Разработка технического (эскизного) проекта системы защиты информации в ГИС является завершающей стадией проектирования системы защиты информации. В целом суть содержания технического (эскизного) проекта заключается в том, что в нем описываются конкретные организационные и технические мероприятия, которые необходимо осуществить для той или иной меры из окончательного списка мер в техническом задании.
Согласно пункту 15.1 нормативного документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года) в техническом (эскизном) проекте:
— определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
— определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
— выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
— определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
— определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
— осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
— определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
— определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Поскольку разработка технического (эскизного) проекта системы защиты информации в ГИС является этапом проектирования системы защиты информации, то при передаче этих работ сторонней организации, такая организация должна иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации с возможностью оказывать услуги на проектирование в защищенном исполнении средств и систем информатизации.
При разработке технического (эскизного) проекта системы защиты информации в ГИС необходимо также учитывать положения следующих нормативных документов:
— РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс Стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов»;
— ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»;
— ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»
— ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизирован¬ные системы. Автоматизированные системы. Стадии создания».