понедельник, 19 декабря 2011 г.

СЗПДн. Проектирование. Выбор СЗИ


В обсуждениях к предыдущейзаметке был поднят вопрос о таком важном этапе в процессе проектирования СЗПДн как – выбор СЗИ. Действительно, при внедрении качественной, работающей СЗПДн – Заказчик не должен ставится перед фактом, что будет внедрятся такой-то перечень СЗИ и точка. Заказчик должен активно участвовать в выборе СЗИ, и на выбор должны влиять не только требования Правительства РФ, ФСТЭК, ФСБ но и некие особенности в данном Операторе.
Предполагается, что приступая к выбору СЗИ, мы уже определили требуемый минимально перечень мер (методов и способов) защиты ПДн, на предыдущем этапе.
Хочу отметить, что сравниваться должны не только СЗИ и СЗИ, но и организационные меры. Например, требования по регистрации определенных событий, уничтожению информации могут быть выполнены как СЗИ, так и без них.  Так-же могут сравниваться варианты с применением централизованных средств (управления, сбора событий и т.п.) и без них.
Одним из важнейших характеристик при сравнении СЗИ является их цена.  При оценке стоимости необходимо учесть не только первоначальную стоимость СЗИ, но и затраты на внедрение и эксплуатацию СЗИ в течении среднего срока жизни СЗИ в организации.
Например, в может оказаться, что в сравнении электронных замков Соболь и сетевого варианта Secret Net, начальная стоимость решения будет меньше у электронных замков.  Но стоимость внедрения и эксплуатации электронных замков будет выше. Ведь они не имеют централизованного управления и в случае проблем, неисправностей требуют вскрытия технических средств.
Если существенных характеристик СЗИ, имеющих значение для данного проекта - очень много,  их сравнение становится не очевидным для большой аудитории. В таком случае, в зависимости от ценности характеристик для данного проекта и данного Заказчика может быть определен показатель эффективности СЗИ (либо несколько ключевых показателей). И при согласовании с большой аудиторией, особенно руководством, можно оперировать уже этими показателями эффективности.
Форма, в которой производится сравнение, и выбор вариантов СЗИ может быть различной. Встречался ряд проектов, где формальный отчетный документ о выборе СЗИ не требовался. Вместо этого Исполнитель делал согласование с техническими специалистами Заказчика по аналитическим материалам в формате Excel, а с руководством Заказчика в формате презентации.
Если принято решение формально документировать выбор СЗИ в рамках СЗПДн, то в при выставлении требований к Исполнителю необходимо убедиться что результаты работ будут содержать:
1.      описание существующей ИТ-инфраструктуры (ситуация до внедрения СЗПДн)
2.      описание существующих средств защиты информации, в том числе наличия сертификатов или возможности сертификации
3.      описание обязательных требований к мерам защиты ПДн, которые должны выполняться системой в соответствии с законодательством РФ
4.      описание дополнительных требований к СЗПДн, которые должны выполняться системой в соответствии с внутренними стандартами Заказчика (например, средства построения VPN должны поддерживать IPSEC)
5.      описание рекомендаций к СЗПДн, которые являются критериями выбора СЗИ при выполнении всех требований с указанием их значимости (цена, надежность, поддержка, возможности управления, мониторинга, системные возможности и т.п.)
6.      правила сравнения и выбора СЗИ
7.      возможные варианты выполнения обязательных и дополнительных требований (как с применением СЗИ, так и с применением организационных мер)
8.      описание значимых характеристик каждого из перечисленных СЗИ
9.      сравнение СЗИ для каждого из требований (возможна группировка требований)
10.   сравнение альтернативных технологий выполнения требований (например, криптографическая защита трафика с применением Site-to-Site VPN и Remote VPN)  
11.   сравнение вариантов мероприятий требующих модернизацию текущей ИТ-инфраструктуры с вариантами фактически не влияющими на неё (например, необходимость внедрения службы каталогов или замены всех коммутаторов на управляемые)  
12.   сравнение вариантов сертификации СЗИ (например, сертификация серии совместно с производителем или самостоятельная сертификация экземпляра)
13.   сравнение вариантов с централизованным управлением, мониторингом и без них
14.   сравнение вариантов с применением организационных мероприятий и СЗИ
15.   перечень выбранных мероприятий по каждому из требований
16.   итоговый расчет затрат на реализацию всех мероприятий.
В соответствии с ГОСТ 34.601-90 такой документ может называться концепция СЗПДн либо в соответствии с ГОСТ 24.202-80 называться технико-экономическим обоснованием СЗПДн.

4 комментария:

Артем Агеев комментирует...

вооот! совсем другое дело =)

только, конечно, никакая не концепция.

Сергей Борисов комментирует...
Этот комментарий был удален автором.
Andrey Prozorov комментирует...

Ага, не концепция. В первых документах ФСТЭК, да и в некоторых ГОСТах остался еще такой зверь-документ как "Замысел защиты". А Технико-экономическое обоснование на самом деле самый подходящий вариант.

Majnum комментирует...

Пользоваться ГОСТ 24.202-80 не имеет смысла, так как он был заменен РД 50-34.698-90