Безопасность

3.  Содержание и последовательность работ по созданию системы ЗИ.
Анализ данных печати показывает, в ведущих зарубежных странах уже
сложилась достаточно стройная система защиты информации в СОД, ее
структура  может  быть  представлена так, как показано на рис. 1.
зддддддддддддддддддддддддддд   Ё  Промышленность  средств  ЗИ  Ё
юдддддддддддддддддддддддбдды   Ё      Ё   зддддддддддддддддддд
зддддддддддддддддд  ЁздддддддддддддддддЁ  зддаддддддддддддддд
ЁдддддЁЁСлужбы   безопасносЁЁ   здаддддддддддддддд  Ё  Ё  ЁЁти
информации  ЁЁ  ЁФирмы-посредники Ё цдды ЁюдддддддддддддддддыЁ Ёв
области  ЗИ  цдды юддддддддддддддддддды юдддддддддддддддды Ё Ё 
здддддддддддддддддбддддддддддддддддддддддддддддд        ЁСоздание
механиз-ЁПоддержания  функционирования Ёмов ЗИ Ёмеханизмов защиты
информации    цдддддддддддддддддеддддддддддддддддддддддддддддддд
ЁСоздание        СОД        Ёфункционирование        СОД        t
юдддддддддддддддддадддддддддддддддддддддддддддддд Рис. 1. Система
обеспечения  безопасности  информации.  Работы по созданию систем
защиты информации, как и любых других сложных систем, выполняются
в  три  этапа: этап подготовительных работ, этап основных работ и
этап   заключительных   работ.   Назначение  и  общее  содержание
названных  этапов является общепринятым: на предварительном этапе
изучаются   и   оцениваются   все  факторы,  влияющие  на  защиту
информации,  принимается  принципиальное  решение  о  необходимом
уровне  защиты и осуществляется проектирование системы защиты; на
этапе  основных  работ  проектные решения реализуются в СОД, а на
этапе  заключительных  работ  производится оценка системы защиты,
причем    как    по    критериям    эффективности,   так   и   по
технико-экономическим    показателям.    Общее    содержание    и
последовательность  работ, выполняемых в процессе создания систем
защиты  информации, представлено в табл.2 /12/. В таблице приняты
следующие обозначения: СЗ - система защиты; ВР-высшее руководство
(руководители  того  ранга, который уполномочен принимать решения
на   разработку   СЗ);   ПР-принятие  решений;  РР-  руководитель
разработки   всей   СЗ;  П-планирование;  ИО-инспекционный  отдел
(подразделение, уполномоченное производить инспекционный контроль
проводимых  проводимых  работ);  ОП - отдел подготовки персонала;
Р-реализация;  К-контроль;  ОЗ  -  отдел  защиты  (подразделение,
непосредственно  отвечающее  за  защиту  информации  в СОД); ГУ -
группа   управления  )подразделение,  осуществляющее  руководство
всеми  разработками);  РП  -  руководитель проекта СЗ. Таблица 2.
дддддддддддддддддддддддддддддддддддддддбддддддддддддддддбдддддддд
Содержание работы (события) ЁОтветственный + Ё Тип Ё+ исполнитель
Ё                                                          работы
дддддддддддддддддддддддддддддддддддддддеддддддддддддддддедддддддд
А.   Предварительный   этап   Ё   Ё  Ё  Ё  1.Принятие  решения  о
предварительном  исЁ  ВР  Ё  ПР  следовании  проблем, связанных с
созданиЁ Ё ем СЗ Ё Ё 2.Определение основных обязанностей РР Ё " Ё
П  3.Назначение  РР  Ё  " Ё ПР 4.Определение основных направлений
раз-Ё  РР  Ё  П  работки СЗ Ё Ё 5.Подготовка РР и персонала ИО по
теореЁ ВР+ОП Ё Р тическим и практическим вопросам в об- Ё Ё ласти
защиты  информации  Ё  Ё 6.Информация подразделений организации Ё
РР+ОП  Ё  "  о  целях СЗ и о начале работ Ё Ё 7.Определение целей
проекта  и  объектов  Ё РР+отделы- Ё " защиты (ЭВМ, базы данных и
т.п.)  Ё  исполнители  Ё 8.Определение внешних и внутренних тре-Ё
РР+ВР+ИО Ё " бований к СЗ. Определение политики оргаЁ Ё низации в
вопросах  защиты. Ё Ё 9.Исследование и составление документовЁ РР
Ё  "  по  организации  защиты  внутри  организа-  Ё  Ё  ции.  Ё Ё
10.Исследование  и  составление  докумен-  Ё  РР+ОЗ  Ё  "  тов  о
реализуемых  мерах  защиты.  Ё  Ё  11.Определение, какие гарантии
(страхо-Ё  РР+ИО  Ё  "  вание)  существуют  и  какие  нужны  Ё  Ё
12.Изучение  аварийных  мер  и  планов  вос-Ё  РР Ё Р становления
внутри  организации  Ё Ё 13.Дополнительная подготовка РР (путем Ё
РР+ОП  Ё " визитов, курсов, семинаров и т.п.) Ё Ё 14.Определение,
какие  информационные  Ё  РР  Ё  "  системы  разрабатываются  или
планируютсяЁ  Ё  15.Выработка  основных  предложений  для Ё " Ё "
общей  системы  защиты,  включая  информа-  Ё  Ё цию и подготовку
персонала. Ё Ё 16.Определение и описание областей защиЁ РР Ё Р ты
Ё  Ё  17.Определение  основных направлений разЁ РР+ИО Ё П работки
СЗ.  Оценка  необходимых  капиталоЁ  Ё  вложений. Ё Ё 18.Проверка
выработанных  предложений в Ё То же Ё К ИО Ё Ё 19.Выработка общих
предложений  по  поли-Ё  ВР+РР  Ё  Р  тике  в области СЗ. Ё Ё 20.
Выработка общих предложений по соз-Ё РР+ОЗ Ё " данию руководств и
справочников  по  СЗ Ё Ё 21.Информация ВР о состоянии СЗ, о намеЁ
РР  Ё " чаемых планах продолжения работы, о на-Ё Ё мечаемых целях
Ё Ё 22.Принятия решения, будет ли продол- Ё ВР Ё ПР жаться работа
по  созданию  СЗ. Назначе- Ё Ё ние руководителя и набор персонала
ОП.  Ё  Ё  Ё  Ё  Б. Этап основных разработок Ё Ё 1.Создание плана
разработки  СЗ  Ё  РР  Ё  П  2.Создание  ГУ  разработкой  Ё " Ё Р
3.Определение  основных  направлений  раз-Ё  ГУ  Ё  П работки СЗ.
Назначение  РП  и  подбор  пер-Ё  Ё  сонала Ё Ё 4.Подготовка РП и
персонала  по  вопросамЁ  РР+ОП  Ё  Р  теории  и  практики СЗ Ё Ё
5.Информация  всех  заинтересованных под-Ё ГУ+РП Ё " разделений о
начале разработки СЗ Ё Ё 6.Изучение требований к подготовке всехЁ
РП+ОП Ё П сотрудников, которые будут связаны с СЗЁ Ё 7.Разработка
плана  работ  и  грубая  оцен-Ё  РП+ИО  Ё  "  ка их стоимости Ё Ё
8.Представление  результатов  в  ГУ Ё РП Ё Р 9.Принятие решения о
продолжении  работ,Ё  ГУ  Ё  ПР  оценки материальных возможностей
органиЁ Ё зации Ё Ё 10.Составление плана подготовки и рас- Ё РП Ё
П  простанение  информации  о  нем  в  подраздеЁ  Ё  лениях  Ё  Ё
11.Пересмотр   плана  действий  с  учетом  реЁ  "  Ё  К  шения  о
продолжении  работ  Ё  Ё 12.Определение, оценка характеристик и Ё
ПР+ОЗ+ИО  Ё  Р  описание  информационных сетей Ё Ё 13.Определение
наиболее  важных  задач,  Ё То же Ё " выполняемых информационными
сетями  Ё  Ё  14.Изучение  возможных  угроз  Ё  " Ё " 15.Описание
областей,   не   охваченных   ис-Ё   РП   Ё  "  следованием  Ё  Ё
16.Представление  результатов  в ГУ Ё " Ё " 17.Принятие решения о
продолжении  работЁ  ГУ  Ё ПР 18.Пересмотр плана действий и плана
подЁ РП+ОП Ё Р готовки персонала Ё Ё 19.Расчет возможных потерь Ё
РП+ИО Ё Р 20.Представление результатов в ГУ Ё РП Ё " (в том числе
и  оценка  затрат)  Ё  РП  Ё  " 21.Принятие решения о продолжении
работЁ ГУ Ё ПР 22.Проверка, соблюдаются ли все требоваЁ РП+ИО Ё К
ния  законов  в  области  защиты  Ё  Ё  23.Разработка  мер против
непредумышлен-Ё  РП+ОЗ Ё Р ных нарушений и угроз Ё Ё 24.Проверка,
не  нужно  ли  изменить  или Ё РП+ИО Ё " дополнить идентификацию,
оценку  и  клас-Ё  Ё  сификацию  информационных сетей для отраЁ Ё
жения  предумышленных  угроз Ё Ё 25.Проверка,не нужно ли изменить
списокЁ   РП+ИО   Ё   "  и  оценку  наиболее  важных  задач  Ё  Ё
26.Проведение    анализа   внешних   угроз   Ё   РП+ИО+ОЗ   Ё   "
27.Идентификация и описание любых обласЁ РП Ё " тей, неохваченных
исследованием  Ё Ё 28.Распределение приоритетов между пробЁ РП+ИО
Ё  "  лемами  Ё  Ё  29.Представление  результатов  в  ГУ Ё РП Ё "
30.Принятие  решения  о  продолжении  работЁ ГУ Ё ПР 31.Пересмотр
плана  работ  и  плана  подго-Ё  РП+ОП Ё К товки Ё Ё 32.Проверка,
соблюдаются  ли  все  требоваЁ  РП+ИО  Ё  " ния законов в области
защиты  Ё  Ё  33.Разработка  мероприятий по отражению Ё РП+ОЗ Ё Р
преднамеренных угроз Ё Ё 34.Составление списка разработанных ме-Ё
РП  Ё " роприятий Ё Ё 35.Оценка необходимых ресурсов и затратЁ РП
Ё  П  на  создание СЗ Ё Ё 36.Проведение проверки совмество с ИО Ё
РП+ИО   Ё   К   37.Представление   результатов  в  ГУ  Ё  "  Ё  Р
38.Определение направления и целей дальЁ ГУ Ё П нейшей работы Ё Ё
39.Сбор  предложений  о свойствах СЗ ЁГУ+все подразделЁ " 40.Сбор
предложений   о  распределении  перЁ  Начальники  Ё  "  сональной
ответственности   Ёподразделений  Ё  41.Представление  проекта  и
предложений  Ё  ГУ Ё Р по проведению организационных мероприя-Ё Ё
тий  ВР  Ё Ё 42.Принятие решения о продолжении работЁ ВР Ё ПР и о
распределении ответственности Ё Ё 43.Распространение информации о
предло-Ё  РП+ОП  Ё  Р  женных  мероприятиях по защите по всем Ё Ё
подразделениям  организации  Ё  Ё  44.Распределение  персональной
ответст-  Ё  Начальники  Ё венности Ёподразделений Ё 45.Пересмотр
плана  работ  и  плана  подго-Ё  РП  Ё К товки Ё Ё 46.Составление
планов   проверки   СЗ   Ё  ИО  Ё  П  47.Разработка  и  испытания
разработанныхЁпо  назначению  Ё  "  мероприятий Ё Ё 48.Проведение
подготовки всего персона-Ё РР Ё Р ла, связанного с работой СЗ Ё Ё
49.Реализация   мероприятий   по   защите   Ёпо  назначению  Ё  "
50.Проверка   правильности   функционирова-Ё   РП+ИО   Ё   К  ния
реализованных  мероприятий  по  защитеЁ  Ё  51.Проверка,  все  ли
поставленные   задачиЁ  ИО+РП  Ё  "  решены.  Проведение  расчета
финансовых  Ё Ё затрат Ё Ё 52.Описание опыта эксплуатации СЗ Ё РП
Ё " 53.Представление окончательных резуль- Ё " Ё Р татов в ГУ Ё Ё
54.Составление плана работ по заверше- Ё ГУ Ё П нию реализации СЗ
и представление пред-Ё Ё ложений по продолжению разработки меропЁ
Ё   риятий   по   усовершенствованию   СЗ  Ё  Ё  55.Представление
результатов  по  усовер-Ё  "  Ё Р шенствованию СЗ Ё Ё 56.Принятие
решения о прекращении работЁ ВР Ё ПР по ее усовершенствованию Ё Ё
----------------------------------------------------------------Однако,
как   показал  многолетний  зарубежный  опыт  организации  защиты
информации  в  СОД,  каким  бы  ни был совершенным проект системы
защиты    и    его    первоначальная   реализация,   в   процессе
функционирования   СОД   неизбежно   возникают   непосредственные
обстоятельства,   обусловливаемые,  с  одной  стороны,  действием
факторов,  неучтенных  (или ненадежно учтенных) на этапе создания
системы  защиты, а с другой стороны -изменениями, происходящими в
процессе функционирования СОД. В связи с этим неизбежно возникает
необходимость   изменения,   совершенствования   системы  защиты.
Необходимость  эта  зарубежными специалистами считается настолько
актуальной, что уже к концу прошлого десятилетия сформулировалась
структура  циклической и непрерывной технологии организации работ
по  защите  информации  в  СОД  /21/.  Состав  и  содержание этой
технологии   могут   быть  показаны  на  рис.2.  Как  следует  из
представленного  рисунка,  основу технологии составляют следующие
положения:  1)  Непрерывный  сбор  информации  о функционировании
механизмов защиты и о проводимых работах. Для этого, естественно,
необходимо   осуществлять   постоянное   наблюдение   за  защитой
информации.  2)  Систематический  анализ  состояния  защищенности
информации.  3)  Систематическое  уточнение  требований  к защите
информации.  4)  Проведение  каждый раз (при необходимости: из-за
неудовлетворительного  состояния защищенности или ввиду изменения
требований)    всего   цикла   работ   по   организации   защиты.
зддддддддддддддддддддддддддд  здддЁ  Анализ  секретности данных
цдддд     Ё    юддддддддддддддддддддддддддды    Ё    Ё        
здддддаддддддддддддд Ё зддддддддддддддддддд здддЁ10.Проверка и
оцен-Ё Ё Ё2.Анализ уязвимостицдддд Ё Ёка принятых решений ЗИ Ё Ё
данных  Ё  Ё  Ё  юддддддддддддддддбдды  Ё юдддбддддддддддддддды 
здддаддддддддддддддд  Ё  Ё  Ё здддддддддддддддддддд Ё9.Создание
условий,Ё    Ё    Ё3.Анализ  ресурсов,  Ё  Ёнеобходимых  для ЗИ
цдздддддддддадддддддддддвыделенных         на         защитуЁ
юдддддддддддддддддды  ЁАНАЛИЗ СОСТОЯНИЯ Ё юддддддддддддддбддддды
здддаддддддддддддддд         ЁУточнение        требова-        Ё
зддддддддддддддддддд Ё8.Реализация выбранцдЁ ний Ёдд4.Оценка
возможнос- Ё Ёных мер защиты Ё юддддддддддддддддддды Ётей технич.
защиты Ё юддддддддддддддддддды    юддддддддддддддддбддды  Ё Ё
здддддддддддддддддадддд    Ё    здддадддддддддддддддддд   Ё   Ё
Ё7.Распределение    ответ-Ё    Ё5.Оценка    возможностей   Ёддды
юдддственности   за   защиту   Ё   Ё   Ёпрограммной   защиты   Ё
юдддддддддддддддддддддды        юдддддддддддддддддддддды        Ё
здддддддддддддддддддддд       Ё6.Оценка      возможностей      Ё
Ёорганизационной  защитыЁ  юдддддддддддддддддддддды  Рис. 2. Цикл
работ по ЗИ