III. Ввод в действие СЗИ

При вводе в эксплуатацию выполняются следующие мероприятия:

· опытная эксплуатация средств защиты информации с другими техническими и программными средствами для проверки их работоспособности в комплексе и отработки технологического процесса обработки (передачи) информации;

· приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации.

При этом разрабатываются и передаются заказчику следующие документы:

· Приемо-сдаточный акт, подписываемый разработчиком (поставщиком) и заказчиком;

· Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

· Приказ (указание, решение) о назначении лиц, ответственных за эксплуатацию объекта информатизации;

· Приказ (указание, решение) о разрешении обработки в АС (ЗП) информации ограниченного доступа.

· Прежде всего, необходима полная идентификация пользователей, терминалов, программ, а также основных процессов и процедур, желательно до уровня записи или элемента. Кроме того, следует ограничить доступ к информации, используя совокупность следующих способов:

· иерархическая классификация доступа;

· классификация информации по важности и месту ее возникновения;

· указание ограничений к информационным объектам, например пользователь может осуществлять только чтение файла без права записи в него;

· определение программ и процедур, предоставленных только конкретным пользователям.

· Система защиты должна гарантировать, что любое движение данных идентифицируется, авторизуется, обнаруживается и документируется.

· Обычно формулируются общие требования к следующим характеристикам:

· способам построения СЗИ либо ее отдельных компонент (к программному, программно-аппаратному, аппаратному);

· архитектуре вычислительных средств и ИС (к классу и минимальной конфигурации ЭВМ, операционной среде, ориентации на ту или иную программную и аппаратную платформы, архитектуре интерфейса);

· применению стратегии защиты;

· затратам ресурсов на обеспечение СЗИ (к объемам дисковой памяти для программной версии и оперативной памяти для ее резидентной части, затратам производительности вычислительной системы на решение задач защиты);

· надежности функционирования СЗИ (к количественным значениям показателей надежности во всех режимах функционирования ИС и при воздействии внешних разрушающих факторов, к критериям отказов);

· количеству степеней секретности информации, поддерживаемых СЗИ;

· обеспечению скорости обмена информацией в ИС, в том числе с учетом используемых криптографических преобразований;

· количеству поддерживаемых СЗИ уровней полномочий;

· возможности СЗИ обслуживать определенное количество пользователей;

· продолжительности процедуры генерации программной версии СЗИ;

· продолжительности процедуры подготовки СЗИ к работе после подачи питания на компоненты ИС;

· возможности СЗИ реагировать на попытки несанкционированного доступа либо на «опасные ситуации»;

· наличию и обеспечению автоматизированного рабочего места администратора защиты информации в ИС;

· составу используемого программного и лингвистического обеспечения, к его совместимости с другими программными платформами, к возможности модификации и т.п.;

· используемым закупаемым компонентам СЗИ (наличие лицензии, сертификата и т.п.).