Этапы построения КСЗИ.
Задачи построения КСЗИ.
Описание модели бизнес-процессов.
Модель бизнес-процесса Администрации города Миасса максимально подробно описан в Приложении №1, с помощью построения модели BPwin.
Проанализировав структуру Администрации можно выделить, что она имеет очень обширную сферу деятельности. Потому, что состоит из множества отделов. В каждом отделе рассматриваются различные вопросы по обеспечению жизнедеятельности города. Каждый отдел несет ответственность за свои действия.
Деятельность Администрации является очень важной, потому как это муниципальные орган управления города.
После анализа имеющихся данных можно выделить ряд задач необходимых для построения КСЗИ:
— дополнение имеющихся мер защиты, внедрение и организацию;
— составить комплекс организационных мероприятий;
—проработать перечень программно-аппаратных и инженерно-технических мер;
— необходимо составить перечень конфиденциальной информации;
— составляется перечень объектов защиты;
— определить перечень угроз для этих объектов;
— рассчитать информационные риски.
Рассмотрев состав информационных ресурсов предприятия, определяем состав конфиденциальной информации:
— Сведения, составляющие коммерческую тайну;
— Сведения, содержащие персональные данные.
Получаем перечень сведений, составляющих конфиденциальную информацию (Приложение №2);
Также необходимо определить местоположение защищаемой информации на предприятии. Для этого составляется перечень объектов защиты (Приложение №5), включающий структурную графическую схему второго этажа в здании Администрации (Приложение №6), где проходит основной поток конфиденциальной информации.
Для создания комплексной системы защиты информации на предприятии необходимо провести ряд мероприятий:
Эти мероприятия может проводить как специально приглашённая фирма- исполнитель, так и служба безопасности предприятия (если она имеет лицензию на осуществление этой деятельности).
1.Стартовый (начальный).
— Получение согласия высшего руководства на создание КСЗИ.
— Разработка плана работ по созданию КСЗИ.
— Формирование команды по созданию КСЗИ.
В результате проведения этого этапа должны появиться следующие документы:
— Приказ о создании КСЗИ,
— план работ по созданию КСЗИ,
— приказ о формировании команды,
— приказ о проведении обследования предприятия.
2. Этап предпроектного обследования.
На этом этапе проводится обследование (аудит) предприятия.
— Инвентаризация объектов информатизации и персонала.
— Выявление информационных потоков.
— Моделирование бизнес-процессов.
— Разработка отчёта, в который должны входить: объекты защиты с точки зрения угроз, модели злоумышленников, ответственные за объекты информатизации, расчёт рисков, ранжирование рисков.
— Разработка технического задания на проектирование КСЗИ. В него входят ключевые объекты защиты, меры и средства защиты, требования по защите.
3. Проектирование.
— Создание системного проекта.
— Создание “Политики безопасности”.
— Проведение работ по созданию КСЗИ (технический проект с опорой на ресурсы, «Технический проект на создание КСЗИ» представляет собой комплект документов, в который входит часть документов разработанных на предыдущих этапах и ряд новых документов, в которых описано, как именно будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ).
— Создание рабочего проекта.
4. Внедрение
На этом этапе создаётся пакет документов «Эксплуатационная документация на КСЗИ», который включает:
— Инструкции эксплуатации КСЗИ и её элементов;
— Процедуры регламентного обслуживания КСЗИ;
— Правила и положения по проведению тестирования и анализа работы КСЗИ.
На этом этапе проводится все пусконаладочные работы, обучает и инструктирует персонал предприятия правилам и режимам эксплуатации КСЗИ.
После реализации этого этапа внедренная КСЗИ готова к последующему испытанию. В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ. По результату испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу.