Конспекты
по Основам управления информационной безопасности
Изучение методов комплексного исследование объекта информатизации
Цель работы
Изучить положительные и отрицательные стороны проведения обследования защищенности объекта информатизации (ОИ) посредством существующих стандартов и методик.
Теоретическая часть
Известно, что при создании любой информационной системы (ИС) на базе современных компьютерных технологий неизбежно возникает вопрос о защищенности этой системы от угроз безопасности информации и принятия решения по устранению этих угроз. Однако для определения, как и от кого защищать информацию, необходимо уяснить реальное положение в области обеспечения безопасности информации и оценить степень защищенности ИС.
Для решения данной задачи проводится комплексное обследование защищенности ОИ, результаты которого основываются на выявленных угрозах безопасности информации и оценке рисков нанесения возможного ущерба, а также позволяют оценить необходимость и достаточность принятых на объекте мер обеспечения безопасности информации. Предполагается, что по результатам комплексного обследования ОИ определяются адекватные потребностям ИС (по степени защищенности ее ресурсов) требования к средствам ее защиты, что позволяет добиться максимальной отдачи от инвестиций в создание и обслуживание системы обеспечения информационной безопасности (СОИБ) ИС.
Задача проводимого обзора существующих стандартов и методик реализации обследования защищенности ОИ состоит в определении оценки объективности и полноценности данных стандартов и методик.
Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.
- Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
- Аттестация объектов информатизации — комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.
Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объекте информатизации.
Контрольные вопросы
Какие существуют виды обследования защищённости?
- Инструментальное (дискретное и непрерывное);
- Обследование защищенности ОИ на соответствие существующим стандартам и методикам;
- Обследование защищенности как части специализированных исследований ои
Что должен содержать аттестита соответствия?
- регистрационный номер;
- дату выдачи;
- срок действия;
- наименование, адрес и местоположение объекта информатизации;
- категорию объекта информатизации;
- класс защищенности автоматизированной системы;
- гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;
- организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
- номера и даты утверждения программы и методики, в соответствии которыми проводились аттестационные испытания;
Назовите порядок проведения аттестации объектов информатизации по требованиям безопасности информации?
- подача и рассмотрение заявки на аттестацию
- предварительное ознакомление с аттестуемым объектом
- испытание в испытательных лабораториях несертифицированных средств и систем защиты информации
- разработка программы и методики аттестационных испытаний.
Какие документы предоставляет заявитель Для проведения испытаний органу по аттестации?
- приемо-сдаточную документацию на объект информатизации;
- акты категорирования выделенных помещений и объектов информатизации;
- инструкции по эксплуатации средств защиты информации;
- технический паспорт на аттестуемый объект;
Какие функции осуществляет ФСТЭК в рамках системы аттестации?
- организует обязательную аттестацию объектов информатизации;
- создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
- устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
- организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
- аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
- осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
- рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;
- организует периодическую публикацию информациипо функционированию системы аттестации объектов информатизации по требованиям безопасности информации.