На стадии проектирования и дооснащения АС

На данном этапе Подрядчику необходимо провести следующие мероприятия:

- разработать технический проект проведения работ по модернизации СЗИ АС в соответствии с требованиями настоящего технического задания;

- провести специальную проверку ОТСС, вводимых в состав АС «ЛВС № 1»;

- провести стендовые специальные исследования ОТСС, вводимых в состав АС «ЛВС № 1»;

- провести объектовые специальные исследования ОТСС АС «ЛВС № 1» от утечки защищаемой информации по каналам ПЭМИН;

- провести оценку защищенности ОТСС АС «ЛВС № 1» от утечки защищаемой информации по каналам ПЭМИН;

- провести контроль защищенности ОТСС АС «ЛВС № 2» от утечки конфиденциальной информации по каналам ПЭМИН;

- поставить в адрес Заказчика пакет сертифицированных ФСТЭК России средств защиты информации.

- установить и настроить аппаратные и программно-аппаратные средства защиты информации;

- разработать, при необходимости, эксплуатационную документацию СЗИ и средства защиты информации, а также организационно-распорядительную документацию по защите информации.

На стадии ввода в действие СЗИ АС

На данном этапе Подрядчику необходимо провести следующие мероприятия:

- совместно с Заказчиком провести опытную эксплуатацию СЗИ АС в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе АС;

- совместно с Заказчиком выполнить приемо-сдаточные испытания СЗИ АС по результатам опытной эксплуатации;

- аттестовать по требованиям безопасности информации объекты информатизации АС «ЛВС № 1», АС «ЛВС № 2»;

- совместно с Заказчиком провести приемочные испытания и ввести в эксплуатацию АС «ЛВС № 1», АС «ЛВС № 2».

Требования к порядку разработки СЗИ АС

Проектная и рабочая документация должны разрабатываться в соответствии с требованиями комплекса государственных стандартов «Информационная технология. Комплекс стандартов на автоматизированные системы»:

- ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания»;

- ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения»;

- ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;

- ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем»;

- ГОСТ 34.603-92 «Виды испытаний автоматизированных систем»;

- РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

Требования к разработке организационно-регламентирующей документации

Организационно-распорядительная документация регламентирует: порядок сбора, хранения, обработки, передачи защищаемой информации в составе АС, порядок доступа в помещения, в которых размещены средства обработки защищаемой информации, порядок организации работ по классификации защищаемой информации, действия администраторов и пользователей, учет носителей информации, порядок контроля за соблюдением условий использования средств защиты информации, порядок эксплуатации средств защиты информации в составе СЗИ и т.д.

Организационно-распорядительная документация включает в себя:

- руководство по защите информации при её обработке в АС;

- инструкции персоналу в части обеспечения безопасности защищаемой информации при их обработке в АС;

- рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации;

- другую необходимую документацию.

Требования к используемым технологиям

Модернизация СЗИ АС «ЛВС № 1», АС «ЛВС № 2» должно осуществляться на базе ранее внедренных информационных технологий и обеспечивать:

- расширяемость и гибкость управления конфигурацией системы;

- надежность и отказоустойчивость аппаратных и программных средств системы.

- архитектура СЗИ АС «ЛВС № 1», АС «ЛВС № 2» должна быть открытой, масштабируемой и строиться по модульному принципу, каждый модуль должен обеспечивать свою часть функциональности решения задач в целом.

Требования к обеспечению безопасности в ходе разработки и внедрения СЗИ АС

Все сведения о составе и характеристиках СЗИ АС являются защищаемой информацией.

Разработчик СЗИ АСобязуется:

- не проводить противозаконные действия по сбору, использованию и передаче третьей стороне информации циркулирующей и хранящейся в АС Департамента;

- не осуществлять несанкционированный доступ к информационным ресурсам АС Департамента;

- не проводить незаконное копирование информации, циркулирующей или хранящейся в АС Департамента;

- не предпринимать манипулирование информацией, циркулирующей или хранящейся в АС Департамента (фальсифицировать, модифицировать, подделывать, блокировать, уничтожать или искажать информацию);

- не нарушать технологию сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, в результате чего может быть осуществлено искажение, потеря или незаконное использование информации;

- не внедрять в АС Департамента программы-вирусы (загрузочные, файловые и др.);

- не устанавливать программные и аппаратные закладные устройства в технические средства АС Департамента;

- не устанавливать в технические средства АС Департамента программное обеспечение, зараженное вирусами;

- не распространять конфиденциальную информацию о настоящих работах и полученных результатах.

Нарушение настоящих требований влечет за собою гражданско-правовую, административную или уголовную ответственность в соответствии с законом Российской Федерации.

Требования к Подрядчику работ.

Наличие у Подрядчика следующих лицензий:

- Аттестата аккредитации органа по аттестации ФСТЭК России;

- Лицензия ФСТЭК России на проведение работ, связанных с созданием средств защиты информации;

- Лицензия ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации)

- Лицензия ФСТЭК на проведение работ, связанных с созданием средств защиты конфиденциальной информации;

- Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации;

- Лицензия ФСБ России на осуществление работ с использованием сведений, составляющих государственную тайну;

- Лицензия ФСБ России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части проведения работ по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах);

- Лицензия ФСБ России на осуществление деятельности по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, не содержащих сведения, составляющие государственную тайну);

Работы должны быть выполнены без привлечения сторонних организаций

Работы требующие лабораторных исследований должны быть выполнены в лабораториях Подрядчика.

СОСТАВ И СОДЕРЖАНИЕ РАБОТ ПО модернизации и аттестации АС

Работы по модернизации и аттестации АС подразделяются на следующие этапы:

- Обследование АС;

- Модернизация системы защиты информации АС;

- Аттестационные испытания АС.

5.1. Обследование АС:

5.1.1. Обследование проводится с целью подтверждения категории АС При проведении обследования этом выполняются следующие мероприятия:

- анализ состава ОТСС и ВТСС, относящихся непосредственно к АС;

- анализ расположения ОТСС АС относительно границы контролируемой зоны и относительно ВТСС;

- выявление ВТСС АС имеющих линии связи, выходящие за границы контролируемой зоны;

- выявление параллельных пробегов линий связи ОТСС АС с иными линиями (связи, электроснабжения и т.п.) и коммуникациями;

- выявление ОТСС АС, на которые имеются сертификаты Гостехкомиссии/ФСТЭК России или тех, которые ранее прошли СИ (и имеют предписания на эксплуатацию);

- выявление ОТСС АС, прошедших СП;

- оценка целесообразности дальнейшего использования средств защиты, эксплуатирующихся с ОТСС АС;

- анализ выполнения систем электропитания и заземления с точки зрения их соответствия требованиям РД ФСТЭК России;

- проверка правильности категорирования и классификации АС «ЛВС № 1», проверка правильности классификации АС «ЛВС № 2» наличие и качество оформления Актов категорирования и классификации;

- оценка наличия и качества оформления Протоколов специальных исследований (лабораторных и объектовых) ОТСС, Протоколов инструментальной оценки эффективности используемых средств защиты информации от утечки по техническим каналам (при наличии таких средств), Заключений по результатам специальных проверок ОТСС, Протоколов предыдущих аттестационных испытаний, Заключений по результатам предыдущих аттестационных испытаний и ежегодных технических контролей защищенности АС Департамента и неизменности условий эксплуатации АС.

5.1.2. Завершение этапа обследования АС оформляется документами:

Акт обследования объектов информатизации,

Акты (или их проекты) классификации автоматизированных систем.

5.1.3. Лабораторные СИ ОТСС, не имеющих сертификатов Гостехкомиссии/ФСТЭК России или предписаний на эксплуатацию, вновь устанавливаемых и вводимых в эксплуатацию ОТСС проводятся до ввода ОТСС АС в эксплуатацию.

Завершения данного этапа работы оформляется документами:

Акт категорирования ОТСС АС «ЛВС № 1». При этом учитывается, что на момент составления технического задания иностранных представительств и других подобных объектов, с правом экстерриториальности, в г. Томск, нет.

Протоколы СИ ОТСС (с таблицами измерений и расчётов для каждого ОТСС АС).

Предписания на эксплуатацию ОТСС АС.

5.2. Модернизация системы защиты информации АС:

5.2.1. Проверка наличия Заключений по результатам СП ОТСС, для вводимых в эксплуатацию ОТСС, анализ их полноты и актуальности.

5.2.2. Доработка существующих и добавление новых ОТСС. Проведение лабораторных СИ этих ОТСС (для ОТСС АС «ЛВС № 1»).

Завершение работы на данном этапе оформляется следующими документами:

Акт по результатам доработки существующих и установки новых ОТСС (если доработка проводилась);

Протоколы СИ на доработанные и/или добавленные ОТСС;

Предписание на эксплуатацию ОТСС.

5.2.3. Дооснащение АС «ЛВС № 2» средствами защиты информации от утечки по техническим каналам, осуществляется установка и настройка системы активной защиты информации на базе генератора «Соната-Р2». Установка и настройка средства активной защиты осуществляется таким образом, чтобы обеспечить защиту информации по техническим каналам по всему объекту информатизации.

Завершение работы на данном этапе оформляется следующими документами:

Акт установки средств защиты информации от её утечки по техническим каналам;

Копии сертификатов ФСТЭК России на средства защиты информации.

5.2.4. Устранение выявленных отклонений от требований РД ФСТЭК России в части защиты информации от утечки по техническим каналам (защита выходов линий связи, электроснабжения и заземления ВТСС за пределы контролируемой зоны, устранение параллельного пробега линий связи ОТСС с иными линиями и коммуникациями и пр.). Эти работы выполняются в случае необходимости и оформляются Актом устранения выявленных отклонений от требований РД ФСТЭК России.

5.2.4.1. Трансформаторная подстанция, от которой запитаны объекты информатизации, находится за пределами контролируемой зоны, и за пределами территории администрации города, и потому отключение посторонних потребителей от ТП-10/04 по стороне 0,4 Кв невозможно. Для предотвращения утечки информации по линиям электроснабжения и заземления АС используется постановка помехи посредством генератора «Соната-Р2». Необходимые дополнительные меры, которые реализуются в целях обеспечения соответствия ОИ АС нормативным требованиям, оформляются Актом устранения отклонений от РД ФСТЭК России (при необходимости).

Эффективность избранных мер защиты информации от утечки по техническим каналам (в том числе по линиям электроснабжения и заземления) для АС «ЛВС № 1» и «ЛВС № 2» отражается в Протоколах оценки эффективности принятых мер защиты информации от утечки по техническим каналам.

5.2.5. Установка и настройка средств защиты информации от НСД АС:

На эксплуатируемые в настоящий момент и вводимые в эксплуатацию новые ОТСС, для защиты информации от НСД необходимо установить систему защиты информации от НСД «Secret Net 6.5» (сетевой вариант). Завершение работы на данном этапе оформляется следующими документами:

Копии сертификатов ФСТЭК на средства и системы защиты информации;

Акты установки (модернизации) и настройки систем защиты информации от НСД (с перечнем настроек системы защиты информации на всех ОТСС).

Пакет документации на средства защиты информации от НСД.

5.2.6. Контроль защиты информации на объекте проводится в штатных режимах работы ТС АС и оформляется «Протоколом контроля защиты информации на объекте». По результатам контроля защиты информации определяется необходимость использования дополнительных средств защиты информации. В случае, если использование дополнительных средств защиты информации необходимо, его эффективность подтверждается «Протоколом оценки эффективности установленных средств защиты информации».

5.2.7. Разработка эксплуатационной документации на АС осуществляется при участии и методическом сопровождении Подрядчика. При этом разрабатываются (уточняются) следующие основные документы:

Акт категорирования АС «ЛВС № 1».

Акты классификации АС «ЛВС № 1», «ЛВС № 2».

Технические паспорта АС «ЛВС № 1», «ЛВС № 2».

Описания технического, программного, информационного обеспечения и технологий обработки информации в АС.

Акты настойки средств защиты информации от НСД, установленных в соответствии с РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» для соответствующих классов АС (1В и 1Г соответственно).

Акты настойки МЭ АС, параметры настройки которых, установлены в соответствии с РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации, показатели защищенности от несанкционированного доступа к информации», актами категорирования и классификации АС.

5.2.8. Подготовку уполномоченных по защите информации на АС, к эксплуатации СЗИ выполняет Подрядчик на этапе создания и ввода СЗИ в эксплуатацию.

5.3. Аттестационные испытания АС:

На завершающем этапе работ по модернизации и аттестации АС должна быть проведена аттестация двух объектов информатизации:

- Автоматизированная система «Локальная вычислительная сеть № 1»;

- Автоматизированная система «Локальная вычислительная сеть № 2».

Аттестационные испытания должны быть организованы и проведены в соответствии с «Пположением по аттестации объектов информатизации по требованиям безопасности информации», утвержденном председателем Гостехкомиссии России 25 ноября 1994 г.

5.3.1. Разработка и согласование Программы аттестационных испытаний.

Программы аттестационных испытаний АС являются обязательными документами для выполнения работ по аттестации АС. Перечень аттестационных испытаний составляются с учётом настоящего Технического задания и требований РД ФСТЭК России в части защиты информации от НСД, для АС классов защищенности от НСД 1В, 1Г и межсетевых экранов 3 класса.

5.3.2. Проведение аттестационных испытаний.

Перед началом проведения аттестационных испытаний, орган по аттестации согласует разработанные Программы аттестационных испытаний с Заказчиком и утверждает руководителем органа по аттестации.

Аттестационные испытания проходят аттестационной комиссией до полного их завершения.

Итоговыми документами аттестационных испытаний АС являются:

Протоколы аттестационных испытаний средств защиты информации от НСД и межсетевых экранов (с использованием тестирующих средств).

Приложения к Протоколам аттестационных испытаний (контрольные суммы СЗИ от НСД и специального программного обеспечения).

Заключения по результатам аттестационных испытаний.

Аттестаты соответствия АС требованиям безопасности информации.

Наши рекомендации