В обсуждениях к предыдущейзаметке был поднят вопрос о таком важном этапе в процессе проектирования СЗПДнкак – выбор СЗИ. Действительно, при внедрении качественной, работающей СЗПДн –Заказчик не должен ставится перед фактом, что будет внедрятся такой-то переченьСЗИ и точка. Заказчик должен активно участвовать в выборе СЗИ, и на выбордолжны влиять не только требования Правительства РФ, ФСТЭК, ФСБ но и некиеособенности в данном Операторе.
Предполагается, что приступая к выборуСЗИ, мы уже определили требуемый минимально перечень мер (методов и способов)защиты ПДн, на предыдущем этапе .
Хочу отметить, что сравниватьсядолжны не только СЗИ и СЗИ, но и организационные меры. Например, требования порегистрации определенных событий, уничтожению информации могут быть выполнены какСЗИ, так и без них. Так-же могутсравниваться варианты с применением централизованных средств (управления, сборасобытий и т.п.) и без них.
Одним из важнейших характеристикпри сравнении СЗИ является их цена. Приоценке стоимости необходимо учесть не только первоначальную стоимость СЗИ, но изатраты на внедрение и эксплуатацию СЗИ в течении среднего срока жизни СЗИ ворганизации.
Например, в может оказаться, чтов сравнении электронных замков Соболь и сетевого варианта Secret Net, начальнаястоимость решения будет меньше у электронных замков. Но стоимость внедрения и эксплуатации электронныхзамков будет выше. Ведь они не имеют централизованного управления и в случае проблем,неисправностей требуют вскрытия технических средств.
Если существенных характеристикСЗИ, имеющих значение для данного проекта - очень много, их сравнение становится не очевидным длябольшой аудитории. В таком случае, в зависимости от ценности характеристик дляданного проекта и данного Заказчика может быть определен показательэффективности СЗИ (либо несколько ключевых показателей). И при согласовании сбольшой аудиторией, особенно руководством, можно оперировать уже этимипоказателями эффективности.
Форма, в которой производитсясравнение, и выбор вариантов СЗИ может быть различной. Встречался ряд проектов,где формальный отчетный документ о выборе СЗИ не требовался. Вместо этого Исполнительделал согласование с техническими специалистами Заказчика по аналитическим материаламв формате Excel, а с руководством Заказчика в формате презентации.
Если принято решение формальнодокументировать выбор СЗИ в рамках СЗПДн, то в при выставлении требований кИсполнителю необходимо убедиться что результаты работ будут содержать:
1. описание существующей ИТ-инфраструктуры(ситуация до внедрения СЗПДн)
2. описание существующих средств защиты информации,в том числе наличия сертификатов или возможности сертификации
3. описание обязательных требований к мерам защитыПДн, которые должны выполняться системой в соответствии с законодательством РФ
4. описание дополнительных требований к СЗПДн,которые должны выполняться системой в соответствии с внутренними стандартамиЗаказчика (например, средства построенияVPNдолжны поддерживать IPSEC)
5. описание рекомендаций к СЗПДн, которые являютсякритериями выбора СЗИ при выполнении всех требований с указанием их значимости(цена, надежность, поддержка, возможности управления, мониторинга, системныевозможности и т.п.)
6. правила сравнения и выбора СЗИ
7. возможные варианты выполнения обязательных идополнительных требований (как с применением СЗИ, так и с применениеморганизационных мер)
8. описание значимых характеристик каждого изперечисленных СЗИ
9. сравнение СЗИ для каждого из требований(возможна группировка требований)
10. сравнение альтернативных технологий выполнениятребований (например, криптографическая защита трафика с применениемSite-to-Site VPN и Remote VPN)
11. сравнение вариантов мероприятий требующих модернизациютекущей ИТ-инфраструктуры с вариантами фактически не влияющими на неё (например,необходимость внедрения службы каталогов или замены всех коммутаторов науправляемые)
12. сравнение вариантов сертификации СЗИ (например,сертификация серии совместно с производителем или самостоятельная сертификацияэкземпляра)
13. сравнение вариантов с централизованнымуправлением, мониторингом и без них
14. сравнение вариантов с применением организационныхмероприятий и СЗИ
15. перечень выбранных мероприятий по каждому изтребований
16. итоговый расчет затрат на реализацию всех мероприятий.
В соответствии с ГОСТ 34.601-90такой документ может называться концепция СЗПДн либо в соответствии с ГОСТ24.202-80 называться технико-экономическим обоснованием СЗПДн.
