Конспекты
по Основам управления информационной безопасности
Изучение содержания и последовательности работ по защите информации
Цель работы
Изучить содержание и последовательность работ выполняемых при построении комплексной системы защиты информации. Закрепить знания полученные на лекции.
Теоретическая часть
При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в информационных системах и отдельных средствах вычислительной техники, включая персонал, который ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности информационной системы, воздействия на персонал и т.п.
Целью работы должно являться построение комплексной системы защиты конфиденциальной информации (далее по тексту КСЗИ). Это предполагает необходимость использования, создания и разработки совокупности организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения комплексной системы защиты конфиденциальной информации.
Организационные и технические меры защиты информации, реализуемые в рамках КСЗИ, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение:
- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
- неправомерного блокирования информации (обеспечение доступности информации).
Процесс построения КСЗИ включает следующие этапы:
- Формирование требований к защите информации, содержащейся в информационной системе.
- Разработка КСЗИ информационной системы.
- Внедрение КСЗИ информационной системы.
- Аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие.
- Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы.
- Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Формирование требований к защите информации, содержащейся информационной системе
Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и в том числе включает:
- принятие решения о необходимости защиты информации, содержащейся в информационной системе;
- классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты информации информационной системы.
Разработка КСЗИ информационной системы
Разработка КСЗИ информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание КСЗИ информационной системы с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее - ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:
- Проектирование КСЗИ информационной системы.
- Разработку эксплуатационной документации на систему защиты информации информационной системы.
- Макетирование и тестирование КСЗИ информационной системы (при необходимости).
КСЗИ информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.
При разработке КСЗИ информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.
Внедрение КСЗИ информационной системы
Внедрение КСЗИ информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:
- Установку и настройку средств защиты информации в информационной системе.
- Разработку документов, определяющих правила и процедуры, реализуемые обладателем защищаемой информации для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации).
- Внедрение организационных мер защиты информации.
- Предварительные испытания КСЗИ информационной системы.
- Опытную эксплуатацию КСЗИ информационной системы.
- Анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению.
- Приемочные испытания КСЗИ информационной системы.
Аттестация информационной системы и ввод ее в действие
Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.
Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы осуществляется обладателем защищаемой информации в соответствии с эксплуатационной документацией на систему защиты информации и организационно-распорядительными документами по защите информации и в том числе включает:
- управление (администрирование) системой защиты информации информационной системы;
- выявление инцидентов и реагирование на них;
- управление конфигурацией аттестованной информационной системы и ее КСЗИ;
- контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.
Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации
Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации осуществляется обладателем защищаемой информации в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и организационно- распорядительными документами по защите информации и в том числе включает:
- Архивирование информации, содержащейся в информационной системе.
- Уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
- Архивирование информации, содержащейся в информационной системе, должно осуществляться при необходимости дальнейшего использования информации в деятельности обладателя защищаемой информации.
- Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю информационной системы или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения.
Контрольные вопросы
Перечислите основные этапы построения КСЗИ
Назовите ГОСТ с учётом которых должны быть разработаны требования к системе защиты информации
Перечислите основные понятия которые будут определены при проектировании КСЗИ
- Cубъекты доступа
- Методы управления доступом
- Меры защиты информации
- Виды и типы средств защиты информации
- Структура КСЗИ информационной системы
- Меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
Перечислите основное содержание эксплутационной документации КСЗИ.
- Описание структуры КСЗИ информационной системы;
- Описание остава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;