В последнее время очень частосталкивался со следующей ситуацией: Операторы ПДн заказывает у Лицензиатакомплект бумажек (отчет об обследовании, модель угроз, ТЗ, проект, ОРД) исертифицированных средств защиты по минимальной стоимости, не беспокоясь какэто будет работать и будет ли работать. Главное чтобы жопу прикрытьзащитится от Регулятора.
В результате этого у другихОператоров создается впечатление – всё что связано с СЗПДн это что-тобесполезное, заведомо не работающее.
На самом деле это не так. Мне приходилосьучаствовать в большом количестве проектов, в рамках которых внедрялисьдействительно необходимые заказчику меры и СЗИ. В дальнейшем СЗПДн расширяласьили интегрировалась в общую систему обеспечения ИБ Организации.
Что можно предпринять, если вамнужна действительно работающая СЗПДн и исполнитель - Интегратор обещает внедритьтакую систему?
Большое значение для эффективнойреализации СЗПДн имеет проект СЗПДн. Привыставлении требований к Исполнителю необходимо убедится, что проект на СЗПДнбудет содержать:
1. описание существующей ИТ-инфраструктуры(ситуация до внедрения СЗПДн)
2. описание существующих средств защиты информации,в том числе наличия сертификатов или возможности сертификации
3. описание актуальных угроз безопасности, которыедля нейтрализации которых предназначена система
4. описание актуальных обязательных требований,которые должны выполняться системой
5. описание структуры СЗПДн в целом, составляющихеё подсистем, назначения подсистем
6. перечень выбранных средств защиты информации иих взаимосвязь с подсистемами СЗПДн
7. описание наличия сертификатов у выбранныхсредств защиты или возможности их сертификации
8. описание компонентов, из которых состоятсредства защиты информации
9. описание точного количества компонентов средствазащиты информации, которые будут вновьустанавливаться на каждом из территориально выделенных объектов Заказчика
10. описание точного количества существующих уЗаказчика компонентов средств защиты информации, которые будут использоваться в составе СЗПДн
11. описание предварительных мероприятий поизменению ИТ-инфраструктуры или подготовке к внедрению средств защитыинформации (например, перенос существующего оборудования, изменения в IP-адресации, добавление новыхVLAN, переключении существующего оборудования и т.п.)
12. перечень технических средств (АРМ, серверов и т.п.)на которые устанавливаются программные компоненты СЗИ с идентификаторами,позволяющими однозначно определить такие технические средства
13. описание мест, в которые устанавливаются новыетехнические средства СЗПДн c указанием идентификаторов новых техническихсредств (ТС), помещений, стоек.
14. описание физических соединений между новыми исуществующими ТС, между новыми ТС и внешними системами
15. описание взаимодействия между компонентами врамках подсистемы
16. описание взаимодействия между подсистемами
17. описание взаимодействия СЗПДн с внешнимисистемами
18. описание тех функций (из всех возможных функций)средств защиты информации, которые будут использоваться в СЗПДн
19. описание этапов конфигурации каждого компонентаСЗПДн
20. описание параметров конфигурации компонентовСЗПДн
21. описание изменения параметров конфигурациисуществующих технических средств
22. описание возможных режимов функционированияСЗПДн и её компонентов
23. описание правил диагностирования и переходаСЗПДн и её компонентов из одного режима в другой
24. описание существенных характеристик вновьвнедряемых технических средств (производительность, форм-фактор, размеры,потребляемая мощность и т.п.)
25. описание мер, используемых в СЗПДн длянейтрализации угроз, подготовленных в соответствии с требованием 3.
26. описаниесоответствия предлагаемой СЗПДн обязательным требованиям, предъявляемым к системе
27. описание функций и ролей выполняемых персоналомпри эксплуатации и обслуживании СЗПДн
28. расчет численности персонала, необходимого дляэксплуатации и обслуживания СЗПДн
29. описание квалификации персонала, необходимой дляэксплуатации и обслуживания СЗПДн
30. описания необходимых изменений в организационнойструктуре Заказчика
Пункты выше приведены, не потомучто они требуются каким-то стандартом, а потому что они были бы необходимы мнепри внедрении СЗПДн. И если Исполнитель не собирается при проектировании делать приведенные выше работы, то стоит задуматься - будет ли работать ваша СЗПДн?
Правильное содержание других работ, кроме проектирования,рассмотрю в отдельных заметках.
Правильное содержание других работ, кроме проектирования,рассмотрю в отдельных заметках.
