06.60 Этапы проектирования комплексной системы обеспечения информационной безопасности и требования к ним: предпроектное обследование, техническое задание, техническое проектирование, испытания и внед
Прислано GMan1990 March 16 2015 18:21:02

6 тема, 5 вопрос. (61) Этапы проектирования КСИБ и требования к ним: предпроектное обследование, техническое задание, техническое проектирование, рабочее проектирование, испытания и внедрение в эксплуатацию, сопровождение.

В соответствии с ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания» этапами создания КСИБ являются:

- Формирование требований к АС
- Разработка концепции АС
- Техническое задание
- Эскизный проект
- Технический проект
- Рабочая документация
- Ввод в действие
- Сопровождение АС
Основные этапы построения КСЗИ:
1. Обследование предприятия производится с целью выявления:
- объектов ЗИ и определения целей, функций, задач и состава основных компонент СЗИ).
- Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки
- Выявление множества потенциально возможных угроз и каналов утечки информации
2. Предпроектная стадия:
- разработка ТЗ - указывается порядок проведения проектных и др. работ, их очередность, стадии, этапы, организации-исполнители, составляется план – график мероприятий по вводу в действие системы. Цель разработки ТЗ - это разработка и обоснование требований в структуре систем защиты.
- ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы.
3. Стадия рабочего проектирования:
- разработка технического проекта. Могут рассматриваться 2-3 варианта решения задачи по созданию системы защиты, все варианты сопровождаются расчетом эффективности, на основе которого могут быть сделаны выводы о наиболее рациональном
- детализируется организационные, технические, технологические идеи и решения, содержащиеся в техническом проекте;
Осуществление контроля целостности и управление системой ЗИ
Определение информации, подлежащей защите
Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки
Выявление множества потенциально возможных угроз и каналов утечки информации
Определение требований к системе защиты
Определение средств защиты информации и их характеристик
Внедрение и организация использования выбранных мер, способов и средств защиты
Уточнение требований к СЗИ

- происходит подготовка рабочих. помещений,
- утверждение спецификаций оборудования,
- монтаж и наладка технических средств,
- подготовка нормативно-справочной документации, документационное оформление самого проекта.
4. Стадия внедрения (апробации и ввода в эксплуатацию):
- монтаж, настройка защитных систем. Необходимо, чтобы участвовали те сотрудники, которые в дальнейшем будут их эксплуатировать уровень организации технологических процессов.
- обучение персонала,
- доработка отд. компонентов системы,
- составление приемно-сдаточного акта.
5. Стадия эксплуатация включает:
- уточнение требований, предъявляемых к СЗИ на данном предприятии,
- корректировку проектных решений,
- отладку средств и технологии выполнения функций по эксплуатации,
- оценку устойчивости системы к негативным воздействиям,
- организационно-техническое и программное сопровождение работы технических комплексов
- контроль состояния и оценки качества функционирования КСЗИ;
- координация и контроль работы подразделений, обеспечивающих функционирование КСЗИ;
- проверка по действующим методикам соблюдение треб-й нормативных документов по защите;
- оценка обоснованности или необходимости корректировки принимаемых решений и мер по ЗИ;
- внесение изменений и дополнений в норм-методические, мат-тех и кадровое обеспечение КСЗИ.
Система ГОСТов и РД:
1. Серия 34
a. ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения
b. ГОСТ 34.201-89 Виды, комплектность и обозначения документов при создании автоматизированных систем.
c. ГОСТ 34.601-90 Автоматизированные системы. Стадии создания.
- Формирование требований к АС
- Разработка концепции АС
- Техническое задание
- Эскизный проект
- Технический проект
- Рабочая документация
- Ввод в действие
- Сопровождение АС
d. ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы.
e. ГОСТ 34.603-92 Виды испытаний автоматизированных систем
f. РД 50-34.698-90 Автоматизированные системы. Требования к содержанию документов.
2. ГОСТ Р
a. ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
b. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
c. ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
d. ГОСТ Р 51.583-2000 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
e. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.
f. ГОСТ Р 51624-2000 Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.
g. ГОСТ Р 52069.0-2003. Защита информации. Система стандартов. Основные положения.
h. ГОСТ Р 53112-2008. Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний.
i. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.
3. ГОСТ РО
a. ГОСТ РО 0043-003-2012. Аттестация объектов информатизации. Общие положения.
b. ГОСТ РО 0043-004-2013. Программа и методики аттестационных испытаний.
Техническое задание (ТЗ), или тактико-техническое задание (ТТЗ) — исходный технический документ, утверждаемый заказчиком работ и устанавливающий комплекс тактико-технических требований к создаваемому изделию, а также требования к содержанию, объемам и срокам выполняемых работ.
В процессе проектирования сложного объекта (системы), требующего участия нескольких разработчиков, создаются частные технические задания на подсистемы.
Регламентировано: - ГОСТ 19.201-78. Единая система программной документации. Техническое задание. Требования к содержанию и оформлению (кратко изложено содержание ТЗ); - ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы[6](достаточно подробно изложены состав и содержание ТЗ); - ГОСТ 25123-82. Машины вычислительные и системы обработки данных. Техническое задание. Порядок построения, изложения и оформления[1] (приведен порядок построения ТЗ).
Разделы ТЗ по ГОСТ 34.602-89:
1. Общие сведения:
- полное наименование системы и ее условное обозначение;
- шифр темы или шифр (номер) договора;
- наименование предприятий (объединений) разработчика и заказчика (пользователя) системы и их реквизиты;
- перечень документов, на основании которых создается система, кем и когда утверждены эти документы;
- плановые сроки начала и окончания работы по созданию системы;
- сведения об источниках и порядке финансирования работ;
- порядок оформления и предъявления заказчику результатов работ по созданию системы (ее частей), по изготовлению и наладке отдельных средств (технических, программных, информационных) и программно-технических (программно-методических) комплексов системы.
2. Назначение и цели создания (развития) системы:
- назначение системы;
- цели создания системы.
3. Характеристика объектов автоматизации:
- краткие сведения об объекте автоматизации или ссылки на документы, содержащие такую информацию;
- сведения об условиях эксплуатации объекта автоматизации и характеристиках окружающей среды.
4. Требования к системе:
- требования к системе в целом;
- требования к функциям (задачам), выполняемым системой;
- требования к видам обеспечения.
5. Состав и содержание работ по созданию системы:
- перечень стадий и этапов работ по созданию системы в соответствии с ГОСТ 24.601,
- сроки их выполнения,
- перечень организаций - исполнителей работ,
- ссылки на документы, подтверждающие согласие этих организаций на участие в создании системы,
- запись, определяющую ответственного (заказчик или разработчик) за проведение этих работ.
- перечень документов, по ГОСТ 34.201-89, предъявляемых по окончании соответствующих стадий и этапов работ;
- вид и порядок проведения экспертизы технической документации (стадия, этап, объем проверяемой документации, организация-эксперт);
- программу работ, направленных на обеспечение требуемого уровня надежности разрабатываемой системы (при необходимости);
- перечень работ по метрологическому обеспечению на всех стадиях создания системы с указанием их сроков выполнения и организаций-исполнителей (при необходимости).
6. Порядок контроля и приемки системы:
- виды, состав, объем и методы испытаний системы и ее составных частей (виды испытаний в соответствии с действующими нормами, распространяющимися на разрабатываемую систему);
- общие требования к приемке работ по стадиям (перечень участвующих предприятий и организаций, место и сроки проведения), порядок согласования и утверждения приемочной документации;
- статус приемочной комиссии (государственная, межведомственная, ведомственная).
7. Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие - перечень основных мероприятий и их исполнителей, которые следует выполнить при подготовке объекта автоматизации к вводу АС в действие:
- приведение поступающей в систему информации (в соответствии с требованиями к информационному и лингвистическому обеспечению) к виду, пригодному для обработки с помощью ЭВМ;
- изменения, которые необходимо осуществить в объекте автоматизации;
- создание условий функционирования объекта автоматизации, при которых гарантируется соответствие создаваемой системы требованиям, содержащимся в ТЗ;
- создание необходимых для функционирования системы подразделений и служб;
- сроки и порядок комплектования штатов и обучения персонала.
8. Требования к документированию:
- согласованный разработчиком и Заказчиком системы перечень подлежащих разработке комплектов и видов документов, соответствующих требованиям ГОСТ 34.201-89 и НТД отрасли заказчика; перечень документов, выпускаемых на машинных носителях; требования к микрофильмированию документации;
- требования по документированию комплектующих элементов межотраслевого применения в соответствии с требованиями ЕСКД и ЕСПД;
- при отсутствии государственных стандартов, определяющих требования к документированию элементов системы, дополнительно включают требования к составу и содержанию таких документов.
9. Источники разработки - документы и информационные материалы (технико-экономическое обоснование, отчеты о законченных научно-исследовательских работах, информационные материалы на отечественные, зарубежные системы-аналоги и др.), на основании которых разрабатывалось ТЗ и которые должны быть использованы при создании системы.
Технический проект (ТП) — стадия разработки конструкторской документации на изделие или стадия создания автоматизированной системы. Понимается совокупность технических документов, которые содержат окончательные проектные решения по изделию (системе).
Работы по созданию (развитию) автоматизированной системы, выполняемые на стадии «Технический проект», регламентируются документом ГОСТ 34.601-90 и в общем случае содержат следующие этапы: 1. Разработка проектных решений по системе и её частям. 2. Разработка проектной документации на автоматизированную систему и её части. 3. Разработка и оформление документации на поставку изделий для комплектования автоматизированной системы и (или) технических требований (технических заданий) на их разработку. 4. Разработка заданий на проектирование в смежных частях проекта объекта автоматизации. Перечень документов, создаваемых на стадии «Технический проект», определяется документом ГОСТ 34.201-89. Требования к содержанию документов технического проекта приведены в руководящем документе по стандартизации РД 50-34.698-90.
На данных этапах происходит разработка проектных решений АС и создание технической документации:
1. Пояснительная записка к техническому (эскизному) проекту
2. Схема организационной структуры
3. Схема комплекса технических средств (КТС)
4. Схема функциональной структуры
5. Схема автоматизации
6. Перечень входных и выходных сигналов и данных
7. Описание автоматизированных функций и т.д.