СОИБ. Анализ. Создание защищенных ИС


Последнее время всё больше попадающихся мне тендеров, конкурсов, программ, концепций, заданий на создание крупных информационных систем (ИС), автоматизированных систем (АС, АСУ), содержащих разделы, связанные с информационной безопасностью. В связи с увеличением количества нормативных актов в области ИБ и вниманием общественности – у инициаторов проекта есть понимание, что защита информации должна быть и должна в какой то момент обеспечиваться.

Так же есть понимание какие мероприятия включает в себя жизненный цикл ИС (ГОСТ 34.601), какие стадии включает в себя жизненный цикл подсистем ИБ (СТР-К, проект приказа ФСТЭК по защите ГИС и т.п.).

Но пока нет общего понимания – какие мероприятия ИБ и в какой последовательности должны выполнятся на каждой создания новой ИС:
·        на какой стадии создания ИС должно выполняться моделирование угроз?
·        проектирование ПИБ выполнять одновременно с проектированием основного приложения или после?
·        какие мероприятия ИБ закладывать на этапе разработки концепции ИС?

Проанализировал имеющиеся у меня стандарты на предмет наличия привязки мероприятий по ИБ к стадиям создания ИС.

Наиболее полон в этом смысле ГОСТ Р 51583-2000, в котором указано что на каждой стадии создания ИС, должен выполняться аналогичный этап создания ПИБ. Не смотря на дату документа (2000 год) для ФСТЭК Р это всё ещё приоритетный документ (судя по проекту приказа ФСТЭК Р по защите ГИС).

Посмотрим проект ISO 27002-2013. Всё что там есть по этапам создания систем: 

“System requirements for information security and processes for implementing security should be integrated in the early stages of information system projects. Controls introduced at the design stage are significantly cheaper to implement and maintain than those included during or after implementation.”

Негусто. Но то что есть - важное указание внедрять ПИБ на самых ранних стадиях создания ИС.

Есть ещё стандарты из группы ISO 27034-x (от 1 до 5), но они до конца не разработаны.

В документе NIST 800-64 “Security Considerations in the System Development Life Cycle” так-же есть привязка мероприятий по информационной безопасности к стадиям создания ИС  (IT system development life cycle, SDLC). Так-же как в ISO, мероприятия по ИБ требуется начинать уже на самой ранней стадии создания ИС. Сам NIST-овский документ очень похож, по сути, на проект приказа ФСТЭК Р по защите ГИС, который ссылается на ГОСТ Р 51583-2000.

Объединил этапы из этих двух документов в одну таблицу (ниже), для наглядности и сравнения. Взял только стадии создания ИС (без эксплуатации и вывода из действия)

Жаль, что с этими документами знакомы далеко не все инициаторы создания ИС. Сейчас активно создаются системы, в которых вопросы информационной безопасности отложены на последний срок, упоминаются вскользь, либо вообще не включены:






Выполнение мероприятий ИБ, на более поздних стадиях создания приведенных выше систем, может привести к существенному увеличению затрат на них, и даже к невозможности выполнить некоторые требуемые меры безопасности.


Приложение 1. Таблица сравнения ГОСТ Р 51583-2000 и NIST 800-64



Приложение 2. Схема этапов по NIST 800-64 




Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3