Стадия проектирования (разработки проектов) и реализации защиты информации на объекте информатизации

Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе
На стадии проектирования и создания объекта информации и системы защиты информации в его составе на основе предъявленных требований и заданных заказчиком ограничении на финансовые, материальные, трудовые и временные ресурсы осуществляются следующими мероприятиями:

• Разработку задания и проекта на строительные, строительно-монтажные работы (реконструкцию) объекта информатизации с учетом требований технического задания на разработку системы защиты информации;
• Разработку раздела технического проекта на объект информатизации в части защиты информации;
• Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
• Разработку организационно-технических мероприятий по защите информации в соответствии с предъявленными требованиями;
• Закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификации;
• Закупка сертифицированных технических средств защиты информации программных и программно-технических средств защиты информации и их установка;
• Разработка, доработка или закупка и последующая сертификация по требованиям безопасности информации, программных средств защиты информации в случае, когда на рынке отсутствует требуемые сертифицированные программные средства;
• Организация охраны и физической защиты помещений объекта информатизации, исключая несанкционированный доступ к техническим средствам обработки, ранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
• Разработка и реализация разрешительной системы доступа пользователей и эксплуатации персонала к обрабатываемой (обсуждаемой) на объекте информатизированной информации;
• Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами;
• Разработка эксплуатации документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказы, инструкции и другие документы);
• Выполнение других мероприятий специфичных для конкретных объектов информатизации и направлений защиты информации.

Техническое задание на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.
Мероприятие по защите информации от утечки по техническим каналам относятся основным элементам проектных решений, которые включаются в соответствующие разделы проекта и разрабатываются одновременно с ними.

Стадия ввода в действие СЗИ (опытная эксплуатация и приемо-сдаточные испытания средств защиты информации, аттестация объекта информатизации на соответствие требованиям безопасности информации).

На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация системы защиты информации, состоящая из следующих документов:

• Пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;
• Описание технического, программного информационного обеспечения и технологии обработки (передачи) информации;
• Плана организационно-технических мероприятий по подготовки объекта информатизации к внедрению средств и мер защиты информации;
• Технического паспорта объекта информатизации (формы технических паспортов на автоматизированные системы и защищенные помещения приведены в СТР-К);
• Инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.

^ На стадии ввода в действие объекта информатизации и системы защиты информации осуществляются:

• Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
• Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• Аттестация объекта информатизации по требованию безопасности информации.

На стадии ввода в действие объекта информатизации и системы защиты информации оформляются:

• Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
• Протоколы аттестационных испытаний и заключение по их результатам;
• Аттестат соответствия объекта информатизации требованиям по безопасности информации (формы «аттестатов соответствия» для автоматизированных систем и защищенного помещения приведены в приложениях СТР-К).

^ Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:

• На проектирование объекта информатизации и назначение ответственных исполнителей;
• На проведение работ по защите информации;
• О назначении лиц, ответственных за эксплуатацию объекта информатизации;
• На обработку в защищенном помещении (обсуждение) или в автоматизированной системе конфиденциальной информации.

Стадия ввода в действие СЗИ (опытная эксплуатация и приемо-сдаточные испытания средств защиты информации, аттестация объекта информатизации на соответствие требованиям безопасности информации).

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требовании и положений СТР-К по защите речевой.
^ Отраслевыми и федеральными органами контроля состояния защиты информации проводится не реже 1 раза в 2 года и заключается в оценке:

• Соблюдение требований нормативно-методических документов по защите информации;
• Работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
• Знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.
^ Аттестация объекта информатизации – комплекс организационно-технические мероприятий, в результате которых посредством специального документа – аттестата соответствия подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.
^ Требования и рекомендации по защите речевой конфиденциальной информации
Утечка речевой информации возможна за счет следующих каналов:

• Акустического излучения информативного речевого сигнала;
• Виброакустических сигналов, возникающих посредствам преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы в защищенных помещениях;
• Прослушивание разговоров ведущихся в защищенных помещениях по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая (т.е. циркулярная) и пейджинговая связь, радиотелефон) за счет скрытного подключения оконечных устройств этих видов связи;
• Электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящим за пределы контролируемой зоны;
• Побочных электромагнитных излучений информативного сигнала от обрабатывающих информацию технических средств, в том числе возникающих за счет паразитной генерации и линий передачи информации;
• Электрических сигналов, наводимых от обрабатывающих информацию технических средств и линий ее передачи, на провода и линии, выходящие за пределы контролируемой зоны;
• Радиоизлучений модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в защищенном помещении или при наличии паразитной генерации в их узлах (элементах);
• Радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации (закладочных устройств), закладываемых в защищенное помещение, технические средства и системы обработки информации.

Также следует учитывать возможность хищения технических средств с хранящейся в них записанной речевой информации или отдельных носителей с такой информацией.