Аудит информационной безопасности. Этапы построения комплексной системы информационной
advertisement
К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО «СКБ» Михеев Игорь Александрович К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ АУДИ́Т, АУДИ́ТОРСКАЯ ПРОВЕ́РКА — ПРОЦЕДУРА НЕЗАВИСИМОЙ ОЦЕНКИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ, СИСТЕМЫ, ПРОЦЕССА, ПРОЕКТА ИЛИ ПРОДУКТА. К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ Стадии создания системы защиты информации: предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического)задания на ее создание; стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации; стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации. К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию (п. 3.11 СТР-К) по результатам разрабатывается аналитическое обоснование необходимости создания системы защиты информации и техническое (частное техническое) задание на разработку СЗИ (п. 3.9 СТР-К) К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ На предпроектной стадии по обследованию объекта информатизации: устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации; определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам; определяются(уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования; определяются условия расположения объектов информатизации относительно границ КЗ; определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ На предпроектной стадии по обследованию объекта информатизации: определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке; определяются режимы обработки информации в АС в целом и в отдельных компонентах; определяется класс защищенности АС; определяется степень участия персонала в обработке (обсуждении, передаче, хранении)информации, характер их взаимодействия между собой и со службой безопасности; определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации. К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ На стадии проектирования и создания объекта информатизации и СЗИ может проводится аудит: раздела технического проекта на объект информатизации в части защиты информации; комплекса организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями; комплекса сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации; системы охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации; разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации; комплекта эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов); К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ На стадии ввода в действие объекта информатизации и СЗИ осуществляются: опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации; приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком(поставщиком) и заказчиком; аттестация объекта информатизации по требованиям безопасности информации. К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ Перечень нормативных правовых актов, определяющих необходимость аттестации: пункт 1 Перечня сведений конфиденциального характера, утвержденного указом Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями от 23 сентября 2005 г.) Статья 16.4. Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Статья 1 Федерального закона от 3 апреля 1995 г. N 40ФЗ "О федеральной службе безопасности" Положение о Федеральной службе по техническому и экспортному контролю Утверждено Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 пункт 2.3 «Специальных требований и рекомендаций по технической защите информации», утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. №282 (далее – СТР-К) К Б ОМПЛEКСНА Я E ЗОПАСНОСТЬ Вывод: аудит является основным инструментом, позволяющим обеспечить всеобъемлющий и непредвзятый подход, при построении комплексной системы информационной безопасности. СПАСИБО ЗА ВНИМАНИЕ! ООО «СКБ» г.Омск, ул.Ленина 20, оф. 423-425 Тел./факс: 8(3812)53-20-18; e-mail: info@ooo-skb.ru web: www.ooo-skb.ru
