Последнее время всё больше попадающихся мне тендеров, конкурсов, программ, концепций, заданий на создание крупных информационных систем (ИС), автоматизированных систем (АС, АСУ), содержащих разделы, связанные с информационной безопасностью. В связи с увеличением количества нормативных актов в области ИБ и вниманием общественности – у инициаторов проекта есть понимание, что защита информации должна быть и должна в какой то момент обеспечиваться.
Так же есть понимание какие мероприятия включает в себя жизненный цикл ИС (ГОСТ 34.601), какие стадии включает в себя жизненный цикл подсистем ИБ (СТР-К, проект приказа ФСТЭК по защите ГИС и т.п.).
Но пока нет общего понимания – какие мероприятия ИБ и в какой последовательности должны выполнятся на каждой создания новой ИС:
· на какой стадии должно выполняться моделирование угроз?
· проектирование ПИБ выполнять одновременно с проектированием основного приложения или после?
· какие мероприятия ИБ закладывать на этапе разработки концепции ИС?
Проанализировал имеющиеся у меня стандарты на предмет наличия привязки мероприятий по ИБ к стадиям создания ИС.
Наиболее полон в этом смысле ГОСТ Р 51583-2000, в котором указано что на каждой стадии создания ИС, должен выполняться аналогичный этап создания ПИБ. Не смотря на дату документа (2000 год) для ФСТЭК Р это всё ещё приоритетный документ (судя по проекту приказа ФСТЭК Р по защите ГИС).
Посмотрим проект ISO 27002-2013 . Всё что там есть по этапам создания систем – негусто. Но есть указание что ПИБ должна внедряться на самых ранних стадиях создания ИС.
“System requirements for information security and processes for implementing security should be integrated in the early stages of information system projects. Controls introduced at the design stage are significantly cheaper to implement and maintain than those included during or after implementation.”
В документе NIST 800-64 “Security Considerations in the System Development Life Cycle” так-же есть привязка мероприятий по информационной безопасности к стадиям создания ИС (IT system development life cycle, SDLC). Так-же как в ISO, мероприятия по ИБ требуется начинать уже на самой ранней стадии создания ИС. Сам NIST-овский документ очень похож, по сути, на проект приказа ФСТЭК Р по защите ГИС, который ссылается на ГОСТ Р 51583-2000.
Объединил этапы из этих двух документов в одну таблицу, для наглядности и сравнения. Взял только стадии создания ИС (без эксплуатации и вывода из действия)
Жаль, что с этими документами знакомы далеко не все инициаторы создания ИС. Сейчас активно создаются системы, в которых вопросы информационной безопасности отложены на последний срок, упоминаются вскользь, либо вообще не включены:
Таблица сравнения ГОСТ Р 51583-2000 и NIST 800-64
Схема этапов по NIST
