Защищенные автоматизированные системы сегодня необходимы не только в сфере обеспечения обороноспособности и безопасности государства, но и в банковской сфере, области информационных технологий, телекоммуникационных систем и других.
Автоматизированная система = персонал + техника + документация.
Конечно же каждое предприятие полностью отвечает за все 3 составляющих, обеспечивающих функционирование автомазированных систем. Но разработка документаци – это действительно достижимая цель. Решение задач по разработке документации позволит достичь ощутимых результатов за довольно небольшой промежуток времени.
Мы не будем в данной книге подробно останавливаться на подборе персонала, как и на выборы техники для автоматизированных систем. Каждое предприятие самостоятельно решает данные вопросы в рамках имеющихся бюджетов.
К сожалению любая система содержит уязвимости и злоумышленники вполне способны их эксплуатировать.
В нашей стране существует методология построения систем в защищенном исполнении. Она конечно же не претендует на то, что способна отразить все атаки направленные на нее, но при выполнении определенных требований, способна обеспечить минимально необходимый уровень защищенности.
Данная книга будет полезна как студентам изучающим вопросы создания автоматизированных систем в защищенном исполнении так и действующим специалистам-практикам, отвечающим за информационную безопасность на предприятиях.
Книга ориентирована на проведение занятий со студентами в интерактивной – игровой форме. Точнее в форме ролевой игры, где студент выступает в роли специалиста отвечающего за организационное обеспечение информационной безопасности соответствующей автоматизированной системы, а преподаватель в роли комиссии по приемке документации. Причем отметим, что студенты могут объединяться в группы для создания документации, специализироваться на создании отдельных документов для своих сокурсников, но в конечном итоге каждый из них должен разработать полный комплект документов на автоматизированную систему.
Навык разработки и работы с документами является одним из самых важных не только для специалста по защите информации, но и для любого сотрудника.
Книга начинается со спецификации для АС Сотовый, далее по тексту могут встретиться документы для других АС, но вцелом важна идеология.
Все имена, фамилии и отчетсва, наименования предприятий являются вымышленными и использованы лишь в ознакомительных целях. Все возможные совпадения с реальными учреждениями или людьми являются случайными.
В настоящем Техническом задании используются следующие сокращения:
АМДЗ – аппаратный модуль доверенной загрузки
АРМ – автоматизированное рабочее место
АСЗИ – автоматизированная система в защищенном исполнении
АС – автоматизированная система
АС СОТОВЫЙ – автоматизированная система хранения и обработки данных в защищенном исполнении
НСД – несанкционированный доступ
ОПО – общесистемное программное обеспечение
ОС – операционная система
ПО – программное обеспечение
ПЭВМ – персональная электронно-вычислительная машина
ПЭМИН – побочные электромагнитные излучения и наводки
РД – руководящий документ
РСО – режимно-секретный отдел
СВТ – средства вычислительной техники
СЗИ – система защиты информации
ТЗ – техническое задание
ФЗ – федеральный закон
ОБЩИЕ СВЕДЕНИЯ
Полное наименование системы и ее условное обозначение
Полное наименование системы: Автоматизированная система хранения и обработки данных.
Краткое наименование системы: АС СОТОВЫЙ.
Шифр темы или шифр договора
Шифр системы – АС СОТОВЫЙ.
Номер контракта —
Наименование предприятий разработчика и заказчика системы и их реквизиты
Заказчиком системы является Закрытое акционерное общество «МТС».
Адрес заказчика: 681013, г. Комсомольск-на-Амуре, проспект Ленина, д.27.
Разработчиком системы является Общество с ограниченной ответственностью «Страж».
Адрес разработчика: 681014, г. Комсомольск-на-Амуре, Победы проспект, д.28.
1.4 Перечень документов, на основании которых создается система
Настоящее Техническое Задание разработано в соответствии с требованиями ГОСТ 34.602—89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
При разработке автоматизированной системы и создании проектно—эксплуатационной документации Исполнитель должен руководствоваться требованиями следующих нормативных документов Госстандарта:
– ГОСТ 34. Информационная технология. Комплекс стандартов на автоматизированные системы;
– РД 50—34.698—90. Методические указания. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов.
Разрабатываемая система должна соответствовать законодательным, нормативным и методическим документам Российской Федерации, в том числе в части определения прав собственности на информацию и обеспечения контроля целостности и подлинности информации, порядка применения технологии электронной цифровой подписи. При разработке подсистемы защиты от несанкционированного доступа следует руководствоваться следующими нормативными документами:
– Конституция РФ, от 12.12.1993 г.
– ГОСТ 50922—96. Защита информации. Основные термины и определения;
– ГОСТ 51583—2000. Порядок создания АС в защищенном исполнении;
– Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем. 1992 г.;
– Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. 1992 г.;
– Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технически средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. 1992 г.;
– Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. 1992 г.
– ГОСТ 34.602—89. «Информационная технология. Техническое задание на создание автоматизированной системы».
– ГОСТ 34.601—90. «Автоматизированные системы. Стадии создания».
– ГОСТ 34.201—89. «Виды, комплектность и обозначение документов при создании автоматизированных систем».