Специалисты компании Защита.ЮЭЙ предоставляют услуги построения комплексной системы защиты информации (КСЗИ), которые включают следующие этапы:
1. Подготовка организационно-распорядительной документации.
2. Обследование информационной инфраструктуры Заказчика.
3. Разработка «Технического задания на создание КСЗИ».
4. Разработка «Плана защиты информации».
5. Разработка «Технического проекта на создание КСЗИ».
6. Приведение информационной инфраструктуры Заказчика в соответствии с «Техническим проектом на создание КСЗИ».
7. Разработка «Эксплуатационной документации на КСЗИ».
8. Внедрение КСЗИ.
9. Испытания КСЗИ.
10. Проведение государственной экспертизы КСЗИ и получения «Аттестата соответствия».
11. Поддержка и обслуживание КСЗИ.
Построение КСЗИ проводится согласно требований НД ТЗИ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі»
Приводим короткое описание этапов:
1. Подготовка организационно-распорядительной документации
Специалисты Исполнителя проводят анализ организационно-распорядительных документов Заказчика и нормативно-правовых документов в области защиты информации, влияющие на деятельность Заказчика. К организационно-распорядительным документам обычно относятся: организационная структура, штатное расписание, положение об отделах и должностные инструкции сотрудников, связанных с эксплуатацией ИТС, документы, регламентирующие доступ к ИТС и так далее.
По результатам проведенного анализа Исполнитель опираясь на нормативную базу, которая действует в Украине в сфере защиты информации, готовит проекты документов, которые определяют организационную составляющую КСЗИ (проект приказа о создании КСЗИ, проект положения о службе защиты информации, проекты должностных инструкций и процедур и др .), которые утверждаются Заказчиком.
2. Обследование информационной инфраструктуры Заказчика
Для каждой конкретной ИТС состав, структура и требования к КСЗИ определяются свойствами обрабатываемой информации, классом автоматизированной системы и условиями ее эксплуатации. Специалисты Исполнителя проводят обследование (аудит) ИТС Заказчика. Анализируется архитектура системы, ее топология и составляющие элементы. Определяются типы пользователей системы, нетипизированный информация, обрабатываемая в ИТС.
По результатам выполнения этапа Исполнитель разрабатывает следующие документы:
— акт обследования ИТС (содержит описание, принципы построения и архитектуру ИТС);
— перечень объектов ИТС подлежащих защите, которые утверждаются Заказчиком.
3. Разработка «Технического задания на создание КСЗИ»
Специалисты Исполнителя разрабатывают и согласовывают с Заказчиком документ «Техническое задание на создание КСЗИ», которое определяет все основные требования к КСЗИ и возможные варианты реализации ее составляющих элементов. После согласования «Технического задания на создание КСЗИ» с Заказчиком, документ согласовывается с контролирующими органами.
В ТЗ излагаются требования к функциональному составу и порядку разработки и внедрения технических средств, обеспечивающих безопасность информации в процессе ее обработки в вычислительной системе ИТС, а также требования к организационным, физическим и другим мерам защиты, которые реализуются вне вычислительной системы ИТС в дополнение к комплексу программно-технических средств защиты информации.
«Техническое задание на создание КСЗИ» может разрабатываться для впервые создаваемых ИТС, а также при модернизации уже существующих ИТС в виде отдельного раздела ТЗ на создание ИТС, отдельного (частичного) ТЗ или дополнения к ТЗ на создание ИТС.
4. Разработка «Плана защиты информации».
По результатам выполнения второго этапа, а именно, основываясь на перечень объектов ИТС, подлежащих защите, Исполнитель разрабатывает пакет документов «План защиты информации»:
— документ «Модель угроз информации. Модель нарушителя»;
— документ «Положение о Службе защиты информации»;
— документ «Политика безопасности информации», которые утверждаются Заказчиком.
5. Разработка «Технического проекта на создание КСЗИ».
После согласования «Технического задания на создание КСЗИ» с контролирующими органами Исполнитель разрабатывает пакет документов «Технический проект на создание КСЗИ». «Технический проект на создание КСЗИ» представляет собой комплект документов, в который входит часть документов разработанных на предыдущих этапах и ряд новых документов, в которых описано, как будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ. «Технический проект на создание КСЗИ» разрабатывается на основании и в соответствии с «Техническим заданием на создание КСЗИ».
При разработке проекта КСЗИ обосновываются и принимаются проектные решения, позволяющие реализовать требования технического задания, обеспечить совместимость и взаимодействие различных компонентов КСЗИ, а также различных мероприятий и способов защиты информации. В результате создается комплект рабочей и эксплуатационной документации, необходимой для обеспечения тестирования, проведения пусконаладочных работ, испытаний и управления КСЗИ.
6. Приведение информационной инфраструктуры Заказчика в соответствии с «Техническим проектом на создание КСЗИ».
Особенностью этого этапа является то, что на момент принятия решения о создании КСЗИ стоимость этого этапа является неизвестной как для Заказчика, так и для Исполнителя. Также, учитывая большой возможный спектр выполнения работ на этом этапе существует большая вероятность подключения к его выполнению подрядчика.
На этом этапе могут выполняться монтажные, строительные, пусконаладочные работы, работы, связанные с установлением необходимых технических или криптографических средств защиты информации, средств физической защиты элементов ИТС (устанавливается необходимое оборудование и программное обеспечение, средства контроля доступа, охранная и пожарная сигнализации) и так далее.
7. Разработка «эксплуатационной документации на КСЗИ».
На этом этапе Исполнитель КСЗИ создает пакет документов «Эксплуатационная документация на КСЗИ», который включает:
— инструкции эксплуатации КСЗИ и ее элементов;
— процедуры регламентного обслуживания КСЗИ;
— правила и положения по проведению тестирования и анализа работы КСЗИ;
— руководство администраторов и пользователей;
— формуляр КСЗИ ИТС.
8. Внедрение КСЗИ.
На этом этапе Исполнитель (или Подрядчик под наблюдением Исполнителя) проводит все пусконаладочные работы, обучает и инструктирует персонал Заказчика правилам и режимам эксплуатации КСЗИ.
Включает следующие мероприятия:
— организация защиты информации от несанкционированного доступа (НСД);
— организация антивирусной защиты информации;
— разработку программы и методики предварительных испытаний;
— проведение предварительных испытаний.
После реализации этого этапа внедрена КСЗИ и готова к дальнейшему испытанию.
9. Испытание КСЗИ.
На этом этапе Заказчик при активной поддержке Исполнителя проводит предварительные испытания КСЗИ, с целью подтверждения результативности ее работы и соответствия положениям, определенным в «Техническом задании на создание КСЗИ». В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ.
По результату испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу. Во время предварительных испытаний проверяются работоспособность КСЗИ и соответствие ее требованиям ТЗ.
Во время опытной эксплуатации:
— отрабатывают технологии обработки информации, учет машинных носителей информации, управление средствами защиты, разграничение доступа пользователей к ресурсам ИТС и автоматизированного контроля за действиями пользователей;
— сотрудники службы защиты информации и пользователи ИТС приобретают практические навыки по использованию технических и программно-аппаратных средств защиты информации, усваивают требования организационных и распорядительных документов по вопросам разграничения доступа к техническим средствам и информационным ресурсам;
— осуществляется (при необходимости) доработка программного обеспечения, дополнительная отладка и конфигурация комплекса средств защиты информации от несанкционированного доступа;
— осуществляется (при необходимости) корректировка рабочей и эксплуатационной документации.
По результатам опытной эксплуатации принимается решение о готовности КСЗИ в ИТС к представлению на государственную экспертизу.
10. Проведение государственной экспертизы КСЗИ и получения «Аттестата соответствия» состоит из:
— подготовка КСЗИ к проведению государственной экспертизы в Администрации Госспецсвязи и сопровождение экспертных испытаний;
— согласование с Администрацией Госспецсвязи результатов экспертизы и выдача Заказчику Аттестата соответствия.
Государственная экспертиза проводится с целью определения соответствия КСЗИ «Техническому заданию на создание КСЗИ», требованиям нормативной документации по защите информации и определения возможности введения КСЗИ на ИТС в эксплуатацию.
11. Поддержка и обслуживание КСЗИ.
Этот пункт оговаривается отдельно.