Тема 15: Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
Согласно сложившемуся порядку в большинстве организаций ответственность за решение всех вопросов, связанных с защитой информации, на этапах проектирования и разработки прикладных программ возлагается на те же подразделения (и специалистов), которые отвечают за создание и внедрение данных прикладных программ.
При этом требования к характеристикам средств защиты в разрабатываемых и создаваемых подсистемах определяют сами разработчики - прикладные программисты, а не заказчики или специалисты по защите информации. Разработчики действуют исходя из собственных, не всегда правильных в силу специфики вопроса, представлений о достаточности средств и механизмов защиты, то есть сами принимают и оценивают решения по удовлетворению этих требований, и сами же оценивают качество реализации необходимых защитных механизмов.
Все это, в конечном итоге, приводит к недопустимым упрощениям в вопросах обеспечения безопасности информации в разрабатываемых прикладных подсистемах.
Поскольку применение дополнительных средств защиты создает определенные ограничения при эксплуатации и использовании прикладных программ, требует дополнительных затрат системных ресурсов компьютеров, создание качественных средств защиты требует существенных затрат времени и сил, специальных знаний и опыта, то разработчики прикладного программного обеспечения, отвечающие прежде всего за своевременность и качество решения задач по автоматизации технологических процессов, объективно не заинтересованы в создании и применении надежных средств защиты.
Порядок приема разработанных программных продуктов в промышленную эксплуатацию чаще всего сводится к проведению испытаний и подписанию акта приемки-сдачи. Зачастую внедрение задач и особенно их модернизация осуществляются без надлежащей передачи эталонных копий ПО и всей необходимой документации в фонд алгоритмов и программ - ФАП (архив эталонных дистрибутивов), либо это делается с большим отставанием по времени. В результате документация, имеющаяся в архиве, по многим подсистемам неполна и часто не соответствует реальным версиям ПО. Некоторые (в особенности новые) из подсистем оказываются недокументированными.
Это может приводить к возникновению ситуаций, когда сопровождение прикладного ПО или реализация дополнительных мер по ОИБ будут затруднены или просто станут невозможными по причине увольнения создавших данное ПО программистов и отсутствия необходимых описаний и исходных текстов программ. Кроме того, это свидетельствует о наличии у разработчиков возможностей достаточно свободно осуществлять замену версий ПО, находящегося в эксплуатации.
Для устранения отмеченных недостатков требуется переход к такому порядку взаимодействия подразделений, при котором определение требований по защите информации в прикладных подсистемах и контроль за качеством реализации механизмов защиты в них должны осуществляться специалистами по защите информации вне подразделений, разрабатывающих ПО и эксплуатирующих ТС, исходя из единых для организации целей и задач защиты информации.
Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утвержденным «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию».
Порядок разработки комплексов задач (задач) должен включать требования по номенклатуре и содержанию нормативных документов, разрабатываемых специалистами. ОИБ совместно со специалистами подразделения автоматизации, порядку определения требований по ОИБ и проведения экспертизы реализации механизмов защиты в прикладных системах.
Организация разработки и отладки программ должна исключать возможность доступа программистов в эксплуатируемые подсистемы АС (к реальной информации и базам данных). Для разработки и отладки программ должен быть организован специальный опытный участок АС.
Передача разработанных (доработанных) программ в эксплуатацию должна осуществляться через архив эталонных дистрибутивов программ (фонд алгоритмов и программ) подразделения, ответственного за эксплуатацию ПО.
В связи с тем, что вопросами закупок средств защиты занимаются как правило несколько подразделений организации, необходимо разработать и принять порядок согласования выбора и приобретения средств защиты информации в АС для нужд организации, а также порядок инспекторского контроля специалистами подразделения ОИБ за соблюдением технических условий и сертификатов Гостехкомиссии России и ФАПСИ на приобретенные средства защиты и прикладные системы.
Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
При проектировании и разработке
Специалисты подразделения ОИБ совместно со специалистами отдела разработки программ и представителями заказывающего подразделения участвуют в разработке постановки задач и Технического задания (спецификаций) в части определения требований по информационной безопасности.
На основе анализа категории пользователей, категорий сведений, используемых и создаваемых при решении задачи, их размещения на носителях, характера осуществляемых преобразований информации и других особенностей проектируемой технологии обработки данных и с учетом требований Концепции информационной безопасности организации и других документов, специалисты подразделения ОИБ проводят анализ рисков и формируют требования к защите ресурсов разрабатываемой подсистемы.
При этом учитываются реальные возможности по реализации требований ОИБ организационными мерами и аппаратно-программными средствами защиты системного и прикладного уровней и другие особенности создаваемой подсистемы. При необходимости определяется потребность в приобретении или разработке дополнительных средств защиты.
Согласованные с начальником подразделения ОИБ требования должны включаться отдельным разделом в проектную документацию (постановку задачи, техническое задание, техно-рабочий проект и т.п.).
Подразделение ОИБ участвует также в процессе выбора аппаратно-программных средств (системных, инструментальных, базовых и т.п.), планируемых к приобретению и использованию в разрабатываемой подсистеме.
Специалисты ОИБ совместно со специалистами отдела технического сопровождения и представителями отделов разработки участвуют в обсуждении предложений по конфигурации (правил коммутации, маршрутизации и т.п.) телекоммуникационной сети организации в части определения требований по ОИБ. Требования формируются на основе анализа коммуникационных потребностей прикладных задач подсистемы, категорий сведений, используемых при решении данных задач. При этом учитываются реальные возможности по реализации требований ОИБ техническими средствами и организационными мерами. При необходимости определяется потребность в приобретении и использовании дополнительных средств защиты телекоммуникаций.
При проведении испытаний
Специалисты ОИБ совместно со специалистами отделов разработки и системного сопровождения ПО и представителями заказывающего подразделения участвуют в подготовке программ и методик испытаний задач и программных средств в части проверки реализации требований по ОИБ, участвуют в испытаниях, фиксации контрольных сумм сдаваемого в ФАП ПО и подписывают акты по результатам испытаний.
При сдаче в промышленную эксплуатацию
Специалисты ОИБ совместно со специалистами отделов разработки и системного сопровождения ПО участвуют в разработке формуляра для задачи (разработанного или приобретенного программного средства), передаваемой в ФАП.
Формуляр (карта разграничения доступа) задачи (программного средства) должен содержать перечень и размещение всех программных, информационных и других ресурсов, используемых при решении задачи (применении программного средства), список всех категорий пользователей данной задачи (программного средства) и указание их прав по доступу к перечисленным ресурсам. Данный формуляр необходим при настройке средств разграничения доступа на этапе внедрения задачи (при восстановлении системы после сбоев). Кроме того, формуляры могут использоваться при контрольных проверках правильности настройки и работы средств защиты.
В процессе установки (развертывания) подсистем (задач) специалисты подразделения автоматизации осуществляют настройку штатных средств защиты, а специалисты ОИБ -контролируют правильность их настройки и настраивают дополнительные средства защиты в соответствии с формулярами задач (программных средств).
Специалисты ОИБ совместно со специалистами отделов разработки и системного сопровождения, а также заказывающего подразделения участвуют в разработке специальных требований по ОИБ в должностных инструкциях пользователям АС.
В процессе эксплуатации (сопровождения)
Изменения настроек средств защиты в соответствии с утвержденными заявками на изменение полномочий пользователей осуществляется специалистами системными администраторами и администраторами безопасности, отвечающими за эксплуатацию соответствующих подсистем (комплексов задач).
Внесение изменений в конфигурацию аппаратно-программных средств подсистемы (в том числе при снятии задач с эксплуатации и при передаче аппаратных средств в ремонт) осуществляется специалистами отделов эксплуатации и технического сопровождения на основании утвержденных и согласованных с ОИБ заявок (заданий) от руководителей операционных подразделений в строгом соответствии с «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы организации».
В экстренных случаях (в кризисных ситуациях) специалисты отделов эксплуатации и технического сопровождения руководствуются Планом обеспечения непрерывной работы и восстановления (ПОНРВ).
Конечные пользователи (специалисты операционных подразделений) при работе с АС руководствуются своими должностными инструкциями и инструкцией пользователям по вопросам ОИБ.
Правильность функционирования и настройки системы защиты периодически контролируется специалистами отдела эксплуатации (системными администраторами), а также специалистами ОИБ (администраторами информационной безопасности).