- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
2.5.2 Требования по безопасности, предъявляемые к изделиям ит
Требования, предъявляемые к изделиям ИТ, рассмотрим на примере современного нормативного документа [13]. Насколько известно авторам, это Положение анализируется впервые в литературе.
Данный документ не отменяет действия других нормативных документов, а применяется вместе с ними. Оно предназначено для заказчиков, разработчиков, эксплуатирующих организаций.
В Положении приведены ссылки на следующие РД ФСТЭК:
Концепция обеспечения безопасности изделий информационных технологий;
Критерии оценки безопасности информационных технологий.
В Положении рассмотрены следующие вопросы:
порядок задания требований;
порядок разработки изделий ИТ;
подтверждение соответствия изделий ИТ требованиям безопасности информации;
поставка и ввод в действие;
эксплуатация;
снятие с эксплуатации;
характеристика требований раздела ТЗ;
структура документа «Программа обеспечения безопасности при разработке и сопровождении», а также «Программы… при эксплуатации изделий ИТ»;
состав документов, предъявляемых разработчиком для сертификации;
базовая модель обеспечения безопасности в жизненном цикле изделий ИТ (отдельная книга).
Рассмотрим особенности Положения.
2.5.2.1. Порядок задания требований
Здесь рассмотрены три сценария. Если закупается готовый продукт, то требования задаются в спецификациях на покупку изделия. Если разработка – инициативная, то требования формируются разработчиком с учетом предполагаемого применения изделия. Если имеется заказчик изделия, то требования задаются им в ТЗ, причем отмечена целесообразность в максимальной степени использовать стандартизованные требования, встречающиеся в технических регламентах, стандартах, РД ФСТЭК. Указано, что регламентация задания необходимых требований к изделиям, предназначенным для обработки информации ограниченного доступа, осуществляется в нормативных документах ФСТЭК – профилях защиты (ПЗ).
Таким образом, ПЗ отнесены к нормативным документам ФСТЭК.
Выделяются три группы требований: функциональные, доверия, к среде объекта оценки. Требования задаются в начале разработки изделия ИТ, на основе проведенного глубокого информационного обследования среды применения изделия ИТ. Очевидно, что это неприменимо к продуктам ИТ общего назначения, поэтому, для них далее идут всяческие послабления типа «для продуктов ИТ общего назначения могут быть сделаны общие утверждения в отношении политики безопасности организации».
В любом случае, на наш взгляд, представляется невозможным на этапе подготовки ТЗ выполнять такие работы, как оценка активов, подлежащих защите, оценка правил политики безопасности организации, где будет функционировать изделие ИТ, анализ рисков нарушения информационной безопасности. Не говоря о том, что данные процедуры требуют разъяснения, пояснения, составления методик их проведения. Вряд ли кто-то из заказчиков способен их выполнить.
Еще одна проблема состоит в следующем. В Положении указано, что в составе предположений о среде на данном этапе «…должны быть учтены проектные ограничения, определяемые общими проектными решениями по изделию ИТ». Но ведь на данном этапе еще нет проектных решений!
Впрочем, как указано далее, в ТЗ необходимо указать лишь ссылку на ПЗ, а откуда она появилась – это «на совести» заказчика.
Возможны два случая. Если основным назначением изделия ИТ является обеспечение безопасности информации, то требования к безопасности изделия ИТ составляют основное содержание разделов ТЗ. Если обеспечение безопасности информации – частная задача изделия, то требования должны содержаться в отдельном разделе ТЗ либо в Приложении к ТЗ либо в частном ТЗ.
В ТЗ могут включаться требования соответствия одному или нескольким ПЗ, а если изделие предназначено для обработки информации ограниченного доступа и имеются зарегистрированные ПЗ – то это является обязательным. Если таких ПЗ нет, то в этом случае ТЗ должно пройти экспертизу в порядке, устанавливаемым ФСТЭК. Если в ТЗ отсутствует ссылка на ПЗ или ПЗ уточняется, то должны приводиться не только требования, но и цели безопасности.
Таким образом, при наличии соответствующего зарегистрированного ПЗ, все требования по безопасности к изделию ИТ могут состоять в ссылке на этот ПЗ плюс необходимые обоснования, уточнения и дополнения.
В Приложении А к Положению приведена более подробная характеристика разделов ТЗ.
В Положении отмечена целесообразность экспертизы ТЗ в организациях, специализирующихся на разработке или оценке ПЗ, как было отмечено ранее, нормативных документов ФСТЭК.