоби контролю доступу, охоронна і пожежна сигналізації) і так далі.
7. Розробка “Експлуатаційної документації на КСЗІ”.
На цьому етапі Виконавець КСЗІ створює пакет документів “Експлуатаційна документація на КСЗІ”, який включає:
– інструкції експлуатації КСЗІ і її елементів;
– процедури регламентного обслуговування КСЗІ;
– правила і положення по проведенню тестування і аналізу роботи КСЗІ;
– керівництво адміністраторів і користувачів;
– формуляр КСЗІ ІТС.
8. Впровадження КСЗІ.
На цьому етапі Виконавець (або Підрядчик під наглядом Виконавця) проводить всі пусконалагоджувальні роботи, навчає і інструктує персонал Замовника правилам і режимам експлуатації КСЗІ.
Включає такі заходи:
– організація захисту інформації від несанкціонованого доступу (НСД);
– організація антивірусного захисту інформації;
– розробку програми і методики попередніх випробувань;
– проведення попередніх випробувань.
Після реалізації цього етапу упроваджена КСЗІ готова до подальшого випробування.
9. Випробування КСЗІ.
На цьому етапі Замовник при активній підтримці Виконавця проводить попередні випробування КСЗІ, з метою підтвердження результативності її роботи і відповідності положенням, визначеним в “Технічному завданні на створення КСЗІ”. В процесі випробувань виконуються тестові завдання і контролюються отримані результати, які і є індикатором працездатності спроектованої КСЗІ.
По результату випробування КСЗІ робиться вивід відносно можливості представлення КСЗІ на державну експертизу. Під час попередніх випробувань перевіряються працездатність КСЗІ і відповідність її вимогам ТЗ.
Під час дослідної експлуатації:
– відпрацьовують технології обробки інформації, облік машинних носіїв інформації, управління засобами захисту, розмежування доступу користувачів до ресурсів ІТС і автоматизованого контролю за діями користувачів;
– співробітники служби захисту інформації і користувачі ІТС набувають практичних навиків по використанню технічних і програмно-апаратних засобів захисту інформації, засвоюють вимоги організаційних і розпорядливих документів по питаннях розмежування доступу до технічних засобів і інформаційних ресурсів;
– здійснюється (за потреби) доопрацювання програмного забезпечення, додаткове налагодження і конфігурація комплексу засобів захисту інформації від несанкціонованого доступу;
– здійснюється (за потреби) коректування робочої і експлуатаційної документації.
За результатами дослідної експлуатації приймається рішення про готовність КСЗІ в ІТС до подання на державну експертизу.
10. Проведення державної експертизи КСЗІ і отримання “Атестата відповідності” складається з:
– підготовка КСЗІ до проведення державної експертизи в Адміністрації Держспецзв’язку і супроводі експертних випробувань;
– узгодження з Адміністрацією Держспецзв’язку результатів експертизи і видача Замовникові Атестата відповідності.
Державна експертиза проводиться з метою визначення відповідності КСЗІ “Технічному завданню на створення КСЗІ”, вимогам нормативної документації після захисту інформації і визначення можливості введення КСЗІ на ІТС в експлуатацію.
11. Підтримка і обслуговування КСЗІ.
Цей пункт обговорюється окремо.