Данная стадия разработки включает в себя следующие работы:
- проведение предпроектного обследования;
- разработка аналитического обоснования по созданию КСЗИ;
- разработка технического задания на создание КСЗИ.
В ходе данного этапа проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.
Существует несколько видов обследования:
- предпроектное диагностическое обследование, которое выполняется при модернизации или построении СЗИ;
- аудит СЗИ на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO 27001;
- специальные виды обследования, например, при расследовании компьютерных инцидентов.
Мировой опыт создания систем защиты для различного рода объектов позволяет выделить три основных элемента, присутствующих практически на любом объекте и требующих обеспечения их безопасности:
|
|
- люди - персонал и посетители объекта;
- материальные ценности, имущество и оборудование;
- критичная информация - информация с различными грифами секретности.
Каждый из выделенных элементов имеет свои особенности, которые необходимо учесть при определении возможных угроз. По результатам анализа возможных угроз безопасности АС формируются требования к защите. Полная защита АС формируется из частных требований защиты элементов путем объединения функционально однородных требований по обеспечению защиты.
По результатам данного этапа определяются и формируются требования к защите. Полная защита АС формируется из частных требований защиты элементов путем объединения функционально однородных данных по обеспечению защиты. К таким данным относится защищаемая информация на основе документально оформленных перечней защищаемых сведений, угрозы безопасности информации и модель вероятного нарушителя, состав используемых технических средств и связи между ними, состав разработанной организационно-распорядительной документации, класс защищенности АС в защищенном исполнении. Принимаются решения, касающиеся состава технических средств и систем, предполагаемых к использованию в разрабатываемой системе, и мероприятий по обеспечению конфиденциальности информации на этапе проектирования системы.