Подготовка организационно-распорядительной документации.
На этом этапе специалисты Исполнителя проводят анализ организационно-распорядительных документов Заказчика и нормативно-правовых документов в области защиты информации, влияющих на деятельность Заказчика.
К организационно-распорядительным документам обычно относятся: организационная структура, штатное расписание, положения об отделах и должностные инструкции сотрудников,
К нормативно-правовым документам в области за информации относятся Законы Украины, постановления Кабинета Министров Украины, приказы ГСССЗИУ, устанавливающие правила работы с информацией.
По результатам выполнения этого этапа Исполнитель го проекты документов, которые определяют организационную составляющую КСЗИ (проект приказа о создании КСЗИ, проект положения про службу защиты информации, проекты должностных инструкций и процедур и др.), которые утверждаются Заказчиком.
2. Обследование информационной инфраструктуры Заказчика,
На этом этапе специалисты Исполнителя проводят обследование (аудит) ИТС Заказчика.
Анализируется архитектура системы, ее топология и составляющие элементы. Определяются типы пользователей системы, типизируется информация, обрабатываемая в ИТС.
По результатам выполнения этапа Исполнитель разрабатывает следующие документы:
¾ акт обследования ИТС (содержит описание, принципы построения и архитектуру ИТС);
¾ перечень объектов ИТС подлежащих защите, которые утверждаются Заказчиком.
3. Разработка «Плана защиты информации».
По результатам выполнения второго этапа, а именно основы на перечне объектов ИТС, подлежащих защите, Исполнитель разрабатывает пакет документов «План защиты информации»
¾ документ «Модель угроз информации»;
¾ документ «Задание на создание КСЗИ»;
¾ документ «Политика защиты информации», которые утверждаются Заказчиком.
Документ «Политика защиты информации» разрабатывается проведения Исполнителем оценки рисков и определяет защитные мероприятия, реализация которых приведет к защищенности информационных ресурсов на приемлемом уровне.
4. Разработка « Технического задания на создание КСЗИ».
На этом этапе специалисты Исполнителя разрабатывают согласовывают с Заказчиком документ «Техническое задан создание КСЗИ», который определяет все основные требования КСЗИ и возможные пути реализации ее составляющих элементов
После согласования «Технического задания на создание КС Заказчиком, документ согласовывается с Контролирующим органом.
5. Разработка «Технического проекта на создание КСЗИ».
После согласования «Технического задания на создание КС Контролирующим органом Исполнитель разрабатывает документов «Технический проект на создание КСЗИ».
«Технический проект на создание КСЗИ» представляет комплект документов, в который входит часть докук разработанных на предыдущих этапах и ряд новых документов, в которых описано как именно будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ.
6. Приведение информационной инфраструктуры Заказчика соответствие с «Техническим проектом на создание КСЗИ».
Особенностью этого этапа является то, что на момент принятия решения о создании КСЗИ стоимость этого этапа является неизвестной, как для Заказчика, так и для Исполнителя, ввиду большого возможного спектра выполнения работ. На этапе существует большая вероятность подключения выполнению Подрядчиков.
На этом этапе могут выполняться монтажные, строите; пусконаладочные работы, работы связанные с установкой необходимых технических или криптографических средств защиты информации, средств физической защиты элементов (устанавливается необходимое оборудование и программное обеспечение, средства контроля доступа, охранная и пожарная сигнализации) и т.д.
7. Разработка «Эксплуатационной документации на КСЗИ».
На этом этапе Исполнитель КСЗИ создает пакет документов «Эксплуатационная документация на КСЗИ», который включает:
¾ инструкции эксплуатации КСЗИ и ее элементов;
¾ процедуры регламентного обслуживания КСЗИ;
¾ правила и положения по проведению тестирования и анализа работы КСЗИ.
Внедрение КСЗИ.
На этом этапе Исполнитель (или Подрядчик под авторским надзором Исполнителя) проводит все пусконаладочные работы, обучает и инструктирует персонал Заказчика правилам и режимам эксплуатации КСЗИ.
После реализации этого этапа внедренная КСЗИ готова к последующему испытанию.
Испытание КСЗИ.
На этом этапе Заказчик при активной поддержке Исполнителя проводит предварительные испытания КСЗИ, с целью подтверждения результативности ее работы и соответствия положениям, определенным в «Техническом задании на создание КСЗИ».
В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ.
По результатам испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу.
10. Проведение государственной экспертизы КСЗИ и получение
«Аттестата соответствия».
На этом этапе Контролирующий орган назначает Организатора государственной экспертизы, который проводит независимый анализ (экспертизу) соответствия КСЗИ требованиям, изложенным в документе «Техническое задание на создание КСЗИ», нормативной документации по технической защите информации, а также определяет возможность введения КСЗИ в промышленную эксплуатацию.
Привлечение независимого эксперта (Организатора экспертизы) к проведению государственной экспертизы КСЗИ повышает объективность оценки проведенных работ и уменьшает риск нарушений и злоупотреблений в сфере защиты информации.
Любая организация, входящая в Реестр Организаторов экспертиз в сфере ТЗИ, может проводить экспертизы вновь созданных КСЗИ или КСЗИ, «Аттестат соответствия» на которые необходимо продлевать. Реестр Организаторов экспертиз ведет Контролирующий орган.
Контролирующий орган по результатам проведения государственной экспертизы КСЗИ выдает документ «Аттестат соответствия», подтверждающий качество и надежность построенной КСЗИ.
«Аттестат соответствия» является обязательным для ввода КСЗИ в промышленную эксплуатацию.
Дата добавления: 2018-03-01; просмотров: 739;