...
Рис. 1.17. Структура объекта информатизации металлургической компании
При разработке политики информационной безопасности объектов информатизации необходимо обеспечить:
• универсальность решений и полноту требований по информационной безопасности компании для мультипротокольных реализаций действующих информационных и коммуникационных систем объектов информатизации компании в соответствии с законодательными и нормативными актами Российской Федерации;
• формирование системы взглядов, требований и решений, обеспечивающих единство, интегрированность и совместимость реализации мероприятий раздела "Система обеспечения информационной безопасности компании" ("Создание и развитие удостоверяющего центра, выдающего сертификаты ключей ЭЦП", "Разработка концепции программно-аппаратного комплекса мониторинга и защиты информационных ресурсов объектов информатизации компании от внешних и внутренних угроз информационной безопасности", "Создание и развитие защищенного центра резервного хранения данных информационных ресурсов компании");
• формирование системы взглядов, требований и решений по информационной безопасности компании, необходимых для реализации проектов в области защиты информации.
При разработке политики информационной безопасности необходимо:
• разработать требования по обеспечению безопасности информационных ресурсов и систем компании;
• обследовать проекты, защищаемые объекты информатизации;
• разработать проект Технического задания на создание единой системы информационной безопасности компании;
• определить перечень первоочередных работ по защите программными и аппаратными способами информационных ресурсов и систем компании от несанкционированного доступа, искажения или потери;
• подготовить испытательный стенд для отработки типовых решений в области защиты информации;
• разработать технико-экономическое обоснование реализации базовых технологий по обеспечению информационной безопасности в рамках проектов планируемого года;
• подготовить и выпустить комплект необходимой документации, представить ее на экспертизу.
Решения, полученные в результате разработки политики информационной безопасности объектов информатизации компании, должны обеспечивать:
• возможность создания единой системы информационной безопасности компании;
• единство принципов и интеграцию технологических решений по защите информации компании при реализации проектов в области защиты информации.
Требования к политике безопасности. Разработка политики информационной безопасности компании должна быть осуществлена с учетом:
• существующих общих проблем и тенденций обеспечения информационной безопасности информационно-коммуникационных технологий на основе мирового и отечественного опыта;
• законодательной и нормативной основы обеспечения информационной безопасности информационно-коммуникационных технологий;
• особенностей обеспечения информационной безопасности объектов информатизации компании.
В результате разработки политики информационной безопасности компании должны быть рассмотрены:
• потенциальные угрозы информационным ресурсам и системам, возможные последствия их реализации;
• требования и методы противодействия угрозам информационной безопасности;
• технологии обеспечения информационной безопасности защищаемых ресурсов и систем;
• функциональные подсистемы и организационные процедуры обеспечения информационной безопасности ресурсов и систем объектов информатизации компании;
• органы и процедуры управления деятельностью по обеспечению информационной безопасности;
• вопросы мониторинга и анализа состояния дел в сфере информационной безопасности.
В результате обследования должны быть оценены решения и разработаны типовые требования по обеспечению информационной безопасности компании.
Документирование проекта. Отчетная документация оформляется в соответствии с общими требованиями к текстовым документам по ГОСТ 2.105-79.
В процессе выполнения работ Исполнителем разрабатывается следующая документация:
• Политика информационной безопасности компании;
• Итоговый научно-технический отчет;
• Предложения по реализации Концепции информационной безопасности компании на период 2005–2007 годов (по результатам обследования);
• Проект Технического задания на создание комплексной системы информационной безопасности объектов информатизации компании;
• Требования по обеспечению информационной безопасности объектов информатизации компании;
• Технико-экономическое обоснование реализации базовых технологий по обеспечению информационной безопасности компании.
Отчетные материалы оформляются на бумажном носителе формата А4 и магнитном носителе (CD-R) в двух экземплярах каждого вида и передаются Заказчику. Работы по объекту конкурса выполняются в один этап.
1.5.2. Коммерческий банк
Общее описание объекта информатизации (рис. 1.18):
1. Документы, заказываемые Исполнителю, а именно проект концепции и эскизный проект по обеспечению информационной безопасности, согласованные и принятые Заказчиком, разрабатываются в целях обеспечения информационной безопасности объекта информатизации, которым является АС коммерческого банка (далее – "компания"),
2. Компания действует на основании Устава и предоставляет физическим и юридическим лицам банковские услуги.
3. Организационная структура компании имеет три основных уровня: центральное отделение банка, расположенное в г. Санкт-Петербурге; резервный центр обработки данных в г. Москве; отделения банка (около 100), расположенные в городах и других населенных пунктах районного значения на всей территории РФ.
4. Общая численность персонала компании составляет около 5 тыс. сотрудников.
5. Основной объем информации, вводимой, получаемой, передаваемой и обрабатываемой в процессе работы компании, – банковские данные, но в их составе также передается и обрабатывается дополнительная служебная информация. Помимо традиционных угроз возможного незаконного использования банковской информации, таких, как получение несанкционированного доступа к передаваемым или обрабатываемым данным, искажение передаваемой информации, нарушение целостности передаваемых или обрабатываемых данных, возможны угрозы доступа к сведениям, составляющим государственную или служебную тайну.
...
Рис. 1.18. Структура объектов информатизации банка
7. Взаимодействие компании осуществляется с клиентами и бизнес-партнерами, а также с Центральным банком России, МНС России, Государственным таможенным комитетом Российской Федерации и другими органами государственной власти.
8. Система защиты информации должна обеспечивать возможность организации процесса обмена данными и электронными документами между подразделениями компании на всех уровнях (центральное отделение – резервный центр обработки данных – городские и районные отделения банка), не накладывая ограничений на выбор системы передачи данных. Кроме того, необходимо предусматривать возможность реализации удаленного доступа пользователей системы к информации, организации IP-телефонии, конференций и т. д.
9. Подразделения компании различного уровня могут размещаться в отдельных собственных или арендуемых зданиях (в том числе не в одном), собственных или арендуемых помещениях в зданиях (в том числе удаленных друг от друга). Организационная структура компании строится из отделов.
Таблица 1.3. Перечень разрабатываемых документов
...
Примечание: Под сокращенным термином "концепция" понимается концепция информационной безопасности, под сокращенным термином "ЭП" понимается эскизный проект по обеспечению информационной безопасности. Участник в составе Технической части своей заявки может мотивированно предложить дополнить указанный выше перечень руководящих и специальных нормативных документов по обеспечению безопасности, подлежащих разработке в дополнение к концепции и ЭП. Данные предложения будут оцениваться в рамках оценки Технической части заявки по установленным критериям.
Иногда возможно размещение не связанных между собой отделов в одном помещении.
10. В территориальных подразделениях компании должны быть созданы отделы обеспечения безопасности информации для работы на местах.
11. Руководящие и специальные документы по обеспечению информационной безопасности должны разрабатываться с учетом возможных организационных и технологических изменений в работе компании.
Требования к документам. В результате проведенных работ Победитель конкурса должен сдать согласованную с Заказчиком окончательную редакцию проектов следующих документов (см. табл. 1.3).
Все перечисленные отчетные документы должны быть подготовлены в соответствии с нормативными документами, приведенными ниже в табл. 1.4.
Таблица 1.4. Перечень нормативных документов