СОИБ. Анализ. Создание защищенных ИС

Последнее время всё больше попадающихся мне тендеров, конкурсов, программ, концепций, заданий на создание крупных информационных систем (ИС), автоматизированных систем (АС, АСУ), содержащих разделы, связанные с информационной безопасностью. В связи с увеличением количества нормативных актов в области ИБ и вниманием общественности – у инициаторов проекта есть понимание, что защита информации должна быть и должна в какой то момент обеспечиваться.

Так же есть понимание какие мероприятия включает в себя жизненный цикл ИС (ГОСТ 34.601), какие стадии включает в себя жизненный цикл подсистем ИБ (СТР-К, проект приказа ФСТЭК по защите ГИС и т.п.).

Но пока нет общего понимания – какие мероприятия ИБ и в какой последовательности должны выполнятся на каждой создания новой ИС:

  • на какой стадии создания ИС должно выполняться моделирование угроз?
  • проектирование ПИБ выполнять одновременно с проектированием основного приложения или после?
  • какие мероприятия ИБ закладывать на этапе разработки концепции ИС?

Проанализировал имеющиеся у меня стандарты на предмет наличия привязки мероприятий по ИБ к стадиям создания ИС.

Наиболее полон в этом смысле ГОСТ Р 51583-2000, в котором указано что на каждой стадии создания ИС, должен выполняться аналогичный этап создания ПИБ. Не смотря на дату документа (2000 год) для ФСТЭК Р это всё ещё приоритетный документ (судя по проекту приказа ФСТЭК Р по защите ГИС).

Посмотрим проект ISO 27002-2013. Всё что там есть по этапам создания систем: 

“System requirements for information security and processes for implementing security should be integrated in the early stages of information system projects. Controls introduced at the design stage are significantly cheaper to implement and maintain than those included during or after implementation.”

Негусто. Но то что есть - важное указание внедрять ПИБ на самых ранних стадиях создания ИС.

В документе NIST 800-64 “Security Considerations in the System Development Life Cycle” так-же есть привязка мероприятий по информационной безопасности к стадиям создания ИС  (IT system development life cycle, SDLC). Так-же как в ISO, мероприятия по ИБ требуется начинать уже на самой ранней стадии создания ИС. Сам NIST-овский документ очень похож, по сути, на проект приказа ФСТЭК Р по защите ГИС, который ссылается на ГОСТ Р 51583-2000.

Объединил этапы из этих двух документов в одну таблицу (ниже), для наглядности и сравнения. Взял только стадии создания ИС (без эксплуатации и вывода из действия)

Жаль, что с этими документами знакомы далеко не все инициаторы создания ИС. Сейчас активно создаются системы, в которых вопросы информационной безопасности отложены на последний срок, упоминаются вскользь, либо вообще не включены:

  • Создание единой информационной базы информационной системы Национального центра управления в кризисных ситуациях
  •   ЕАИС «Штаты»
  • Создание геоинформационной системы Росатом (вопросы ИБ вынесены на последний этап)
  • Создание регионального сегмента системыкомплексной безопасности жизнедеятельности населения
  • АСУТЭП  Газпромэнергохолдинга
  • Внедрение АСУ ТП на БНС на ГРЭС

Таблица сравнения ГОСТ Р 51583-2000 и NIST 800-64

 

 

Схема этапов по NIST

Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новое в блогах на Anti-Malware.ru Новое в блогах