Создание автоматизированных информационных систем (АС)

1. Стадии и этапы создания автоматизированных информационных систем
2. Техническое задание на создание АИС (системы защиты информации АИС)
3. Виды документов на создание АИС (СЗИ АИС)

1. Стадии и этапы создания автоматизированных информационных систем

Выделяют следующие основные организации-участники создания АС: заказчик (пользователь), разработчик и поставщик. Кроме того в процессе могут участвовать генеральный проектировщик, проектировщик и строительная организация.

Заказчик – организация, для которой создается АС и которая обеспечивает финансирование, приемку работ и эксплуатацию АС, а также выполнение отдельных работ по созданию АС.

Разработчик - организация, осуществляющая работы по созданию АС, представляя заказчику совокупность научно-технических услуг на разных стадиях и этапах создания, а также разрабатывая и поставляя различные программные и технические средства АС.

Поставщик - организация, изготавливающая и поставляющая программные и технические средства по заказу разработчика или заказчика.

Стадии и этапы создания, виды работ на этапах создания автоматизированных систем определяет ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».

Согласно ГОСТ 34.601-90 выделяют следующие стадии создания АС:

• Формирование требований к АС;
• Разработка концепции АС;
Техническое задание;
• Эскизный проект;
• Технический проект;
• Рабочая документация;
• Ввод в действие;
• Сопровождение АС.

По ГОСТ РВ 15.004 определены такие этапы: формирование требований к АС; разработка концепции АС; техническое задание относятся к исследованию и обоснованию разработки, этапы эскизного проекта, технического проекта и рабочей документации – к разработке, этап ввода в действие – к производству, этап сопровождения АС – к эксплуатации.

Рассмотрим этапы ГОСТа РВ 15.004 более подробно.

Стадия: Исследование и обоснование разработки

В этап «Исследование и обоснование разработки» входит:

• Формирование заказчиком исходных требований к выполнению НИР, и рассмотрение их исполнителями работ
• Выбор исполнителей работ на конкурсной основе для размещения заказа;
• Разработка ТТЗ (ТЗ) на выполнение НИР;
• Выбор направления исследований;
• Теоретические и экспериментальные исследования с применением математического моделирования;
• Обобщение и оценка результатов исследований НИР, составной части НИР;
• Приемка НИР.

Детальный анализ деятельности организации

• На этапе детального анализа деятельности организации изучаются задачи, обеспечивающие реализацию функций управления, организационная структура, штаты и содержание работ по управлению организацией, а также характер подчиненности вышестоящим органам управления.
• получения сравнительных характеристик предполагаемых к использованию аппаратных платформ, операционных систем, СУБД, иного окружения;
•  разработки плана работ по обеспечению надежности информационной системы и ее тестирования.

На стадии формирование требований к АС проводится:

1. обследование объекта и обоснование необходимости создания АС;
2. формирование требований пользователя к АС;
3. оформление отчета о выполненной работе и заявки на разработку АС (тактико-технического задания).

Обследование объекта и обоснование необходимости создания АС

Обследование - это изучение и  диагностический анализ организационной структуры организации, ее деятельности и существующей системы обработки информации.

Материалы, полученные в  результате обследования, используются для:

•  обоснования разработки и  поэтапного внедрения систем;
• составления технического задания на разработку систем;
•  разработки технического и рабочего проектов систем.

Результатом этапа является документ - технико-экономическое обоснование проекта, где четко сформулировано, что мы получим, когда получим готовый продукт. В документе желательно отразить не только затраты, но и  выгоду проекта, например время окупаемости проекта, ожидаемый экономический эффект (если его удается оценить).

Технико-экономическое обоснование проекта

Примерное содержание этого документа:

1. ограничения, риски, критические факторы, которые могут повлиять на успешность проекта;
2. совокупность условий, при которых предполагается эксплуатировать будущую систему: архитектура системы, аппаратные и программные ресурсы, условия функционирования, обслуживающий персонал и пользователи системы;
3.  сроки завершения отдельных этапов, форма приемки/сдачи работ, привлекаемые ресурсы, меры по защите информации;
4.  описание выполняемых системой функций;
5.  возможности развития системы;
6.  информационные объекты системы;
7.  интерфейсы и распределение функций между человеком и системой;
8.  требования к программным и информационным компонентам ПО, требования к СУБД;
9.  что не будет реализовано в рамках проекта.

Разработка концепции АС

На этой стадии проводится:

• изучение объекта;
• проведение необходимых научно-исследовательских работ;
• разработка вариантов концепции АС и выбор варианта концепции АС, удовлетворяющего требованиям пользователя;
• оформление отчета о выполненной работе.

Техническое задание на выполнение НИР

На этом этапе осуществляется разработка и утверждение Технического задания на создание АС.

Техническое задание – это исходный технический документ, утверждаемый заказчиком и устанавливающий комплекс технических требований к создаваемым АИС, а также требования к содержанию, объему и срокам выполнения работ по созданию АИС.

При разработке технического задания необходимо решить следующие задачи:

1. установить общую цель создания ИС, определить состав подсистем и функциональных задач;
2. разработать и обосновать требования, предъявляемые к подсистемам;
3. разработать и обосновать требования, предъявляемые к информационной базе, математическому и программному обеспечению, комплексу технических средств (включая средства связи и передачи данных);
4. установить общие требования к проектируемой системе;
5. определить перечень задач создания системы и исполнителей;
6. определить этапы создания системы и сроки их выполнения;
7. провести предварительный расчет затрат на создание системы и определить уровень экономической эффективности ее внедрения.

ТЗ на НИР в общем случае должно состоять из следующих разделов:

• основание для выполнения НИР;
• цели и задачи НИР;
• требования к выполнению НИР;
• тактико-технические (технические) требования к образцу, предлагаемому к созданию (модернизации);
• этапы НИР;
• требования к разрабатываемой документации;
• порядок выполнения и приемки НИР (этапов НИР);
• требования по обеспечению сохранения государственной и военной тайны при выполнении НИР;
• технико-экономические требования;
• сроки выполнения НИР;
• исполнители НИР.

(согласно ГОСТ РВ 15.101-95 Тактико-техническое (техническое) задание на выполнение научно-исследовательских работ.)

Начало работ отсчитывается с даты подписания приказа руководителя организации (решения, распоряжения) об открытии темы. В приказе (решении, распоряжении) руководитель организации формирует коллектив из числа штатных сотрудников с обязательным включением в число исполнителей работ специалиста по защите информации.

Стадия: Раработка

В стадию «Разработка» входит:

• Разработка эскизного проекта;
• Разработка технического проекта;
• Разработка рабочей документации для изготовление опытного образца;
• Изготовление опытного образца;
• Проведение испытаний опытного образца.

Эскизный проект

На стадии эскизного проекта проводится разработка предварительных проектных решений по системе и ее частям и разработка документации на АС и ее части. Эскизный проект разрабатывается с целью установления принципиальных (конструктивных, схемных и др.) решений АИС, дающих общее представление о принципе работы и (или) устройстве АИС, когда это целесообразно сделать до разработки технического проекта или рабочей документации.

Технический проект

Разрабатываются проектные решения по системе и ее частям, документация на АС и ее части; осуществляется разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку и разработка заданий на проектирование в смежных частях проекта объекта автоматизации.

Технический проект разрабатывается с целью выявления окончательных технических решений, дающих полное представление о конструкции изделия, когда это целесообразно сделать до разработки рабочей документации.

Содержание разрабатываемого технического (техно-рабочего) проекта

1. Пояснительная записка с изложением решений по обеспечению ЗИ, составу средств защиты информации с указанием их соответствия требованиям ТЗ.
2. Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации.
3. План организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации.

Мероприятия по защите информации от утечки по техническим каналам относятся к основным элементам проектных решений, которые включаются в соответствующие разделы проекта, и разрабатываются одновременно с ними.

Рабочая документация

На этапе осуществляется:

• разработка рабочей документации на систему и ее части;
• разработка или адаптация программ.

Цель и содержание работ этапа заключаются в разработке РКД для изготовления и проведения испытаний АИС, специального технологического оборудования и оснастки, предназначенных для обеспечения эксплуатации, технического обслуживания и ремонта АИС в процессе эксплуатации, а также программной документации (при необходимости).

Стадия: Производство

Ввод в действие

На этапе ввода в действие осуществляется:

• подготовка объекта автоматизации к вводу АС в действие;
• подготовка персонала;
• комплектация АС поставляемая изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями);
• строительно-монтажные и пусконаладочные работы;
• проведение предварительных испытаний, опытной эксплуатации и приемочных испытаний.

Стадия: Эксплуатация

- выполняются работы в соответствии с гарантийными обязательствами и послегарантийное обслуживание.

Стадии и этапы, выполняемые организациями - участниками работ по созданию АС, устанавливаются в договорах и техническом задании на основе настоящего стандарта (п. 13 ГОСТ 34.601-90).

Схематически это взаимодействие можно представить в виде рисунка:

Порядок создания автоматизированных систем с защитой информации регламентируется ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения."

Для обработки информации, необходимость защиты которой определяется законодательством Российской Федерации или решением ее обладателя, должны создаваться автоматизированные системы в защищенном исполнении, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о защите информации. Реализация требований о защите в автоматизированной системе в защищенном исполнении осуществляется системой защиты информации, являющейся неотъемлемой составной частью автоматизированной системы в защищенном исполнении.

Согласно ГОСТ Р 51624-2000 автоматизированная система в защищенном исполнении – это автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации.

Система защиты информации автоматизированной системы - совокупность всех технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.

Соответствие этапов создания АС в защищенном исполнении:

И между ГОСТ Р 51583 и ГОСТ 34.601-90:

Для обеспечения защиты информации, проводятся следующие мероприятия (Пункт 13 Приказа ФСТЭК России от 11.02.2013 г. № 17):

• Формирование требований к системе защиты информации АСЗИ;
• Разработка системы защиты информации;
• Внедрение системы защиты информации;
• Аттестация АС по требованиям защиты информации и ввод ее в действие;
• Обеспечение защиты информации в ходе эксплуатации аттестованной АС;
• Обеспечение защиты информации при выводе из эксплуатации аттестованной АС;

Соотношение требований приказа и ГОСТ Р 51583 – 2014 приведено в таблице:

Формирование требований к защите защиты информации, содержащейся в информационной системы, осуществляется обладателем информации (заказчиком).

Основные требования к системе защиты информации в АС:

• должна обеспечивать выполнение АС своих основных функций без существенного ухудшения характеристик последней;
• должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;
• должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;
• в систему зашиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации АС;
• должна обеспечивать в соответствии с установленными правилами разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;
• при взаимодействии защищаемой АС с незащищенными АС должна обеспечивать соблюдение установленных правил разграничения доступа;
• должна позволять проводить учет и расследование случаев нарушения безопасности информации в АС;
• не должна своим применением ухудшать экологическую обстановку, быть сложной для пользователя, вызывать психологическое противодействие и желание обойтись без нее.

В процессе формирования требований к СЗИ АС целесообразно найти ответы на следующие вопросы:

1. Какие меры безопасности предполагается использовать?
2. Какова стоимость доступных программных и технических мер защиты?
3. Насколько эффективны доступные меры защиты?
4. Насколько уязвимы подсистемы СЗИ?
5. Имеется ли возможность провести анализ риска (прогнозирование возможных последствий, которые могут вызвать выявленные угрозы и каналы утечки информации)?

Разработка системы защиты информации информационной системы согласно Пункту 15 Приказа ФСТЭК России от 11.02.2013 г. № 17 включает в себя:

1. 1. Проектирование системы защиты информации информационной системы
2. 2. Разработку эксплутационной документации на систему защиты информации информационной системы
3. 3. Макетирование и тестирование системы защиты информации информационной системы (при необходимости)

Типовое содержание работ в части создания системы защиты информации на определенных в ГОСТ 34.601 стадиях и этапах создания автоматизированных систем в защищенном исполнении определено в разделе 6 «Содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении» ГОСТ Р 51583 – 2014.

2. Техническое задание на создание АИС (системы защиты информации АИС)

Порядок разработки технического задания на создание (развитие или модернизации) автоматизированной системы определяет ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы."

ГОСТ 34.602-89 определяет состав и содержание разделов (подразделов) ТЗ на создание АС.

Общие требования к автоматизированной системе по ГОСТ Р 51624 – 2000 представлены на рисунке.

Функциональные требования к АС (согласно п. 5.2 ГОСТ Р 51624 – 2000):

• грифы секретности (конфиденциальности) обрабатываемой в АС информации;
• категорию (класс защищенности) АС;
• цели защиты информации;
• перечень защищаемой в АС информации и требуемые уровни эффективности ее защиты;
• возможные технические каналы утечки информации и способы несанкционированного доступа к информации, несанкционированных и непреднамеренных воздействий на информацию в АС, класс защищенности АС;
• задачи защиты информации в АС.

Требования к эффективности (п. 5.3 ГОСТ Р 51624 - 2000)

Требования к эффективности или гарантиям решения задач защиты информации в АС включают:

• требования по предотвращению утечки защищаемой информации по техническим каналам;
• требования по предотвращению несанкционированного доступа к защищаемой информации;
• требования по предотвращению несанкционированных и непреднамеренных воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств АС;
• требования по выявлению внедренных в помещения и в технические средства специальных электронных устройств перехвата информации;
• требования по контролю функционирования системы защиты информации АС.

Технические требования (п. 5.4 ГОСТ Р 51624 - 2000) включают требования к основным вилам обеспечения АС (техническому и программному), к зданиям (помещениям) или объектам, в которых АС устанавливаются, а также к средствам защиты информации и контроля эффективности защиты информации.

Экономические требования по ЗИ (п. 5.5 ГОСТ Р 51624 - 2000) включают:

• допустимые затраты на создание АС и/или системы защиты информации в АС;
• допустимые затраты на эксплуатацию АС и/или системы защиты информации в АС.

Требования к документации (п. 5.6 ГОСТ Р 51624 - 2000)

Комплектность документации на АС устанавливается в нормативных документах и по ГОСТ 34.201, и дополнительно включает документы по защите информации на автоматизированную систему.

Требования к комплектности конструкторской, технологической и эксплуатационной документации на средства защиты информации и контроля ее эффективности.

На технические средства разрабатывают конструкторскую и эксплуатационную документацию согласно требованиям ЕСКД.

Согласно пункту 14 Приказа ФСТЭК России от 11.02.2013 г. № 17 формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком) с учетом ГОСТ Р 51583 и ГОСТ Р 51624.

Согласно пункту 14.4 Приказа ФСТЭК России от 11.02.2013 г. № 17 требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624.

Автоматизированные системы в защищенном исполнении должны создаваться в соответствии с Техническим заданием, являющимся основным документом, на основании которого выполняются работы, необходимые для создания (модернизации) автоматизированной системы в защищенном исполнении в целом и ее системы защиты информации, и осуществляется приемка этих работ заказчиком (пункт 5.5 ГОСТ Р 51583-2014).

В соответствии с пунктом 4.4 ГОСТ Р 51624-2000 требования по защите информации, предъявляемые к автоматизированным системам в защищенном исполнении, задаются в Техническом задании на создание системы в соответствии с ГОСТ 34.602 в виде отдельного подраздела Технического задания на НИР (ОКР) «Требования по защите информации».

Итак, заказчик определяет : техническое задание на создание информационной системы с отдельным подразделом ТЗ на НИР (ОКР) «требования по защите информации» и техническое задание (частное техническое задание) на создание системы защиты информации информационной системы.

Согласно 3.13. СТР-К. Техническое (частное техническое) задание на разработку СЗИ должно содержать:

• обоснование разработки;
• исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
• класс защищенности АС;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
• требования к СЗИ на основе нормативно-методических документов и установленного класса защищенности АС;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения;
• перечень подрядных организаций-исполнителей видов работ;
• перечень предъявляемой заказчику научно-технической продукции и документации.

Согласно пункту 3.14. СТР-К. Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности организации-заказчика, подрядными организациями и утверждается заказчиком.

Подпункт 14.4 Приказа ФСТЭК России от 11.02.2013 г. № 17 устанавливает требования к системе защиты информации:

• цель и задачи обеспечения защиты информации в информационной системе;
• класс защищенности информационной системы;
• перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
• перечень объектов защиты информационной системы;
• требования к мерам и средствам защиты, применяемым в информационной системе;
• требования к защите информации при информационном взаимодействии.
• с иными информационными системами, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Положения приказа ФСТЭК России от 11.02.2013 г. № 17 используются при создании государственных информационных систем (ГИС), при создании иных ИС нужно руководствоваться положениями СТРК. По решению руководителя организации при создании иных информационных систем могут использоваться положения приказа ФСТЭК России № 17.

При разработке ТЗ на АС в разделе «Требования к системе» должен быть предусмотрен подраздел «Требования по защите информации». Соответственно содержание подраздела «требования по защите информации» в зависимости от вида АС различается: для ГИС – согласно Приказу ФСТЭК России № 17, для иных ИС – в соответствии с СТРК.

Согласно пункту 4.6 ГОСТ Р 51624-2000 в АС должна быть реализована система защиты информации, выполняющая следующие функции:

• предупреждение о появлении угроз безопасности информации;
• обнаружение, нейтрализацию и локализацию воздействия угроз безопасности информации;
• управление доступом к защищаемой информации;
• восстановление системы защиты информации и защищаемой информации после воздействия угроз;
• регистрацию событий и попыток несанкционированного доступа к защищаемой информации и несанкционированного воздействия на нее;
• обеспечение контроля функционирования средств и системы защиты информации и немедленное реагирование на их выход из строя.

Обеспечение ЗИ в АС достигается заданием, реализацией и контролем выполнения требований по защите информации:

1. к процессу хранения, передачи и обработки защищаемой в АС информации;
2. к системе ЗИ;
3. к взаимодействию АС с другими АС;
4. к условиям функционирования АС;
5. к содержанию работ по созданию (модернизации) АСЗИ на различных стадиях и этапах ее создания (модернизации);
6. к организациям (должностным лицам), участвующим в создании (модернизации) и эксплуатации АС;
7. к документации на АС;
8. к АС в целом.

Совокупность нормативных документов, регулирующих постановку технического задания на АС:

Цели защиты информации определены ст. 16 Федеральный закон 149 – ФЗ, п. 25 Положение о ГСЗИ, п. 5.2.3 ГОСТ Р 51624 – 2000, п. 5.2 ГОСТ 51583 – 2014.

Цели защиты информации в АС должны включать:

• содержательную формулировку цели защиты;
• показатель эффективности достижения цели и требуемое его значение;
• время актуальности каждой цели защиты информации (этапы жизненного цикла, в течение которых цель должна достигаться).

Защита информации в информационной системе осуществляется с целью предотвращения неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении защищаемой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.

Целями защиты информации в информационной системе являются:

• предотвращение утечки информации по техническим каналам;
• предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в системах информатизации;
• соблюдение правового режима использования массивов, программ обработки информации, обеспечения полноты, целостности, достоверности информации в системах обработки.

В ст. 16 Федерального закона 149 – ФЗ и п. 5.2 ГОСТ 51583 – 2014 не предусмотрена защита информации от утечки по техническим каналам.

Примером формирования цели защиты информации согласно подпункту 5.2.3.1 ГОСТ Р 51264 – 2000 (примерная формулировка) может быть такая:

«Общей целью защиты информации в информационной системе является предотвращение или снижение величины ущерба, наносимого владельцу и/или пользователю системы в течение всего жизненного цикла автоматизированной системы, вследствие реализации угроз безопасности информации, с показателем эффективности защиты информации 0,9».

Частными целями защиты информации, обеспечивающими достижение общей цели защиты информации в информационной системе, являются:

• предотвращение утечки информации по техническим каналам;
• предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации;
• соблюдение правового режима использования массивов, программ обработки информации, обеспечения полноты, целостности, достоверности информации в системах обработки;
• сохранение возможности управления процессом обработки и использования информации в условиях несанкционированных воздействий на защищаемую информацию.

Задачи обеспечения защиты информации устанавливаются согласно п. 26 Положение о ГСЗИ, п.7 Приказа ФСТЭК России от 11.02.2013г. № 17, п. 5.2.6 ГОСТ Р 51624 – 2000.

Формулировка каждой задачи защиты информации в АС должна включать:

1. наименование конкретной угрозы безопасности для АС (ее компонента), которую необходимо предотвратить (устранить) при решении задачи;
2. формулировку способа решения задачи;
3. перечень функций, которые должны быть реализованы для решения данной задачи;
4. требования к эффективности или гарантиям решения задачи;
5. ограничения на ресурсы АС, выделяемые на решение данной задачи.

Формирование задачи защиты информации (примерная формулировка): «Защита информации, содержащейся в автоматизированной системе должна обеспечивается путем выполнения обладателем информации (заказчиком) и (или) оператором требований к организации защиты информации, содержащейся в автоматизированной системе, и требований к мерам защиты информации, содержащейся в автоматизированной системе.

Система защиты информации в АС должна обеспечивать выполнение следующих задач:

• предотвращение перехвата защищаемой информации, передаваемой по каналам связи;
• предотвращение утечки обрабатываемой защищаемой информации за счет побочных электромагнитных излучений и наводок;
• исключение несанкционированного доступа к обрабатываемой или хранящейся в АС защищаемой информации;
• предотвращение несанкционированных и непреднамеренных воздействии, вызывающих разрушение, уничтожение, искажение защищаемой информации или сбои в работе средств АС».

Каким образом обеспечивается выполнение задач защиты информации (примерная формулировка):
«Предотвращение перехвата техническими средствами информации, передаваемой по каналам связи, должна обеспечиваться применением криптографических средств защиты, а также проведением организационно-технических и режимных мероприятий. Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок должно обеспечиваться применением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами».

Вопрос о том, каким образом обеспечивается выполнение задач защиты информации, определен в п.26 Положения о ГСЗИ.

Класс защищенности АС (категория, уровень)

Приказ ФСТЭК России от 11.02.2013 г. № 17, РД Гостехкомиссии России.

Требования к системе защиты информации определяются в зависимости от класса защищенности (категории – АС ГТ, уровень защищенности - ИСПДн) информационной системы и угроз безопасности информации.

Перечень объектов защиты информационной системы определяется в соответствии с п. 24 Положение о ГСЗИ, п. 4.8 ГОСТ Р 51624 – 2000, СТР и СТР – К.

Согласно п.2.7 СТР – К СЗИ АИС должна обеспечивать защиту:

• средств и систем АИС, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (средства изготовления, тиражирования документов и другие технические средства обработки графической и буквенно-цифровой информации),
• программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;
• технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях.

Согласно п. 24 Положения о ГСЗИ в интересах обеспечения защиты информации в АИС защите подлежит:

1. Информационные ресурсы, содержащие сведения, отнесенные к государственной или служебной тайне, представленные в виде носителей на магнитной и оптической основе, информативных физических полей, информативных массивов и баз данных.
2. Средства и системы информатизации (……, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (………..смысловой и буквенно-цифровой информации), используемые для обработки информации, содержащей сведения, отнесенные к государственной или служебной тайне.
3. Технические средства и системы, не обрабатывающие информацию, но ……., где обрабатывается (циркулирует) информация, содержащая ….. тайне.

Требования к мерам защиты установлены п. 20, прил. 2 Приказа ФСТЭК России от 11.02.2013 г. № 17, п. 5.3 ГОСТ Р 51583 - 2014, п. 5.3 ГОСТ Р 51624 – 2000, сборником РД (руководящих документов) ФСТЭК России.

Меры защиты информационных ресурсов АИС достаточно многочисленны:

• Идентификация и аутентификация;
• Управление доступом;
• Ограничение программной среды;
• Защита машинных носителей;
• Регистрация событий безопасности;
• Антивирусная защита;
• Обнаружение вторжений;
• Анализ защищенности;
• Обеспечение целостности ИС и информации;
• Обеспечение доступности информации;
• Защита среды виртуализации;
• Защита связи и передачи данных;
• Защита технических средств.

Согласно приказу ФСТЭК России от 11.02.2013 г. № 17 Организационные и технические меры защиты информации, реализуемые в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик должны обеспечивать:

• идентификацию и аутентификацию субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защиту машинных носителей информации;
• регистрацию событий безопасности;
• антивирусную защиту;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности информации;
• целостность информационной системы и информации;
• доступность информации;
• защиту среды виртуализации;
• защиту технических средств;
• защиту информационной системы, ее средств, систем связи и передачи данных.

Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности информационных систем приведены в приложении № 2 к приказу ФСТЭК России от 11.02.2013 г. № 17. Для выбора мер защиты информации для соответствующего категории АИС ГТ применяются методические документы, разработанные и утвержденные ФСТЭК России.

Требования к средствам защиты установлены Указом Президента Российской Федерации от 17 марта 2008 г. № 351, п. 27 Положение о ГСЗИ, п. 5.4.5 ГОСТ Р 51624 – 2000, п. 26 Приказа ФСТЭК России от 11.02.2013 № 17, РД ФСТЭК России.

Требования к защите информации при информационном взаимодействии с иными информационными системами установлены п. 27 Положения о ГСЗИ, п. 5.4.5 ГОСТ Р 51624 – 2000, Приказами Минкомсвязи России от 23.03.2009 № 41 и от 27.12.2010 № 190, Приказом ФНС России от 13.01.2012 № ММВ-7-4/6, РД ФСТЭК России.

Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации (Приказ ФСТЭК России от 11.02.2013 г. № 17).

Определение требований к экранированию, выполняющему функции разграничения информационных потоков на границе защищаемой сети изложено в «Требованиях к межсетевым экранам» 2016 год.

К организационно-режимным мерам относятся:

1. контроль доступа посторонних лиц к ТС и каналам связи в КЗ участника взаимодействия;
2. обслуживание ИС, подключенных к системе взаимодействия, только лицами, имеющими право доступа к информации, содержащейся в указанных информационных системах;
3. исключения доступа посторонних лиц к защищаемой (в т.ч. парольной и ключевой) информации, хранящейся на используемых и отчуждаемых носителях информации;
4. учет лиц, имеющих доступ к оконечному оборудованию, обеспечивающему криптографическую защиту каналов связи системы взаимодействия, расположенному в КЗ участника взаимодействия, а также лиц, имеющих возможность изменения конфигурации ИС данного участника взаимодействия, подключенных к системе взаимодействия.

Пример раздела «Требования по защите информации»:

«Организационные - технические меры защиты информации и сертифицированные средства защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, должны обеспечивать реализацию требований приложения № 2 приказа ФСТЭК России от 11 февраля 2013 г. № 17 к составу мер защиты информации и базовому набору для информационной системы 2 класса защищенности регионального масштаба».

«Система защиты информации в АИС должна обеспечивать выполнение следующих требований по идентификации и аутентификации пользователей :

• идентификации и аутентификации пользователей, являющихся работниками организации;
• идентификации и аутентификации устройств, в т.ч. стационарных, мобильных и портативных;
• управление идентификаторами, в т.ч. создание, присвоение, уничтожение идентификаторов;
• управления средствами аутентификации, в т.ч. хранение, выдача, инициализация, блокирования средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
• идентификации и аутентификации пользователей, не являющихся работниками организации;
• ……….. и т.д.

3. Система документов на создание автоматизированных систем

Система документов АС – это виды и комплектность документации, разрабатываемых на стадиях создания автоматизированных систем. Ее определяет ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.

Основные определения ГОСТ 34.201-89:

Документация на автоматизированную систему - комплекс взаимоувязанных документов, в котором полностью описаны все решения по созданию и функционированию системы, а также документов, подтверждающих соответствие системы требованиям технического задания и готовность ее к эксплуатации (функционированию).

Проектно-сметная документация на АС - часть документации на АС, разрабатываемая для выполнения строительных и монтажных работ, связанных с созданием АС.

Рабочая документация на АС - часть документации на АС, необходимой для изготовления, строительства, монтажа и наладки автоматизированной системы в целом, а также входящих в систему программно-технических, программно-методических комплексов и компонентов технического, программного и информационного обеспечения.

Согласно п.2.1. ГОСТ 34.201-89 перечень наименований разрабатываемых документов и их комплектность на систему и ее части должен быть определен в Техническом задании на создание автоматизированной системы.

ГОСТ 34.201-89 устанавливает следующие виды документов: проектно – сметная документация и эксплуатационная документация. Проектная документация СЗИ АС включает в себя:

• Описание системы защиты информации;
• Концепция защиты информации;
• Модель защиты информации;
• Описание интерфейса СЗИ и пользователя;
• Описание применяемых средств защиты информации;
• Описание результатов анализа и идентификации скрытых каналов передачи информации;
• Описание таблицы соответствия формальных спецификаций и объектных кодов версий программных компонент СЗИ.

Эксплуатационная документация СЗИ АС включает в себя:

• Руководство пользователя;
• Руководство администратора защиты информации;
• Руководство по тестированию системы защиты информации;
• Другие документы.

Рекомендуемый состав проектной документации на АИС

предпроектная стадия:

1. Аналитическое обоснование необходимости создания СЗИ.
2. Акт классификации АС (ПЭВМ, средств ВТ).
3. Перечень устанавливаемых ОТСС и ВТСС.
4. Техническое задание на создание (реконструкцию) ОИ.

стадия проектирования:

1. Эскизный проект на создание (реконструкцию) ОИ.
2. Технический проект на создание (реконструкцию) ОИ.
3. Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации.

стадия ввода АИС в эксплуатацию:

1. Приемо-сдаточный акт средств ЗИ.
2. Акты внедрения средств ЗИ.
3. Протоколы аттестационных испытаний и заключение по их результатам.
4. Аттестат соответствия АИС требованиям по безопасности информации.

Перечень работ, выполняемых на стадии ввода в эксплуатацию объекта информатизации и СЗИ:

• Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
• Приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• Аттестация объекта информатизации по требованиям безопасности информации.

Оформляемые документы:

1. Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний.
2. Протоколы аттестационных испытаний и заключение по их результатам.
3. Аттестат соответствия объекта информатизации требованиям по безопасности информации.
4. Приказ (указание, решение) о назначении лиц, ответственных за эксплуатацию объекта информатизации.
5. Приказ (указание, решение) о разрешении обработки в АС (обсуждении в ЗП) конфиденциальной информации.

На стадии "Ввод в действие" согласно ГОСТ 34.201-89 разрабатывают следующие организационно-распорядительные документы:

• Акт завершения работ;
• Акт приемки в опытную эксплуатацию;
• Акт приемки в промышленную эксплуатацию;
• План-график работ;
• Приказ о составе приемочной комиссии;
• Приказ о проведении работ;
• Программа работ;
• Протокол испытаний;
• Протокол согласования.

Рекомендуемый состав организационно-распорядительной документации

Оформляются приказы (указания, решения):

• на проектирование объекта информатизации и назначение ответственных исполнителей;
• на проведение работ по защите информации;
• о назначении лиц, ответственных за эксплуатацию объекта информатизации;
• на разрешение обработки в АС конфиденциальной информации.

Требования к содержанию документов на автоматизированную систему определяет РД 50-34.698-90 "Методические указания. Информационная технология."

Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов.

Номенклатуру дополнительной документации по защите информации на автоматизированную систему определяет ГОСТ Р 51624-2000 «Защита информации. Автоматизированные информационные системы в защищенном исполнении». Согласно ему определена следующая дополнительная документация:

• Схема первичного электропитания основных и вспомогательных технических средств;
• Схема заземления основных и вспомогательных технических средств;
• Спецификация основных и вспомогательных технических средств, программных средств;
• Руководство для абонентов АС (сети) по режимным вопросам;
• Перечень контрольных испытаний и проверок (объем и периодичность) по подтверждению защищенности АС;
• Предписание на эксплуатацию ТС;
• Сертификат соответствия (на каждое ТС, ПС системы и СрЗИ);
• Акт категорирования средств АС и системы в целом по вопросам защиты информации;
• Акт классификации АС в части защиты от НСД к информации в системе;
• Аттестат соответствия АС требованиям НД по защите информации;
• Формуляр по защите информации (технический паспорт);
• Концепции, положения, руководства, наставления, инструкции, уставы, правила, нормы, модели (по ГОСТ Р 50600).

Структуру и содержание программы и методики аттестационных испытаний объектов информатизации определяет Национальный стандарт Российской Федерации ограниченного распространения ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методика аттестационных испытаний».

Разделы документа:

1. Общие положения
2. Программа аттестационных испытаний объектов информатизации
3. Методика аттестационных испытаний объектов информатизации

Раздел «Общие положения» состоит из:

• Сведения о наименовании объекта информатизации;
• Сведения о руководителе аттестационной комиссии и ее членах;
• Перечень НПА, НМД и ГОСТ;
• Перечень задач, решаемых в ходе аттестации;
• Описание методов проверок;
• Перечень контрольно-измерительной аппаратуры;
• Порядок действий АК и заявителя в ходе выявления нарушений.

Раздел «Программа аттестационных испытаний АС (ИС)» состоит из:

• Проверка структуры, состава и условий эксплуатации;
• Проверка правильности категорирования и классификации;
• Проверка достаточности представленных документов;
• Проверка уровня подготовки специалистов;
• Проверка выполнения требований безопасности информации к помещению;
• Проведение испытаний;
• Подготовка отчетной документации и оценка результатов испытаний;
• Подготовка протоколов эффективности принятых мер ЗИ от утечки по ТК;
• Оформление материалов испытаний и составление заключения;
• Подготовка отчетной документации и оценка результатов испытаний;
• Установление продолжительности работ по пунктам программы;
• Проведение контроля соответствия СЗИ требованиям БИ в процессе эксплуатации.

Допускается устанавливать особенности аттестации распределенной ИС на основе результатов испытаний выделенного набора ее сегментов. Требования к содержанию ПАИ СИРД и средств обработки речевой и видеоинформации аналогичны.

Раздел "Методика аттестационных испытаний АС (ИС)" состоит из:

• Анализ полноты исходных данных, проверка их соответствия реальным условиям;
• Исследование технологического процесса обработки и хранения информации;
• Проверка состояния организации работ и выполнения ОТМ по ЗИ, оценка правильности категорирования и классификации, проверка полноты разработки ОРД и ЭД, уровня подготовки специалистов, помещения;
• Проверка АС на соответствие требованиям по ЗИ за счет утечки ПЭМИН от О(В)ТСС;
• Проверка выполнения требований по защите АС от утечки информации за счет возможно внедренных электронных устройств перехвата информации в ОТСС иностранного производства;
• Проверка АС на соответствие требованиям по ЗИ от НСД;
• Проверка АС на соответствие требованиям по ЗИ от специальных программных воздействий на нее и ее носители.

Нормативные правовые документы

1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
2. Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
3. Постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. № 912-51 «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам».
4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных».
5. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Нормативные и методические документы

1. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».
2. ГОСТ 34.601-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».
3. ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
4. ГОСТ Р 51624-2000 «Защита информации. Автоматизированные информационные системы в защищенном исполнении».
5. ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
6. ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
7. ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».
8. ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем».
9. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
10. ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса».
11. ГОСТ Р 54869 «Требования к управлению проектом для обеспечения эффективного достижения целей проекта».
12. ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель».
13. ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности».
14. ГОСТ Р ИСО/МЭК ТО 15446-2008 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности».
15. ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».
16. ГОСТ Р ИСО/МЭК 21827-2010 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса».