06. 4-й етап: складання техно-робочого проекту КСЗІ в ІТС

Проект КСЗІ розробляється на підставі та у відповідності до погодженого та затвердженого «Технічного завдання на створення КСЗІ в ІТС» (далі - ТЗ) згідно вимог розділу 6.4 «Розробка проекту КСЗІ» НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС».

Під час розробки проекту обґрунтовуються і приймаються проектні рішення, які дають змогу реалізувати вимоги ТЗ, забезпечити сумісність і взаємодію різних компонентів КСЗІ, а також різних заходів і способів захисту інформації.

Проект виконується на таких стадіях створення ІТС: ескізна, технічна та робоча. Для всіх стадій розробки проекту склад  документації визначається ТЗ, види та зміст - ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем» і НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в КС від НСД».

Документація на програмні засоби складається згідно комплексу стандартів Єдиної системи проектної документації (далі - ЄСПД), а на технічні засоби - згідно з комплексом стандартів Єдиної системи конструкторської документації (далі - ЄСКД).

Ескізний проект

На цій стадії здійснюється розробка попередніх проектних рішень КСЗІ та, у разі необхідності, її окремих складових частин, а також розроблення, оформлення, узгодження та затвердження документації на КСЗІ. Зміст та стиль документації повинні бути достатніми для повного опису проектних рішень рівня ескізного проекту.

На цій стадії визначаються:
- функції КСЗІ в цілому та функції її окремих складових частин;
- склад заходів протидії технічним розвідкам, організаційних, правових та інших заходів захисту;
- склад КЗЗ від НСД;
- склад комплексів ТЗІ від витоку технічними каналами та спеціальних впливів;
- узагальнена структура КСЗІ та схема взаємодії складових частин.

Пропонуються попередні технічні рішення, за допомогою яких передбачається реалізація завдань і функцій КСЗІ. У документації ескізного проекту КСЗІ мають бути наведені відомості щодо попередніх проектних рішень, які визначають порядок реалізації вимог ТЗ щодо КСЗІ в цілому та, за необхідності, щодо її окремих складових частин. Дозволяється вилучати стадію ескізного проекту, у такому випадку документація ескізного проекту не розробляється.

Технічний проект

На цій стадії виконується розробка:
- загальних проектних рішень, необхідних для реалізації вимог ТЗ;
- рішень щодо структури КСЗІ (організаційної структури, структури технічних і програмних засобів);
- рішень щодо архітектури КЗЗ від НСД (у тому числі щодо АВПЗ, засобів виявлення та попередження про мережеві вторгнення тощо);
- рішень щодо механізмів реалізації послуг безпеки, визначених ФПЗ;
- рішень щодо алгоритмів, порядку та умов функціонування засобів захисту інформації, які використовуються у складі КЗЗ для реалізації певних функцій захисту.

Здійснюються організаційно-технічні заходи щодо забезпечення послідовності розробки КЗЗ, архітектури, середовища розробки, випробувань, середовища функціонування та експлуатаційної документації КЗЗ у відповідності до заданих рівнем гарантій реалізації послуг безпеки згідно вимог НД ТЗІ.

Виконується розробка, оформлення, узгодження та затвердження документації в обсязі, передбаченому ТЗ. Зміст та стиль проектної документації повинні бути достатніми для забезпечення реалізації вимог ТЗ.

Готується та оформляється документація на постачання засобів захисту або продукції, що містить їх у своєму складі, для комплектації КСЗІ. Якщо необхідної продукції немає на ринку засобів захисту, то визначаються технічні вимоги (складаються технічні завдання) на розробку відповідних засобів.

Здійснюється розроблення, оформлення і затвердження завдань на проектування з суміжних питань, які пов’язані зі створенням КСЗІ або впливають на умови її функціонування (будівельні, електротехнічні, санітарно-технічні та інші підготовчі роботи).

Робочий проект

На цій стадії здійснюється розробка, оформлення та затвердження робочої та експлуатаційної документації КСЗІ та, у разі необхідності, її окремих складових частин. У документації робочого проекту КСЗІ мають бути наведені детальні рішення щодо реалізації технічного проекту КСЗІ, щодо забезпечення управління КСЗІ та взаємодії її компонентів, а також відомості, необхідні для проведення пусконалагоджувальних робіт і тестування підсистем та засобів КСЗІ.

У разі обробки в ІТС секретної інформації до складу робочої документації на комплекси ТЗІ від витоку технічними каналами повинні входити схеми розміщення засобів ІТС, кабельного обладнання, мереж живлення та систем заземлення, які виконуються у відповідності до вимог НД ТЗІ.

При цьому враховуються умови їх розміщення та мінімально допустимі відстані між засобами ІТС та іншими технічними засобами, що знаходяться у приміщеннях, де розташоване обладнання ІТС, та у суміжних приміщеннях (засоби зв’язку, системи та засоби кондиціювання, сигналізації, електроосвітлення тощо). Зазначені умови розміщення та мінімально допустимі відстані беруться з експлуатаційної документації, яка супроводжує сертифіковані засоби ІТС.

До складу робочої документації на КЗЗ повинні входити описи таких процедур:
- інсталяції та ініціалізації комплексу,
- налагодження всіх механізмів розмежування доступу користувачів до ресурсів ІТС,
- формування та актуалізації баз даних захисту,
- контролю за діями користувачів,
- контролю цілісності ПЗ та баз даних захисту.

Експлуатаційна документація включає настанови (інструкції) користувачам та опис порядку функціонування та супроводження КСЗІ впродовж життєвого циклу ІТС. Зміст та склад документації кожної стадії проектування повинні бути достатніми для повного опису проектних рішень рівня відповідного проекту.

Конкретний перелік документації визначається на підставі ГОСТ 34.201-89 і РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов» з урахуванням особливостей КСЗІ. Документація кожної стадії проектування має бути затверджена розробником КСЗІ (за його наявності) та керівником установи-власника (розпорядника) ІТС. Дозволяється поєднувати технічну та робочу стадії проектування в одну стадію техно-робочого проекту.

Техно-робочий проект

Згідно вимог вище зазначених стандартів техно-робочий проект повинен містити такі документи:
1)   відомість проекту;
2)   відомість виробів, що закуповуються;
3)   пояснювальна записка до проекту;
4)   опис завдань і функцій;
5)   опис інформаційного забезпечення;
6)   опис комплексу технічних засобів;
7)   опис програмного забезпечення;
8)   опис комплексу засобів захисту від НСД;
9)   опис алгоритмів реалізації послуг безпеки;
10) опис організаційної структури;
11) відомість устаткування та матеріалів;
12) кошторисний розрахунок створення КСЗІ;
13) проектна оцінка надійності КСЗІ.

1. Документ «Відомість проекту» містить перелік всіх документів, розроблених на передпректних стадіях створення КСЗІ.

2. Документ «Відомість виробів, що закуповуються» містить перелік виробів, які планується придбати для створення КСЗІ.

3. Документ «Пояснювальна записка до проекту» містить такі розділи:
- загальні положення;
- інформаційна діяльність;
- основні технічні рішення;
- підготовка КСЗІ до введення в дію.

3.1. У розділі «Загальні положення» наводять:
- найменування ІТС і найменування документів, їх номери та дати затвердження, на підставі яких ведеться проектування КСЗІ;
- перелік організацій, що беруть участь в розробці КСЗІ, терміни виконання стадій проектування;
- мета, призначення та сфери використання КСЗІ;
- підтвердження відповідності проектних рішень діючим нормативно-правовим актам;
- перелік використаних при проектуванні нормативно-технічних документів;
- перелік етапів створення КСЗІ і обсяг кожного етапу.

3.2. У розділі «Інформаційна діяльність» відображають склад процедур (операцій) інформаційної діяльності з урахуванням взаємодії всіх заходів захисту інформації, формують вимоги до організації робіт в реальних умовах функціонування ІТС.

3.3. У розділі «Основні технічні рішення» наводять рішення щодо:
- структури КСЗІ, засобів і способів інформаційного обміну між її компонентами;
- взаємодії всіх заходів захисту інформації в ІТС;
- режимів функціонування та діагностування роботи КСЗІ;
- чисельності, кваліфікації та функцій персоналу ІТС, режиму його роботи та порядку взаємодії;
- складу функцій і завдань, що реалізовуються КСЗІ;
- комплексу технічних засобів КСЗІ, його розміщення на об'єкті;
- складу інформації, обсягу, способів її організації, видів машинних носіїв, послідовності обробки інформації та інших компонентів;
- програмних засобів, алгоритмів процедур і методів їх реалізації.

3.4. У розділі «Підготовка КСЗІ до введення в дію» приводять заходи щодо:
- навчання персоналу ІТС та перевірки його кваліфікації;
- створення необхідних підрозділів і робочих місць;
- проведення змін в ІТС для впровадження КСЗІ тощо...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика