06. 4-й етап: складання техно-робочого проекту КСЗІ в ІТС

Проект КСЗІ розробляється на підставі та у відповідності до погодженого та затвердженого «Технічного завдання на створення КСЗІ в ІТС» (далі - ТЗ) згідно вимог розділу 6.4 «Розробка проекту КСЗІ» НД ТЗІ 3.7-003-2005 «Порядок проведення робіт із створення КСЗІ в ІТС».

Під час розробки проекту обґрунтовуються і приймаються проектні рішення, які дають змогу реалізувати вимоги ТЗ, забезпечити сумісність і взаємодію різних компонентів КСЗІ, а також різних заходів і способів захисту інформації.

Проект виконується на таких стадіях створення ІТС: ескізна, технічна та робоча. Для всіх стадій розробки проекту склад  документації визначається ТЗ, види та зміст - ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем» і НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в КС від НСД».

Документація на програмні засоби складається згідно комплексу стандартів Єдиної системи проектної документації (далі - ЄСПД), а на технічні засоби - згідно з комплексом стандартів Єдиної системи конструкторської документації (далі - ЄСКД).

Ескізний проект

На цій стадії здійснюється розробка попередніх проектних рішень КСЗІ та, у разі необхідності, її окремих складових частин, а також розроблення, оформлення, узгодження та затвердження документації на КСЗІ. Зміст та стиль документації повинні бути достатніми для повного опису проектних рішень рівня ескізного проекту.

На цій стадії визначаються:
- функції КСЗІ в цілому та функції її окремих складових частин;
- склад заходів протидії технічним розвідкам, організаційних, правових та інших заходів захисту;
- склад КЗЗ від НСД;
- склад комплексів ТЗІ від витоку технічними каналами та спеціальних впливів;
- узагальнена структура КСЗІ та схема взаємодії складових частин.

Пропонуються попередні технічні рішення, за допомогою яких передбачається реалізація завдань і функцій КСЗІ. У документації ескізного проекту КСЗІ мають бути наведені відомості щодо попередніх проектних рішень, які визначають порядок реалізації вимог ТЗ щодо КСЗІ в цілому та, за необхідності, щодо її окремих складових частин. Дозволяється вилучати стадію ескізного проекту, у такому випадку документація ескізного проекту не розробляється.

Технічний проект

На цій стадії виконується розробка:
- загальних проектних рішень, необхідних для реалізації вимог ТЗ;
- рішень щодо структури КСЗІ (організаційної структури, структури технічних і програмних засобів);
- рішень щодо архітектури КЗЗ від НСД (у тому числі щодо АВПЗ, засобів виявлення та попередження про мережеві вторгнення тощо);
- рішень щодо механізмів реалізації послуг безпеки, визначених ФПЗ;
- рішень щодо алгоритмів, порядку та умов функціонування засобів захисту інформації, які використовуються у складі КЗЗ для реалізації певних функцій захисту.

Здійснюються організаційно-технічні заходи щодо забезпечення послідовності розробки КЗЗ, архітектури, середовища розробки, випробувань, середовища функціонування та експлуатаційної документації КЗЗ у відповідності до заданих рівнем гарантій реалізації послуг безпеки згідно вимог НД ТЗІ.

Виконується розробка, оформлення, узгодження та затвердження документації в обсязі, передбаченому ТЗ. Зміст та стиль проектної документації повинні бути достатніми для забезпечення реалізації вимог ТЗ.

Готується та оформляється документація на постачання засобів захисту або продукції, що містить їх у своєму складі, для комплектації КСЗІ. Якщо необхідної продукції немає на ринку засобів захисту, то визначаються технічні вимоги (складаються технічні завдання) на розробку відповідних засобів.

Здійснюється розроблення, оформлення і затвердження завдань на проектування з суміжних питань, які пов’язані зі створенням КСЗІ або впливають на умови її функціонування (будівельні, електротехнічні, санітарно-технічні та інші підготовчі роботи).

Робочий проект

На цій стадії здійснюється розробка, оформлення та затвердження робочої та експлуатаційної документації КСЗІ та, у разі необхідності, її окремих складових частин. У документації робочого проекту КСЗІ мають бути наведені детальні рішення щодо реалізації технічного проекту КСЗІ, щодо забезпечення управління КСЗІ та взаємодії її компонентів, а також відомості, необхідні для проведення пусконалагоджувальних робіт і тестування підсистем та засобів КСЗІ.

У разі обробки в ІТС секретної інформації до складу робочої документації на комплекси ТЗІ від витоку технічними каналами повинні входити схеми розміщення засобів ІТС, кабельного обладнання, мереж живлення та систем заземлення, які виконуються у відповідності до вимог НД ТЗІ.

При цьому враховуються умови їх розміщення та мінімально допустимі відстані між засобами ІТС та іншими технічними засобами, що знаходяться у приміщеннях, де розташоване обладнання ІТС, та у суміжних приміщеннях (засоби зв’язку, системи та засоби кондиціювання, сигналізації, електроосвітлення тощо). Зазначені умови розміщення та мінімально допустимі відстані беруться з експлуатаційної документації, яка супроводжує сертифіковані засоби ІТС.

До складу робочої документації на КЗЗ повинні входити описи таких процедур:
- інсталяції та ініціалізації комплексу,
- налагодження всіх механізмів розмежування доступу користувачів до ресурсів ІТС,
- формування та актуалізації баз даних захисту,
- контролю за діями користувачів,
- контролю цілісності ПЗ та баз даних захисту.

Експлуатаційна документація включає настанови (інструкції) користувачам та опис порядку функціонування та супроводження КСЗІ впродовж життєвого циклу ІТС. Зміст та склад документації кожної стадії проектування повинні бути достатніми для повного опису проектних рішень рівня відповідного проекту.

Конкретний перелік документації визначається на підставі ГОСТ 34.201-89 і РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов» з урахуванням особливостей КСЗІ. Документація кожної стадії проектування має бути затверджена розробником КСЗІ (за його наявності) та керівником установи-власника (розпорядника) ІТС. Дозволяється поєднувати технічну та робочу стадії проектування в одну стадію техно-робочого проекту.

Техно-робочий проект

Згідно вимог вище зазначених стандартів техно-робочий проект повинен містити такі документи:
1)   відомість проекту;
2)   відомість виробів, що закуповуються;
3)   пояснювальна записка до проекту;
4)   опис завдань і функцій;
5)   опис інформаційного забезпечення;
6)   опис комплексу технічних засобів;
7)   опис програмного забезпечення;
8)   опис комплексу засобів захисту від НСД;
9)   опис алгоритмів реалізації послуг безпеки;
10) опис організаційної структури;
11) відомість устаткування та матеріалів;
12) кошторисний розрахунок створення КСЗІ;
13) проектна оцінка надійності КСЗІ.

1. Документ «Відомість проекту» містить перелік всіх документів, розроблених на передпректних стадіях створення КСЗІ.

2. Документ «Відомість виробів, що закуповуються» містить перелік виробів, які планується придбати для створення КСЗІ.

3. Документ «Пояснювальна записка до проекту» містить такі розділи:
- загальні положення;
- інформаційна діяльність;
- основні технічні рішення;
- підготовка КСЗІ до введення в дію.

3.1. У розділі «Загальні положення» наводять:
- найменування ІТС і найменування документів, їх номери та дати затвердження, на підставі яких ведеться проектування КСЗІ;
- перелік організацій, що беруть участь в розробці КСЗІ, терміни виконання стадій проектування;
- мета, призначення та сфери використання КСЗІ;
- підтвердження відповідності проектних рішень діючим нормативно-правовим актам;
- перелік використаних при проектуванні нормативно-технічних документів;
- перелік етапів створення КСЗІ і обсяг кожного етапу.

3.2. У розділі «Інформаційна діяльність» відображають склад процедур (операцій) інформаційної діяльності з урахуванням взаємодії всіх заходів захисту інформації, формують вимоги до організації робіт в реальних умовах функціонування ІТС.

3.3. У розділі «Основні технічні рішення» наводять рішення щодо:
- структури КСЗІ, засобів і способів інформаційного обміну між її компонентами;
- взаємодії всіх заходів захисту інформації в ІТС;
- режимів функціонування та діагностування роботи КСЗІ;
- чисельності, кваліфікації та функцій персоналу ІТС, режиму його роботи та порядку взаємодії;
- складу функцій і завдань, що реалізовуються КСЗІ;
- комплексу технічних засобів КСЗІ, його розміщення на об'єкті;
- складу інформації, обсягу, способів її організації, видів машинних носіїв, послідовності обробки інформації та інших компонентів;
- програмних засобів, алгоритмів процедур і методів їх реалізації.

3.4. У розділі «Підготовка КСЗІ до введення в дію» приводять заходи щодо:
- навчання персоналу ІТС та перевірки його кваліфікації;
- створення необхідних підрозділів і робочих місць;
- проведення змін в ІТС для впровадження КСЗІ тощо.

4. Документ «Опис завдань і функцій» містить два розділи:
- опис завдань КСЗІ;
- опис функцій КСЗІ.

4.1. У розділі «Опис завдань» наводять:
- призначення завдань захисту інформації;
- перелік об'єктів і підрозділів установи, при керуванні якими вирішуються завдання КСЗІ;
- умови, при яких припиняється вирішення завдань КСЗІ (за необхідністю);
- взіємодія даного комплексу завдань з іншими комплексами (завданнями) ІТС;
- посади осіб і (або) найменування підрозділів, що визначають умови та характеристики вирішення конкретного завдання КСЗІ;
- розподіл дій між персоналом і технічними засобами при різних ситуаціях вирішення комплексу завдань КСЗІ.

4.2. У розділі «Опис функцій» наводять:
- перелік початкових матеріалів і документів, використаних при розробці проекту КСЗІ;
- опис функцій, спрямованих на виконання завдань КСЗІ;
- перелік підсистем КСЗІ з визначенням функцій та завдань, що реалізовуються в кожній підсистемі;
- необхідні пояснення до розподілу функцій на дії (операції), що виконуються технічними засобами та персоналом;
- перелік типових рішень з визначенням функцій та завдань захисту, для виконання яких вони застосовуються.

5. Документ «Опис інформаційного забезпечення» містить такі розділи:
- склад інформаційного забезпечення;
- організація інформаційного забезпечення;
- організація поводження з інформацією;
- організація інформаційної бази КСЗІ;
- організація інформаційних баз ІТС.

5.1. У розділі «Склад інформаційного забезпечення» вказують найменування та призначення всіх баз даних ІТС і КСЗІ.

5.2. У розділі «Організація інформаційного забезпечення» наводять:
- принципи організації інформаційного забезпечення ІТС і КСЗІ;
- обгрунтування вибору носіїв даних і принципи розподілу інформації по типах носіїв;
- опис прийнятих видів і методів контролю технологій обробки даних при створенні та функціонуванні інформаційних баз з визначенням вимог контролю.

5.3. У розділі «Організація поводження з інформацією» наводять:
- перелік джерел і носіїв інформації з оцінюванням інтенсивності та обсягу потоків інформації;
- опис загальних вимог до організації поводження з інформацією, її контролю та коригування.

5.4. У розділі «Організація інформаційної бази КСЗІ» наводять:
- опис принципів побудови інформаційної бази КСЗІ, характеристики її складу та обсягу;
- опис структури інформаційної бази КСЗІ на рівні баз її даних з визначенням функцій КСЗІ, при реалізації яких використовують кожну базу даних, характеристики даних, що містяться в кожній базі даних.

5.5. У розділі «Організація інформаційних баз ІТС» наводять характеристики складу і обсягу інформаційних баз ІТС та принципи їх побудови.

6. Документ «Опис комплексу технічних засобів» містить такі розділи:
- загальні положення;
- структура комплексу технічних засобів;
- засоби обчислювальної техніки;
- апаратура обміну даними.

6.1. У розділі «Загальні положення» наводять початкові дані, використані при проектуванні технічного забезпечення КСЗІ.

6.2. У розділі «Структура комплексу технічних засобів» наводять:
- обгрунтування вибору структури комплексу технічних засобів (КТЗ), зокрема технічні рішення щодо використання КЗЗ від НСД, мережного та зв'язкового обладнання, комплексу ТЗІ та посилання на документи, що підтверджують їх постачання або придбання;
- опис функціонування КТЗ, зокрема в пускових і аварійних режимах;
- опис розміщення КТЗ на об'єкті з урахуванням виконання вимог техніки протипожежної та електробезпеки, а також дотримання технічних умов експлуатації технічних засобів;
- обгрунтування методів захисту технічних засобів від несанкціонованого доступу до них;
- план розташування КТЗ, систем електроживлення та заземлення на схемі об'єкта, де встановлена ІТС.

6.3. У розділі «Засоби обчислювальної техніки» наводять:
- обгрунтування та опис основних рішень з вибору ПЕОМ;
- обгрунтування та опис основних рішень з вибору типів периферійних засобів, зокрема засобів отримання, контролю, підготовки, збору, реєстрації, зберігання і відображення інформації;
- опис структурної схеми технічних засобів, розміщених у серверному приміщенні (за необхідністю) та на робочих місцях персоналу;
- результати розрахунку або розрахунок кількості засобів і потреби в машинних носіях даних;
- обгрунтування чисельності персоналу, що забезпечує функціонування засобів в різних режимах;
- технічні рішення з оснащення робочих місць персоналу, включаючи опис робочих місць і розрахунок їх площ;
- опис особливостей функціонування засобів в пусковому, нормальному і аварійному режимах.

6.4. У розділі «Апаратура обміну даними» наводять:
- обгрунтування та опис рішень з вибору засобів телекомунікацій та обміну даними, зокрема рішення з вибору каналів зв'язку (цифрових потоків) та результати розрахунку або розрахунок їх кількості;
- рішення з вибору технічних засобів, що забезпечують сполучення ПЕОМ в мережі (комутатор), зокрема результати розрахунку (або розрахунок) їх потреби;
- рішення з вибору технічних засобів, що забезпечують сполучення з каналами зв'язку (модем), зокрема результати розрахунку (або розрахунок) їх потреби;
- вимоги до орендованих каналів зв'язку (цифрових потоків);
- відомості про розміщення пунктів віддалених абонентів і характеристики передаваних даних;
- основні показники надійності, достовірності та інших технічних характеристик засобів телекомунікацій та обміну даними.

7. Документ «Опис програмного забезпечення» містить такі розділи:
- структура ПЗ;
- функції ПЗ;
- операційна система;
- антивірусне ПЗ;
- прикладне та спеціальне ПЗ.

7.1. У розділі «Структура ПЗ» наводять перелік ПЗ з визначенням їх взаємодії та обгрунтуванням застосування кожного з них.

7.2. У розділі «Функції ПЗ» наводять призначення та опис основних функцій для кожного програмного засобу.

7.3. У розділі «Операційна система» наводять:
- найменування, позначення і стислу характеристику обраної ОС та її версії з обгрунтуванням вибору та указанням її виробника;
- найменування керівництва, згідно якого повинна здійснюватися експлуатація обраного варіанту ОС;
- експертний висновок щодо відповідності ОС вимогам НД ТЗІ, його номер та термін дії;
- опис функціонального профілю захищеності та рівня гарантій.

7.4. У розділі «Антивірусне ПЗ» (далі - АВПЗ) наводять:
- найменування, позначення і стислу характеристику обраного АВПЗ та його версії з обгрунтуванням вибору та указанням його виробника;
- найменування керівництва, згідно якого повинна здійснюватися експлуатація обраного варіанту АВПЗ;
- експертний висновок щодо відповідності АВПЗ вимогам НД ТЗІ, його номер та термін дії;
- опис функціонального профілю захищеності та рівня гарантій.

8. Документ «Опис КЗЗ від НСД» містить, крім загальних положень, такі описи:
- призначення та функцій;
- структури;
- ФПЗ;
- послуг безпеки.

8.1. У розділі «Загальні положення» наводять:
- найменування, позначення і стислу характеристику обраного КЗЗ та його версії з обгрунтуванням вибору та указанням його виробника;
- найменування керівництва, згідно якого повинна здійснюватися експлуатація обраного варіанту КЗЗ;
- експертний висновок щодо відповідності КЗЗ вимогам НД ТЗІ, його номер та термін дії.

8.2. У розділі «Опис призначення та функцій» наводять призначення та сферу застосування, перелік основних характеристик та функцій КЗЗ.

8.3. У розділі «Опис функціонального профілю захищеності» наводять функціональний профіль захищеності та рівень гарантій реалізації послуг безпеки, який забезпечує КЗЗ.

8.4. У розділі «Опис послуг безпеки» наводять перелік і опис послуг:
- конфіденційності;
- доступності;
- цілісності;
- спостереженості.

9. Документ «Опис алгоритмів реалізації послуг безпеки» містить опис алгоритмів реалізації КЗЗ таких послуг безпеки:
- ідентифікація та автентифікація користувачів;
- розмежування обов'язків користувачів;
- розмежування доступу користувачів до каталогів і файлів;
- керування потоками інформації;
- контроль за виведенням інформації на друк;
- контроль за експортом/імпортом інформації з використанням з'ємних носіїв;
- гарантоване видалення інформації;
- розмежування доступу прикладних програм до каталогів і файлів;
- контроль цілісності прикладного ПЗ;
- контроль за використанням дискового простору;
- блокування пристроїв інтерфейсу користувача;
- контроль цілісності та самотестування КЗЗ;
- відновлення функціонування КЗЗ після збоїв;
- реєстрація подій;
- ведення архіву зареєстрованих даних аудиту.

10. Документ «Опис організаційної структури» містить такі розділи:
- зміни в організаційній структурі керування ІТС;
- організація Служби захисту інформаці в ІТС;
- реорганізація існуючих підрозділів управління.

10.1. У розділі «Зміни в організаційній структурі управління ІТС» наводять:
- проектні рішення щодо зміни організаційної структури управління ІТС і їх обгрунтування;
- опис змін у взаємодії між підрозділами.

10.2. У розділі «Організація Служби захисту інформаці в ІТС» наводять:
- опис організаційної структури та функцій підрозділу, що створюється з метою захисту інформаці в ІТС;
- опис регламенту робіт Служби захисту інформаці в ІТС;
- перелік категорій працівників і кількість штатних одиниць.

10.3. У розділі «Реорганізація існуючих підрозділів управління» наводять опис змін, обумовлених створенням КСЗІ, які необхідно здійснити в кожному з діючих підрозділів управління ІТС в: організаційній структурі, функціях підрозділів, регламенті роботи, складі персоналу підрозділів.

11. Документ «Відомість устаткування та матеріалів» містить відомості, необхідні для складання кошторисів на придбання і монтаж засобів технічного забезпечення КСЗІ.

12. Документ «Кошторисний розрахунок створення КСЗІ» містить відомості про кошторисну вартість придбання та монтаж засобів технічного забезпечення КСЗІ, а також проведення робіт, що виконуються при створенні КСЗІ.

13. Документ «Проектна оцінка надійності КСЗІ» містить такі розділи:
- вихідні дані;
- методика розрахунку;
- розрахунок показників надійності;
- аналіз результатів розрахунку.

13.1. У розділі «Початкові дані» наводять:
- дані про надійність (паспортні і довідкові) елементів КСЗІ, що враховуються при розрахунку надійності;
- дані про режими та умови функціонування КСЗІ;
- відомості про організаційні форми, режими та параметри експлуатації ІТС.

13.2. У розділі «Методика розрахунку» указують обгрунтування вибору методики розрахунку та нормативно-технічний документ, згідно якого проводять розрахунок, або короткий опис методики розрахунку та посилання на джерела, де вона опублікована.

13.3. У розділі «Розрахунок показників надійності» наводять:
- структури компонентів КСЗІ (комплексу технічних засобів, програмного забезпечення та персоналу) по всіх оцінюваних функціях надійності;
- необхідні обчислення;
- результати розрахунку.

13.4. У розділі «Аналіз результатів розрахунку» наводять:
- підсумкові розрахункові дані по кожній оцінюваній функції (функціональній підсистемі) КСЗІ та кожному нормованому показнику надійності;
- висновки про достатність або недостатність отриманого рівня надійності КСЗІ по кожній оцінюваній функції (функціональній підсистемі) КСЗІ та, за необхідністю, рекомендації з підвищення надійності.

Якщо в обгрунтованих випадках при оцінці надійності КСЗІ не можна врахувати рівень надійності ПЗ і дій персоналу ІТС, то в документі «Проектна оцінка надійності системи» указують відомості за оцінкою надійності КСЗІ тільки з урахуванням надійності комплексу технічних засобів.

Для прикладу можна подивитись деякі проектні документи, що є в Інтернеті:

1. Проект «Розробка та впровадження типових рішень щодо КСЗІ в Автоматизованій інформаційній системі Національної Академії Наук України» (2008):
- Типове Технічне завдання на КСЗІ організації чи установи НАНУ.
- Правила (політика) комп'ютерної безпеки для організацій та установ НАНУ.
- Технічні рішення щодо захисту web-серверів в АІС НАНУ.
- Технічні рішення щодо захисту Windows Serwer 2003 в АІС НАНУ.
- Система управління інцидентами інформаційної безпеки. Керівництво адміністратора.

2. Проектування та введення в дію КСЗІ українського академічного грід-вузла Інституту теоретичної фізики НАНУ як компонента національної грід-інфраструктури на базі автоматизованої мережі обробки даних НАНУ (2011).

Проект КСЗІ в АС класу 1

У разі проектування КСЗІ в АС класу 1 всі документи техно-робочого проекту можуть мати невеликий обсяг, тому їх можна об'єднати в один загальний документ під назвою «Опис КСЗІ».

Він може складатися з таких розділів:
1) зміст;
2) нормативні посилання;
3) загальні відомості;
4) завдання та функції КСЗІ;
5) опис АС та умов її функціонування;
6) опис інформаційної діяльності;
7) заходи антивірусного захисту;
8) заходи захисту інформації від НСД;
9) організаційні заходи захисту;
10) перелік розробленої документації.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика