Надежно защищен только выключенный компьютер. – Евгений Касперский
© Иван Андреевич Трещев, 2019
ISBN 978-5-4496-3257-9
Создано в интеллектуальной издательской системе Ridero
Защищенные автоматизированные системы сегодня необходимы не только в сфере обеспечения обороноспособности и безопасности государства, но и в банковской сфере, области информационных технологий, телекоммуникационных систем и других.
Автоматизированная система = персонал + техника + документация.
Конечно же каждое предприятие полностью отвечает за все 3 составляющих, обеспечивающих функционирование автомазированных систем. Но разработка документаци – это действительно достижимая цель. Решение задач по разработке документации позволит достичь ощутимых результатов за довольно небольшой промежуток времени.
Мы не будем в данной книге подробно останавливаться на подборе персонала, как и на выборы техники для автоматизированных систем. Каждое предприятие самостоятельно решает данные вопросы в рамках имеющихся бюджетов.
К сожалению любая система содержит уязвимости и злоумышленники вполне способны их эксплуатировать.
В нашей стране существует методология построения систем в защищенном исполнении. Она конечно же не претендует на то, что способна отразить все атаки направленные на нее, но при выполнении определенных требований, способна обеспечить минимально необходимый уровень защищенности.
Данная книга будет полезна как студентам изучающим вопросы создания автоматизированных систем в защищенном исполнении так и действующим специалистам-практикам, отвечающим за информационную безопасность на предприятиях.
Книга ориентирована на проведение занятий со студентами в интерактивной – игровой форме. Точнее в форме ролевой игры, где студент выступает в роли специалиста отвечающего за организационное обеспечение информационной безопасности соответствующей автоматизированной системы, а преподаватель в роли комиссии по приемке документации. Причем отметим, что студенты могут объединяться в группы для создания документации, специализироваться на создании отдельных документов для своих сокурсников, но в конечном итоге каждый из них должен разработать полный комплект документов на автоматизированную систему.
Навык разработки и работы с документами является одним из самых важных не только для специалста по защите информации, но и для любого сотрудника.
Книга начинается со спецификации для АС Сотовый, далее по тексту могут встретиться документы для других АС, но вцелом важна идеология.
Все имена, фамилии и отчетсва, наименования предприятий являются вымышленными и использованы лишь в ознакомительных целях. Все возможные совпадения с реальными учреждениями или людьми являются случайными.
Спецификация документации
на автоматизированную систему хранения и обработки данных АС СОТОВЫЙ
В настоящем Техническом задании используются следующие сокращения:
АМДЗ – аппаратный модуль доверенной загрузки
АРМ – автоматизированное рабочее место
АСЗИ – автоматизированная система в защищенном исполнении
АС – автоматизированная система
АС СОТОВЫЙ – автоматизированная система хранения и обработки данных в защищенном исполнении
НСД – несанкционированный доступ
ОПО – общесистемное программное обеспечение
ОС – операционная система
ПО – программное обеспечение
ПЭВМ – персональная электронно-вычислительная машина
ПЭМИН – побочные электромагнитные излучения и наводки
РД – руководящий документ
РСО – режимно-секретный отдел
СВТ – средства вычислительной техники
СЗИ – система защиты информации
ТЗ – техническое задание
ФЗ – федеральный закон
ОБЩИЕ СВЕДЕНИЯ
Полное наименование системы и ее условное обозначение
Полное наименование системы: Автоматизированная система хранения и обработки данных.
Краткое наименование системы: АС СОТОВЫЙ.
Шифр темы или шифр договора
Шифр системы – АС СОТОВЫЙ.
Номер контракта —
Наименование предприятий разработчика и заказчика системы и их реквизиты
Заказчиком системы является Закрытое акционерное общество «МТС».
Адрес заказчика: 681013, г. Комсомольск-на-Амуре, проспект Ленина, д.27.
Разработчиком системы является Общество с ограниченной ответственностью «Страж».
Адрес разработчика: 681014, г. Комсомольск-на-Амуре, Победы проспект, д.28.
1.4 Перечень документов, на основании которых создается система
Настоящее Техническое Задание разработано в соответствии с требованиями ГОСТ 34.602—89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
При разработке автоматизированной системы и создании проектно—эксплуатационной документации Исполнитель должен руководствоваться требованиями следующих нормативных документов Госстандарта:
– ГОСТ 34. Информационная технология. Комплекс стандартов на автоматизированные системы;
– РД 50—34.698—90. Методические указания. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов.
Разрабатываемая система должна соответствовать законодательным, нормативным и методическим документам Российской Федерации, в том числе в части определения прав собственности на информацию и обеспечения контроля целостности и подлинности информации, порядка применения технологии электронной цифровой подписи. При разработке подсистемы защиты от несанкционированного доступа следует руководствоваться следующими нормативными документами:
– Конституция РФ, от 12.12.1993 г.
– ГОСТ 50922—96. Защита информации. Основные термины и определения;
– ГОСТ 51583—2000. Порядок создания АС в защищенном исполнении;
– Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем. 1992 г.;
– Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. 1992 г.;
– Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технически средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. 1992 г.;
– Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. 1992 г.
– ГОСТ 34.602—89. «Информационная технология. Техническое задание на создание автоматизированной системы».
– ГОСТ 34.601—90. «Автоматизированные системы. Стадии создания».
– ГОСТ 34.201—89. «Виды, комплектность и обозначение документов при создании автоматизированных систем».
– ГОСТ Р 51275—2006. «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения».
– ГОСТ Р 50739—95. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
– ГОСТ Р 51624—2000. «Защита информации. Автоматизированные системы в защищенном исполнении».
– ГОСТ Р 50600—93. «Защита секретной информации от технической разведки. Система документов. Общие положения».
– ГОСТ 20.57.406—81. «Методы испытаний изделий электронной техники. Методики оценки возможностей ИТР (МВТР-87 с изменениями)».
– ГОСТ Р 51318.22—99. «Радиопомехи индустриальные от оборудования информационных технологий»
– ГОСТ Р 51319—99. «Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний»
– ГОСТ Р 51320—99. «Методы испытаний технических средств – источников индустриальных радиопомех»
– ОТТ 1.1.8—90. «Общие требования по защите от иностранной технической разведки».
– ОТТ 1.2.8—89. «Общие требования к методам контроля за эффективностью защиты от иностранной технической разведки».
– ОТТ 2.1.27—94. «Средства противодействия иностранной технической разведке. Общие тактико-технические требования. (ТТТ)».
– ГОСТ РВ 50170—92. «Противодействие иностранной технической разведке. Термины и определения».
– ГОСТ Р 29339—92. «Защита информации от утечки за счет ПЭМИН. Общие технические требования».
– ГОСТ Р 50752—95. «Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний».
– ГОСТ Р 50600—93. «Защита секретной информации от технических разведок. Система документов. Общие положения».
– ГОСТ 34.003—90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
– ГОСТ 16504—81. «Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения».
– ГОСТ Р 50543—93. «Конструкции базовые несущие средств вычислительной техники. Требования по обеспечению защиты информации и электромагнитной совместимости методом экранирования».
– ГОСТ Р 50972—96. «Защита информации. Радиомикрофоны. Технические требования к защите информации от утечки секретной информации».
– ГОСТ Р 51188—98. «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство».
– ГОСТ Р 51275—99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию».
– ГОСТ Р 29339—92. «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. ОТТ».
– ГОСТ. Р 50170—92. «Противодействие ИТР. Термины и определения».
– ГОСТ.29037—91. «Совместимость технических средств электромагнитная. Сертификационные испытания. Общие положения».
– ГОСТ.28689—90. «Радиопомехи от ПЭВМ. Нормы и методы испытаний».
– РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения».
– РД Гостехкомиссии России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».
– СНиП 2.04.05—91. «Отопление, вентиляция и кондиционирование воздуха».
– ГОСТ 12.2.007—75. «Изделия электротехнические. Общие требования безопасности».
– Федеральный закон от 25 февраля 1995 г. №24-ФЗ «Об информации, информатизации и защите информации».
– Федеральный закон от 21 июля 1993 г. №5485—1 «О государственной тайне».
– Указ Президента Российской Федерации от 6 марта 1992 г. №188 «Об утверждении перечня сведений конфиденциального характера».
– Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных».
– Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам (утверждено Постановлением Совета Министров Российской Федерации от 15 сентября 1993 г. №912—51) (Положение-93).
– Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) (утверждены приказом Гостехкомиссии при Президенте России от 30 августа 2002 г.).
– Указ Президента Российской Федерации от 3 апреля 1995 г. №334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».
– Доктрина информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации 9 сентября 2000 г.).
Плановые сроки начала и окончания работы по созданию системы
Плановый срок начала работ по созданию АС СОТОВЫЙ – 2 сентября 2016 г.
Плановый срок окончания работ по созданию АС СОТОВЫЙ – 04 ноября 2016 г.
Примечание:
В случае изменения технологической схемы объекта срок окончания работ подлежит корректировке.
Сведения об источниках и порядке финансирования работ
Источником финансирования работ являются средства ЗАО «МТС».
Порядок финансирования определяется условиями контракта
1.7 Порядок оформления и предъявления заказчику результатов работ по созданию системы
Результаты работы передаются Заказчику в виде пакета документации по первой очереди АС СОТОВЫЙ в целом и функционирующих подсистем АС СОТОВЫЙ на базе СВТ Заказчика в сроки, установленные Договором. Состав документации по АС СОТОВЫЙ приведен в разделе настоящего ТЗ и состоит из настоящего Технического Задания, документов стадии эскизного проекта и части документов технического проекта, содержащих описание общесистемных решений, в случае если они применимы ко всем подсистемам АС СОТОВЫЙ. Приемка первой очереди АС СОТОВЫЙ осуществляется комиссией в составе уполномоченных представителей Заказчика и Исполнителя в соответствии с разделом настоящего ТЗ.
Порядок предъявления подсистем АС СОТОВЫЙ, их испытаний и окончательной приемки определен в Частных Технических Заданиях на разработку соответствующих подсистем АС ГЗ.
НАЗНАЧЕНИЕ И ЦЕЛИ СОЗДАНИЯ (РАЗВИТИЯ) СИСТЕМЫ
Назначение системы
АС СОТОВЫЙ состоит из ПК, периферийных устройств, линий связи, персонала и информации.
АС СОТОВЫЙ предназначена для автоматизации всех сторон основной деятельности ЗАО «МТС» в области конфиденциального делопроизводства, обеспечивающей информационную поддержку всех решаемых ЗАО «МТС» задач.
Также система предназначена для:
– обеспечения поддержки высокой доступности технических, программных и информационных ресурсов пользователям в соответствии с предоставленными им правами и полномочиями;
– обеспечения защиты конфиденциальной информации от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Цели создания системы
Целью создания АС СОТОВЫЙ является:
– повышение эффективности работы предприятия за счет автоматизации процессов, призванной ускорить обработку конфиденциальной информации и поиск нужных данных;
– выполнение требований нормативных правовых актов Российской Федерации, руководящих документов ФСТЭК России, ФСБ России, регламентирующих вопросы обработки хранения конфиденциальных данных;
– обеспечение защиты информации, обрабатываемой техническими средствами, от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней, за счет комплексного использования организационных, программных, программно-аппаратных средств и мер защиты;
– обеспечение доступности информационных ресурсов санкционированным пользователям АС СОТОВЫЙ;
– выполнение всех требований, предъявляемых законодательством к АСЗИ.
ХАРАКТЕРИСТИКИ ОБЪЕКТА АВТОМАТИЗАЦИИ
Объектом автоматизации АС СОТОВЫЙ является подразделение ЗАО «МТС», осуществляющее сбор, накопление, обработку, анализ конфиденциальной информации, относящейся непосредственно к сфере деятельности предприятия.
Состав общесистемного программного обеспечения
Состав используемого общесистемного программного обеспечения приведен в таблице ниже (таблица 1).
Таблица 1. Состав общесистемного программного обеспечения
Основные роли пользователей
В системах АС СОТОВЫЙ должны быть предусмотрены следующие роли пользователей:
– Администратор – представитель технического персонала, обеспечивающего работоспособность и безопасность системы;
– Администратор безопасности – представитель технического персонала, ответственный за обеспечение информационной безопасности;
– Пользователь – лицо, непосредственно участвующее в работе АС.
Роли могут подвергаться декомпозиции на этапе технического проектирования систем АС СОТОВЫЙ.
ТРЕБОВАНИЯ К СИСТЕМЕ
Требования к системе в целом
Разработка АС СОТОВЫЙ должна вестись с учётом следующих требований:
На этой странице вы можете прочитать онлайн книгу «Защищенные автоматизированные системы. Для студентов технических специальностей», автора Ивана Андреевича Трещева. Данная книга имеет возрастное ограничение 12+, относится к жанрам: «Книги о компьютерах», «Прочая образовательная литература».. Книга «Защищенные автоматизированные системы. Для студентов технических специальностей» была издана в 2019 году. Приятного чтения!
О проекте
О подписке