CC BY
316
ПРАКТИЧЕСКИЕ ВОПРОСЫ СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ Н.Ю. Дрюков
Научный руководитель - доктор технических наук, профессор Ю.А. Гатчин
В статье рассматриваются вопросы, связанные с организацией разработки и внедрения автоматизированных систем в защищенном исполнении. Основное внимание уделено стадиям создания систем, перечню и содержанию разрабатываемых документов. Данная статья может быть использована как руководство к действию при построении защищенных автоматизированных систем.
Введение
В настоящее время на книжных полках можно найти массу изданий, посвященных защите информации. Однако их содержание, в основном, отражает только теоретические аспекты безопасности данных. Из практических вопросов, как правило, освещаются только функциональные и технические характеристики отдельных технических средств защиты информации. В результате проектирование комплексных систем становится довольно сложной задачей, а создаваемые системы порой только осложняют работу пользователя, в то время как злоумышленник без особого труда преодолевает защитные механизмы.
Рассматриваемые в статье практические вопросы позволяют правильно организовать работы по проектированию систем для получения наиболее оптимального результата.
Основная часть
Большинство локальных вычислительных сетей, которые используют организации, невозможно назвать автоматизированными системами. Поэтому при решении вопросов, связанных с защитой информации, уместнее будет создавать не отдельную систему защиты информации, а автоматизированную систему в защищенном исполнении со встроенными механизмами защиты. Это позволит в рамках решения одной задачи устранить весь комплекс проблем, связанных как с информационной безопасностью, так и с организацией бесперебойного производственного процесса.
Автоматизированная система в защищенном исполнении - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и нормативных документов по защите информации [1, 2].
Создание автоматизированной системы в защищенном исполнении проводится в несколько стадий (рис.).
Предпроектная стадия включает в себя следующие работы:
• проведение предпроектного обследования;
• разработка аналитического обоснования создания автоматизированной системы в защищенном исполнении;
• разработка технического задания на создание автоматизированной системы в защищенном исполнении.
По результатам предпроектного обследования определяются защищаемая информация на основе документально оформленных перечней защищаемых сведений, угрозы безопасности информации и модель вероятного нарушителя, состав используемых технических средств и связи между ними, состав разработанной организационно-распорядительной документации, класс защищенности автоматизированной системы в защи-
щенном исполнении. Принимаются решения, касающиеся состава технических средств и систем, предполагаемых к использованию в разрабатываемой системе, и мероприятий по обеспечению конфиденциальности информации на этапе проектирования системы.
Стоит отметить, что чем более тщательно было проведено и обследование и чем больше информации об организации было получено, тем более надежная система будет построена.
Стадия проектирования: разработка Технического (Технорабочего) проекта создания автоматизированной системы в защищенном
исполнении, разработка организационно-распорядительной и эксплуатационной документации на автоматизированную систему в защищенном исполнении и ее компоненты, реализация разрешительной системы допуска и организационно-технических мероприятий по защите информации в автоматизированной системе в защищенном исполнении, закупка, установка и настройка средств защиты информации в автоматизированной системе в защищенном исполнении
Стадия ввода в действие: опытная эксплуатация и приемо-сдаточные испытания автоматизированной системы в защищенном исполнении, аттестация автоматизированной системы в защищенном исполнении на соответствие требованиям по безопасности информации (добровольная), ввод в действие автоматизированной системы в защищенном исполнении
Стадия эксплуатации: эксплуатация автоматизированной системы в защищенном исполнении в строгом соответствии с требованиями действующих руководящих документов и разработанных организационно-распорядительных и эксплуатационных документов по защите конфиденциальной информации, проведение периодического контроля эффективности применения средств защиты информации
Рис. Стадии создания автоматизированной системы в защищенном исполнении
На основе полученных данных разрабатывается аналитическое обоснование необходимости создания автоматизированной системы в защищенном исполнении, кото-
рое должно содержать информационную характеристику организации, описание используемых технических средств, каналов утечки информации. Это позволяет оценить степень автоматизации деятельности сотрудников и информационную безопасность в организации и, в случае неудовлетворительного положения вещей в этих областях, принять решение о разработке автоматизированной системы в защищенном исполнении. Также в обосновании приводится оценка затрат и ориентировочные сроки на проектирование и внедрение автоматизированной системы в защищенном исполнении.
Следующим шагом будет разработка технического задания на создание автоматизированной системы в защищенном исполнении, которое должно содержать сведения об организации в техническом, программном, информационном и организационном аспектах, требования к автоматизированной системе в защищенном исполнении, перечень предполагаемых к использованию сертифицированных средств защиты информации, состав проведения работ по созданию системы.
Техническое задание является основным документом, на основании которого будет производиться проектирование системы.
Стадия проектирования включает в себя следующие работы:
• разработка технического проекта создания автоматизированной системы в защищенном исполнении;
• разработка организационно-распорядительной и эксплуатационной документации на автоматизированную систему в защищенном исполнении и ее компоненты;
• реализация разрешительной системы допуска и организационно-технических мероприятий по защите информации в автоматизированной системе в защищенном исполнении;
• закупка, установка и настройка средств защиты информации в автоматизированной системе в защищенном исполнении.
Проект должен включать в себя разделы, посвященные обеспечению автоматизации деятельности сотрудников организации, информационного обмена по высокоскоростным линиям связи, защиты информации. При необходимости разрабатываются задания и проекты на другие работы, например строительно-монтажные. На основе этого документа будет создаваться автоматизированная система в защищенном исполнении, поэтому он должен включать в себя описание всех внедряемых технических средств, их настройки, а также все необходимые организационные решения.
В состав разрабатываемой организационно-технической и эксплуатационной документации входят технический паспорт на автоматизированную систему в защищенном исполнении, инструкции и руководства по эксплуатации технических средств для пользователей, администраторов системы, приказы, акты и распоряжения, связанные с проектированием, внедрением, испытаниями и вводом в эксплуатацию системы.
Под реализацией разрешительной системы допуска и организационно-технических мероприятий по защите информации понимаются проведение следующих действий:
• определение состава субъектов доступа к защищаемой информации (сотрудников организации);
• ознакомление сотрудников с правилами обработки защищаемой информации и обеспечения информационной безопасности, наложение на всех пользователей персональной ответственности за разглашение вверенной им защищаемой информации путем подписи ими соответствующих документов;
• разработка и утверждение перечня защищаемых информационных ресурсов, матрицы доступа сотрудников к защищаемым ресурсам;
• определение состава носителей защищаемой информации и их маркировка;
• формирование журналов учета паролей, журналов учета персональных идентификаторов, журналов учета носителей защищаемой информации.
В конце этой стадии производится закупка, установка и настройка технических средств согласно требованиям, приведенным в проекте на автоматизированную систему в защищенном исполнении.
На стадии ввода в действие производятся:
• опытная эксплуатация и приемо-сдаточные испытания автоматизированной системы в защищенном исполнении;
• аттестация автоматизированной системы в защищенном исполнении на соответствие требованиям руководящих документов по безопасности информации (добровольная);
• ввод в действие автоматизированной системы в защищенном исполнении.
Опытная эксплуатация автоматизированной системы в защищенном исполнении производится в целях проверки ее функционирования в соответствии с установленными требованиями, а так же выявления недостатков и их устранения. Она осуществляется в соответствии с программой, в которой указываются условия и порядок функционирования автоматизированной системы в защищенном исполнении, продолжительность опытной эксплуатации, порядок устранения выявленных недостатков [3].
Приемо-сдаточные испытания производятся с целью проверки полноты и качества реализации системой своих функций в разных условиях функционирования. Они осуществляются в соответствии с программой, в которой указываются перечень испытываемых объектов и предъявляемых к ним требований, критерии приемки системы и их частей, условия и сроки проведения испытаний, методику испытаний и обработки результатов [3].
Проведение аттестации автоматизированной системы в защищенном исполнении является добровольным, за исключением случая, когда в организации хранятся и обрабатываются сведения, собственником которых является государство. Аттестация производится в целях проверки соответствия системы защиты информации требованиям, установленным Руководящими документами Федеральной службы по техническому и экспортному контролю (Гостехкомиссии). Проведение аттестации автоматизированной системы в защищенном исполнении осуществляется в соответствии с программой и методикой аттестационных испытаний. По результатам испытаний составляется заключение и, в случае положительного решения аттестационной комиссии, выдается аттестат соответствия объекта информатизации требованиям по безопасности информации.
Ввод в действие автоматизированной системы оформляется соответствующим актом. С этого момента в автоматизированной системе в защищенном исполнении можно обрабатывать информацию, подлежащую защите.
Последняя стадия создания системы - это эксплуатация. Здесь следует выделить две особенности.
Во-первых, чтобы в автоматизированной системе в защищенном исполнении информация находилась в безопасности, необходимо осуществлять эксплуатацию в соответствии с требованиями разработанных организационно-распорядительных и эксплуатационных документов, а также руководящих документов по защите информации.
Во-вторых, обязательно должен проводиться ежегодный контроль эффективности применения средств защиты информации с целью выявления новых угроз безопасности данных и проверки адекватности применяемых в организации защитных мер.
Заключение
Создание систем защиты информации - сложная и ответственная задача. Предложенный в статье план разработки и внедрения защитных механизмов позволяет повысить эффективность работ по созданию защищенных систем за счет структурированной
последовательности действий и возможности согласовывать результаты каждой из стадий с заказчиком системы.
Литература
1. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения. М., 1990.
2. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. М., 2000.
3. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем. М., 1993.
4. ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем. М., 1989.
5. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. М., 1990.
6. Домарев В.В. Безопасность информационных технологий. Системный подход. Киев, 2004.
