Разработка требований безопасности информационной системы

Обязанность руководителя каждой компании — обеспечить высокий уровень информационной безопасности. Кибератакам постоянно подвергаются базы данных банков и других финансовых систем, силовых структур, государственных органов, а также хранилища личных данных у операторов связи. Создание системы собственными силами не всегда может обеспечить достаточный уровень защиты. Поэтому постоянно растет спрос на услуги разработки программных продуктов, направленных на обеспечение ИБ. Разработка требований безопасности информационной системы осуществляется в соответствии с нормативами ГОСТ Р50922-2006.

Компании используют для защиты своих информационных баз отечественные и иностранные разработки. В свете актуальной геополитической обстановки и в рамках глобальной программы импортозамещения рынок этих услуг приобрел приоритет к использованию российских разработок. Из общего количества заказчиков IT-услуг существенная часть нуждается в индивидуальной разработке защищенной системы под ключ, с учетом конкретных условий и потребностей компании. Ежегодно объем отечественных разработок увеличивается в среднем на 10 процентов.

Причина такого активного роста заключается в нескольких важных факторах:

• государственной политике в отношении цифровизации общества и создании глобальных программ борьбы с информационными угрозами;
• конкретизации требований, выставленных регуляторами;
• возросшем объеме количества взломов и других угроз безопасности.

Для реализации задач безопасности информации было разработано отдельное направление в проекте «Цифровая Россия». В рамках этой деятельности ведутся активные разработки продуктов для внедрения в медицинские и обучающие организации, органы госслужб, объекты среднего и малого предпринимательства. Крупные промышленные концерны создают собственные центры IT и обращаются к специалистам исключительно для реализации частных аспектов создания систем защиты информации.

Особенности отечественного рынка разработок систем ИБ

• Разработкой систем информационной безопасности в России занимаются крупные интеграторы, отдельные компании, специализирующиеся в области IT, ведомственные центры и некоторые производители компьютерного оборудования. Стоимость отечественных разработок, в среднем, на 12 % дешевле, чем иностранные аналоги.
• Российские компании-разработчики создают программное обеспечение, которые удовлетворяют пользовательские требования. Но деятельность в этом сегменте IT серьезно затруднена нехваткой специалистов и постоянными изменениями позиций регуляторов. В связи с этим ощущается отсутствие целостных разработок. Пользователи часто вынуждены приобретать несколько отдельных пакетов, которые не могут корректно взаимодействовать и требуют грамотного управления и адаптации. Для реализации этих задач требуется штат квалифицированных специалистов и дополнительные расходы на приобретение технических средств.
• Госструктуры обращаются к ведущим разработчикам и заказывают индивидуально создание целостного программного решения по обеспечению информационной безопасности. Государственные дорогостоящие проекты включают задачи развития отечественных ОС, браузеров, мессенджеров, сбора цифровых следов пользователей InterNet, рекомендательного контента.
• Деятельность разработчиков контролируется государством. Контроль осуществляется, в частности, в сфере защиты пользователей от зарубежной сетевой пропаганды и манипуляций сознанием. Углубленное внимание уделяется обеспечению безопасности для детей, контролю отношений внутри общества, построению надежных преград внешнему информационному проникновению.
• Разработка системы информационной безопасности — лицензионный вид деятельности. Право на создание продуктов такого типа подтверждается сертификатом. Это защищает пользователей от приобретения пиратских версий под видом оригинального продукта. Полномочия государственного регулирования принадлежат ФСТЭК. На сайте организации опубликован список лицензированных разработчиков и сертифицированных продуктов.

Как создаются программные средства защиты информации

Создание надежной системы ИБ — многоуровневая задача высокой сложности. Процесс включает разработку требований безопасности информационной системы, макетирование, аттестационные испытания, экспертно-оценочные мероприятия, оформление документации и еще целый комплекс проектных решений.

При составлении технического задания учитываются законодательные требования, данные обследования ИС предприятия, специфика защищаемой системы.

1. На предпроектном этапе формируются требования к системе ИБ. Формулируются цели и задачи защиты информации. Определяются требования к системе и возможные угрозы безопасности. Объект классифицируется по требованиям к защите и характеризуется по структурно-функциональным признакам. Определяется статус и масштаб объекта, наличие подключений к сторонним сетям, режим обработки данных, уровень доступа. Анализируется эффективность чтения, голосового ввода, сортировки, удаления, записи, поиска, модификации, передачи и других операций. Устанавливаются виды используемых технологий (туннелирования, удаленного доступа, виртуализации, беспроводной связи и др.).
2. На этапе проектирования осуществляется непосредственная разработка продукта. В зависимости от особенностей деятельности и потребностей компании подбираются оптимальные информационные технологии для создания продукта. Разрабатываются общие решения системы безопасности, алгоритмы работы, конфигурации программных и технических средств защиты, функции обслуживающего персонала, методы внедрения. Составляется эксплуатационная и проектная документация с учетом ГОСТов Р 51583-2014 и 34.201-89. В пакет документов входят руководства для администраторов, ведомости, описания программного обеспечения и оборудования, спецификации, схемы организационных и функциональных структур, методики и программы испытаний.
3. На этапе внедрения осуществляется установка, настройка, испытания системы информационной безопасности. ИС укомплектовывается средствами защиты информации, после чего проводятся предварительные испытания. В ходе тестирования могут быть выявлены системные или технические недочеты. В случае обнаружения таковых производится доработка системы информационной безопасности.
4. Заключительный этап — приемо-сдаточные испытания и оценка работы системы ИБ, подтверждение соответствия требованиям законодательных нормативов и технического задания. Проводится добровольная или обязательная аттестация информационной системы. По результатам оформляются протоколы и заключения, составляются рекомендации по обеспечению защиты.

В ходе дальнейшей эксплуатации разработчик устраняет возникающие недостатки, контролирует стабильность характеристик в течение оговоренного гарантийного срока. Пользователь обязан извещать органы, выдавшие аттестат, об изменениях условий эксплуатации, состава, порядка размещения системы, а также предоставить условия и документы для надзора и контроля. Если в процессе эксплуатации пользователь повысил класс защищенности системы, назначается повторная процедура аттестации, как и по окончании срока действия аттестата.

Защита персональных данных

Еще на этапе планирования юридическим лицом деятельности, связанной с хранением и обработкой персональных данных, руководитель обязан обратиться в Роскомнадзор и оформить соответствующий сертификат. В соответствии с требованиями ФСТЭК определяется класс защищенности в зависимости от количества записей и категории обрабатываемой информации (общедоступная, специальная, биометрическая).

После установки класса защищенности выполняются следующие этапы:

• разрабатывается формат, в котором принимается согласие на обработку персональной информации;
• утверждается положение по защите ПД;
• создаются модели ожидаемых угроз безопасности;
• выпускается приказ с перечнем ответственных лиц с допуском к персональным данным;
• выбирается методика регистрации кибератак;
• разрабатывается система ограничений доступа к программным и аппаратным средствам;
• утверждается принцип аутентификации и идентификации пользователей.

До начала деятельности определяются оптимальные средства защиты облачных платформ, антивирусной защиты, обеспечения целостности и доступности информации, защиты от хакерских вторжений. Разработанные и утвержденные средства сертифицируются в соответствии с классом оператора. В процессе эксплуатации программы каждые три года осуществляется переоценка системы ИБ.

Большинство компаний, работающих с персональными данными, защищают свои информационные базы межсетевыми экранами (файрволами или брандмауэрами). В регламентах ФСТЭК изложены требования для профилей 4, 5 и 6 класса защиты, которые не используются с информацией, содержащей государственные тайны. Межсетевые экраны фильтруют и контролируют информационные каналы, выполняют функции, обозначенные в установленных правилах.

Файрвол предотвращает угрозы:

• несанкционированного проникновения в информационную систему через неконтролируемое подключение к сети;
• отказ элементов системы из-за уязвимости программ и протоколов или некачественной настройки безопасности;
• DDoS-атак и информационных утечек.

Межсетевой экран обеспечивает собственное функционирование и восстановление после произошедшего сбоя, взаимодействует с другими элементами и администрирует свою работу.

ФСТЭК контролирует используемые виды межсетевых экранов рабочих станций по ГОСТ Р ИСО/МЭК 15408-2-2013. Защита данных в гаджетах и автомобильном электронном оборудовании обеспечивается средствами по свободному выбору владельца.

Значение аудита ИБ

Для проверки и оценки уровня безопасности информационной системы необходимо периодически проводить аудит. В процессе всестороннего обследования выявляются слабо защищенные участки, оценивается текущее состояние системы безопасности, планируются мероприятия по повышению эффективности.

Аудит направлен на обеспечение соответствия продукта бизнес-задачам предприятия и повышение экономической рентабельности. Проверка уровня ИБ осуществляется в соответствии с международным стандартом ISO 17799. По каждому требованию, изложенному в нормативном документе, прорабатываются вопросы по факту выполнения данного требования и причинах в случае невыполнения.

Процедура аудита отличается трудоемкостью, особенно в рамках крупной или средней компании. План проведения, методики и критерии проверки согласуются между заказчиком и аудитором. Если проверочные мероприятия заканчиваются успешно, компания получает сертификат со сроком действия 3 года. По результатам формируется стратегия дальнейшего развития системы информационной безопасности, определяется выбор оптимальных методов и технологий, программных средств.

Аудит ИБ необходим в следующих ситуациях:

• при смене руководящего звена компании;
• при изменениях организационной структуры;
• при реорганизации предприятия (слиянии, объединении, поглощении);
• при изменении бизнес-стратегии;
• при обновлении комплекса требований к ИБ.

Проводить аудит можно для всей компании, одного или нескольких подразделений.

Если вам необходимы услуги разработки системы информационной безопасности, обращайтесь в нашу компанию. Мы найдем оптимальное решение конкретно для ваших задач, создадим надежно защищенную от угроз систему. При необходимости проведем аудит системы ИБ по правилам ISO 17799, ГОСТ Р ИСО/МЭК 27007-2014.