Учебное пособие по ИБ (Лекции по информационной безопасности), страница 25

Соответствуютлионитребованиямстандартов,стандартов,соответствующего законодательства или регулирующих норм2. Отвечают ли они идентифицированным требованияминформационной безопасности3. Эффективно (результативно)результативно) ли они применяются иподдерживаются в рабочем состоянии4. Выполняются ли они как ожидалосьПОДДЕРЖКА И СОВЕРШЕНСТВОВАНИЕСИСТЕМЫКомпаниядолжнапостоянноповышатьэффективность(результативность)системырезультативность)информационнойбезопасностипосредствомиспользованияполитикиинформационнойбезопасности,целейинформационнойбезопасности,безопасности,безопасности, результатов аудитов,аудитов, анализасобытий,подвергаемыхмониторингу,событий,мониторингу,корректирующихипревентивных(предупреждающих)предупреждающих) действий,действий, а также анализа состороны руководства (менеджмента)менеджмента) компании.компании.209ПОДДЕРЖКА И СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫКОРРЕКТИРУЮЩИЕ ДЕЙСТВИЯКомпания должна предпринимать действия сцельюустраненияпричиннесоответствийтребованиям безопасности для предупрежденияповторного их возникновения.возникновения.Корректирующие действия должны отличатьсяот коррекции и быть направленными на причинувызывающую несоответствие,несоответствие, а не на устранениепоследствий.последствий.ПОДДЕРЖКА И СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫПРЕДУПРЕЖДАЮЩИЕ ДЕЙСТВИЯКомпания должна определить действия с цельюустранения причин потенциальных несоответствийтребованиям безопасности для предупреждения ихпоявления.появления.Предпринятые превентивные (предупреждающие)предупреждающие)действия должны соответствовать возможнымпоследствиям потенциальных проблем.проблем.210ИТОГИСпасибо за внимание!внимание!211Тема 20Политика информационнойбезопасности организацииПолитика информационной безопасности организацииПолитика безопасности - это совокупностьтехнических, организационных,административных, юридических, физическихмер, методов, средств, правил и инструкций,четко регламентирующих все вопросыобеспечения безопасности информации212Исходные данные для формирования политикибезопасности Определение перечня сведений конфиденциальногохарактера, подлежащих защите Определение физической и логической топологиисредств автоматизации Описание административной структуры икатегорий легальных пользователей, принятойтехнологии обработки информации, выделениепотенциальных субъектов и объектов доступаОпределение угроз безопасности информации ипостроение модели вероятного нарушителяОбнаружение известных угрозРасположение угроз по убыванию уровня уровня рискаОбщая характеристика и специализация организации Наименование организации Специализациярод деятельности, решаемые задачи, характер и объем работРасположение угроз по убыванию уровня уровня риска213ОрганизационноОрганизационно-штатная структура организации Отделы и отделения организацииНаименование отделаРешаемые задачиОбщая технологическаясхемафункционированияподразделений• Общее описание рабочего цикла или процесса• Технологическая схема операций (функций, шагов процесса) привыполнении рабочего цикла или процесса• Интенсивность выполнения рабочего цикла или процесса• Технологические ограничения, средства контроля и критериикачества результатов рабочего цикла или процессаПереченьпроблемныхвопросовподразделений(рабочих групп) по обеспечению защиты информацииИспользуемые средства вычислительной техники ипрограммное обеспечение Сведения об используемых СВТОписание аппаратных средствОписание коммуникационного оборудования удаленного доступа Сведения об используемом общем ПОНаименование и назначениеРазработчикТребования к аппаратной платформеРазмещение Сведения об используемом специальном ПОНаименование и назначениеРазработчикТребования к аппаратной платформеСостав реализуемых функцийРазмещение214Организация информационного взаимодействия и структураинформационных потоков Топология ЛВС Схема коммуникационных связей Структура и состав потоков данныхперечень входных информационных(документы, таблицы и т.п.), их источникиперечень выходных информационных(документы, таблицы и т.п.) их получателиперечень внутренних информационных(документы, таблицы и т.п.) Организация хранения данныхобъектовобъектовобъектовОбщая характеристика автоматизированных системорганизации Расположение ЛВС Технические и программные средства ЛВСфизическая среда передачииспользуемые протоколыиспользуемые операционные системыиспользуемые сервера баз данныхместа хранения конфиденциальных данныхимеющиеся средства защиты информации Технические и программные средства доступаЛВС из внешних сетей принадлежность и типы каналов связи сетевые протоколы удаленного доступак215Угрозы информационной безопасности Сведения о распределении обязанностей и инструкциях пообработке и защите информации Вероятные угрозыУгроза• Вероятность• Ущерб Применяемые меры защитыОрганизационные мерыСредства защиты сетевой ОССредства защиты, встроенные в ПОСпециализированные средства защитыДокумент «Политика информационной безопасностиорганизации»•••Определение информационной безопасности и ее основныхсоставляющих и используемых понятийИзложение целей и принципов информационной безопасностиРазъяснение политики безопасности, принципов, стандартов итребований к ее соблюдению, включая: основные направления, способы и требования по обеспечению безопасностиинформации выполнение правовых и договорных требований требования к обучению персонала правилам безопасности политику предупреждения и обнаружения вирусов политику обеспечения бесперебойной работы организации••Определение общих и конкретных обязанностей должностных лицорганизации по обеспечению информационной безопасности, включаяуведомления о случаях нарушения защитыПеречень документов, выпускаемых в поддержку политикибезопасности (положения, инструкции, регламенты и т.п.)216Информационная безопасностьПод информационной безопасностью следует понимать защитуинтересов субъектов информационных отношенийОсновные составляющие информационной безопасности– Обеспечение конфиденциальности защита конфиденциальнойинформации от несанкционированного раскрытия или перехвата– Обеспечение целостности: обеспечение точности и полнотыинформации и компьютерных программ– Обеспечение доступности: обеспечение доступности информации исервисов (услуг)Понятия безопасности и их взаимосвязь15672оценивают43оценивают21217Фрагмент политики безопасности (пример)•••••••••Все приложения должны пройти процесс контроля безопасности дотого, как они будут развертываться в организацииНе допускается хранение или пересылка учетных данных внезашифрованном видеНеобходимо следить за соблюдением законодательных требований, пособлюдению конфиденциальности сведений ограниченного доступаВ приложениях, обрабатывающих транзакции, должен быть реализованвыход по истечении времени ожидания, чтобы сеанс пользователя былпрерван после продолжительного периода бездействияОбязательный антивирусный контрольИспользование межсетевого экрана и средств обнаружения атакРезервирование данныхРазграничение и протоколирование доступаОбеспечение безопасности электронной почтыДокументы в поддержку политики безопасности (пример)• Положение о категорировании ресурсов АС• Положение о категорировании пользователей Администраторы Топ-менеджеры Сотрудники• Порядок обращения с информацией, подлежащей защитеКопированиеХранениеОбработкаПередачаУничтожение• Основные правила, инструкции и требования пообеспечению внутренней ИТ-безопасности компании218Основные правила, инструкции и требования пообеспечению ИТИТ-безопасности организации•••••••••••••••Правила парольной защитыПравила защиты от вирусов и злонамеренного программного обеспеченияТребования по контролю за физическим доступомТребования по физической защите оборудованияИнструкция по безопасному уничтожению информации или оборудованияИнструкция по безопасности рабочего места (документов на рабочем столе и наэкране монитора)Правила осуществления локального и удаленного доступаТребования резервного сохранения информацииТребования мониторингаТребования при обращении с носителями данныхТребования по проверке прав пользователейПравила использования системных утилитПравила удаленной работы мобильных пользователейРаспределение ответственности при обеспечении безопасностиПравила контроля вносимых измененийИнструкции•••По приему на работу и допуску новых сотрудников к работе в АС инаделения их необходимыми полномочиями по доступу к ресурсамсистемыПо увольнению работников и лишения их прав доступа в системуПо действиям различных категорий персонала, включая сотрудниковотдела безопасности информации, по ликвидации последствийкризисных ситуаций, в случае их возникновения219ТЕМА 24Аттестация объектов информатизации потребованиям безопасности информации.Общий порядок эксплуатации системызащиты информации.ПОРЯДОК ПРОВЕДЕНИЯ ИСПЫТАНИЙ АСПРОВЕРКА СОСТОЯНИЯТЕХНОЛОГИЧЕСКОГОПРОЦЕССААВТОМАТИЗИРОВАННОЙОБРАБОТКИ ИНФОРМАЦИИПРОВЕРКА АС НАСООТВЕТСТВИЕОРГАНИЗАЦИОННОТЕХНИЧЕСКИМ ТРЕБОВАНИЯМПО ЗИИСПЫТАНИЯ АС НАСООТВЕТСТВИЕ ТРЕБОВАНИЯМПО ЗАЩИТЕ ОТ УТЕЧКИ ПОКАНАЛАМ ПЭМИНПРОВЕРКА ВЫПОЛНЕНИЯТРЕБОВАНИЙ ПО ЗИ ОТ УТЕЧКИЗА СЧЕТ СПЕЦИАЛЬНЫХУСТРОЙСТВ ПЕРЕХВАТАИНФОРМАЦИИИСПЫТАНИЯ АС НАСООТВЕТСТВИЕ ТРЕБОВАНИЯМПО ЗИ ОТНЕСАНКЦИОНИРОВАННОГОДОСТУПАПОДГОТОВКА ОТЧЕТНОЙДОКУМЕНТАЦИИ И ОЦЕНКАРЕЗУЛЬТАТОВ ИСПЫТАНИЙ АС220ПРОВЕРКА СОСТОЯНИЯ ТЕХНОЛОГИЧЕСКОГО ПРОЦЕССАОБРАБОТКИ ИНФОРМАЦИИОПРЕДЕЛЕНИЕ СУБЪЕКТОВ И ОБЪЕКТОВДОСТУПА И СРЕДСТВ ОБРАБОТКИ ИПЕРЕДАЧИ ИНФОРМАЦИИПРОВЕРКА СООТВЕТСТВИЯ ОПИСАНИЯТЕХНОЛОГИЧЕСКОГО ПРОЦЕССАОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИКОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИРЕАЛЬНОЙ ПРАКТИКЕ НА ОБЪЕКТЕПРОВЕРКА НАЛИЧИЯ ОФОРМЛЕННЫХРАЗРЕШЕНИЙ НА ДОПУСК ПЕРСОНАЛА КИНФОРМАЦИИ ОПРЕДЕЛЕННОГО УРОВНЯКОНФИДЕНЦИАЛЬНОСТИ, МЕТОККОНФИДЕНЦИАЛЬНОСТИ НАИНФОРМАЦИОННЫХ НОСИТЕЛЯХ,СООТВЕТСТВИЯ ТЕХНОЛОГИЧЕСКИХИНСТРУКЦИЙ ПОЛЬЗОВАТЕЛЕЙ ИАДМИНИСТРАТОРА БЕЗОПАСНОСТИУСТАНОВЛЕННЫМ ТРЕБОВАНИЯМАНАЛИЗ ОБОБЩЕННОЙ ТЕХНОЛОГИЧЕСКОЙСХЕМЫ АС С СУЩЕСТВУЮЩИМИ ИВОЗМОЖНЫМИ ИНФОРМАЦИОННЫМИПОТОКАМИ, ВОЗМОЖНОСТЯМИ ДОСТУПА КОБРАБАТЫВАЕМОЙ И ПЕРЕДАВАЕМОЙИНФОРМАЦИИПРОВЕРКА ПАСПОРТНЫХ (ИСХОДНЫХ)ДАННЫХ АС И УСТАНОВЛЕНИЕ ОПАСНЫХФАКТОРОВ И УГРОЗ, КРИТИЧЕСКИХ МЕСТ АС,СНИЖАЮЩИХ УРОВЕНЬ ЗАЩИТЫ,КОМПЛЕКТНОСТИ И ХАРАКТЕРИСТИКСРЕДСТВ ЗАЩИТЫУТОЧНЕНИЕ СХЕМЫ ТЕХНОЛОГИЧЕСКОГОПРОЦЕССА С ПРИВЯЗКОЙ К КОНКРЕТНЫМСРЕДСТВАМ ОБРАБОТКИ И ПЕРЕДАЧИИНФОРМАЦИИ И ШТАТНОМУ ПЕРСОНАЛУПРОВЕРКА АС НА СООТВЕТСТВИЕ ОРГАНИЗАЦИОННОТЕХНИЧЕСКИМ ТРЕБОВАНИЯМ ПО ЗИПРОВЕРКА ДОСТАТОЧНОСТИПРЕДСТАВЛЕННЫХ ДОКУМЕНТОВ ИСООТВЕСТВИЯ ИХ СОДЕРЖАНИЯТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИИНФОРМАЦИИПРОВЕРКА СООТВЕСТВИЯ СОСТАВА ИСТРУКТУРЫ ПРОГРАММНОТЕХНИЧЕСКИХ СРЕДСТВ АСПРЕДСТАВЛЕННОЙ ДОКУМЕНТАЦИИПРОВЕРКА ПРАВИЛЬНОСТИКЛАССИФИКАЦИИ АСПРОВЕРКА УРОВНЯ ПОДГОТОВКИКАДРОВ И РАСПРЕДЕЛЕНИЯОТВЕТСТВЕННОСТИ ПЕРСОНАЛАПРОВЕРКА НАЛИЧИЯ СЕРТИФИКАТОВСООТВЕТСТВИЯ НА СВТ И СРЕДСТВАЗАЩИТЫ ИНФОРМАЦИИ, ЭКСПЕРТИЗАОТЧЕТОВ И ПРОТОКОЛОВ ПОСПЕЦИАЛЬНЫМ ИССЛЕДОВАНИЯМ СВТ,ПРЕДПИСАНИЙ НА ЭКСПЛУАТАЦИЮ СВТПРОВЕРКА ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ КПОМЕЩЕНИЯМ, В КОТОРЫХПРОИЗВОДИТСЯ ОБРАБОТКАИНФОРМАЦИИ СРЕДСТВАМИ АС221ИСПЫТАНИЯ АС НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПААНАЛИЗ И ОЦЕНКА ТЕХНОЛОГИЧЕСКОГОПРОЦЕССА ОБРАБОТКИ ИНФОРМАЦИИ ВЧАСТИ НСДВЫБОР ИНСТРУМЕНТАЛЬНЫХ СРЕДСТВ ИМЕТОДИКИ ИСПЫТАНИЙИСПЫТАНИЯ ПОДСИСТЕМЫУПРАВЛЕНИЯ ДОСТУПОМПРОВЕРКА МЕХАНИЗМАИДЕНТИФИКАЦИИПРОВЕРКА МЕХАНИЗМААУТЕНТИФИКАЦИИПРОВЕРКА МЕХАНИЗМА КОНТРОЛЯДОСТУПАПРОВЕРКА МЕХАНИЗМА УПРАВЛЕНИЯПОТОКАМИ ИНФОРМАЦИИИСПЫТАНИЯ ПОДСИСТЕМЫРЕГИСТРАЦИИ И УЧЕТАИСПЫТАНИЯ КРИПТОГРАФИЧЕСКОЙПОДСИСТЕМЫИСПЫТАНИЯ ПОДСИСТЕМЫОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИРАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО РЕЗУЛЬТАТАМ ИСПЫТАНИЙПРИМЕНЕНИЕ ДОПОЛНИТЕЛЬНЫХОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИХМЕРОПРИЯТИЙ ПО ЗАЩИТЕИНФОРМАЦИИДОРАБОТКА ОРГАНИЗАЦИОННОРАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИПРИМЕНЕНИЕ ДОПОЛНИТЕЛЬНЫХСЕРТИФИЦИРОВАННЫХ СРЕДСТВЗАЩИТЫ ИНФОРМАЦИИИСКЛЮЧЕНИЕ ОТДЕЛЬНЫХПРОГРАММНЫХ СРЕДСТВ ИЗ СОСТАВААСПРОВЕДЕНИЕ СЕРТИФИКАЦИОННЫХИСПЫТАНИЙ ОТДЕЛЬНЫХ СРЕДСТВ АС222МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ПРОВЕДЕНИЯ ИСПЫТАНИЙРУКОВОДЯЩИЕ И НОРМАТИВНОТЕХНИЧЕСКИЕ ДОКУМЕНТЫГОСТЕХКОМИССИИ РОССИИДОКУМЕНТАЦИЯ НА ОПЕРАЦИОННЫЕСИСТЕМЫДОКУМЕНТАЦИЯ НА СРЕДСТВА ЗАЩИТЫИНФОРМАЦИИДОКУМЕНТАЦИЯ НА ТЕХНИЧЕСКИЕСРЕДСТВА АСДОКУМЕНТАЦИЯ НА ПРИКЛАДНОЕПРОГРАММНОЕ ОБЕСПЕЧЕНИЕОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНАЯДОКУМЕНТАЦИЯИНСТРУМЕНТАЛЬНЫЕ СРЕДСТВА ПРОВЕДЕНИЯ ИСПЫТАНИЙПРОВЕРКА НАСТРОЕК АС(ПОЛИТИКА БЕЗОПАСНОСТИ)ПРОВЕРКАРАЗРЕШИТЕЛЬНОЙСИСТЕМЫ ДОСТУПАПРОВЕРКА НАСТРОЕК ОС,ППО, СУБДПРОВЕРКА НАСТРОЕК СЕТИ,КОММУНИКАЦИОННОГООБОРУДОВАНИЯРевизорНКВДСпециализированныесканерыСЕТЕВЫЕСКАНЕРЫТЕСТИРОВАНИЕ АС С ЦЕЛЬЮОБНАРУЖЕНИЯ УЯЗВИМОСТЕЙ ИВЫЯВЛЕНИЯ КАНАЛОВ НСД КИНФОРМАЦИИФИКСTERRIERОБЕСПЕЧЕНИЕЦЕЛОСТНОСТИ ПО, СЗИПОИСК ОСТАТОЧНОЙИНФОРМАЦИИСЕТЕВЫЕСКАНЕРЫТЕСТИРОВАНИЕ СЕТИСЕТЕВЫЕСКАНЕРЫТЕСТИРОВАНИЕ НАСТРОЕКМЭ223ИСХОДНЫЕ ДАННЫЕ ИДОКУМЕНТАЦИЯ, ПРЕДСТАВЛЯЕМЫЕДЛЯ ПРОВЕДЕНИЯ АТТЕСТАЦИИОБЪЕКТА.ОСОБЕННОСТИ ИСХОДНЫХ ДАННЫХДЛЯ РАЗЛИЧНЫХ ТИПОВАТТЕСТУЕМЫХ ОБЪЕКТОВИСХОДНЫЕ ДАННЫЕ ДЛЯ ПРОВЕДЕНИЯ АТТЕСТАЦИИИДВ СООТВЕТСТВИИС СТР-97ИД, СВЯЗАННЫЕ СФОРМИРОВАНИЕМПОЛИТИКИБЕЗОПАСНОСТИОБЪЕКТАИД, СВЯЗАННЫЕ СОСОБЕННОСТЯМИФУНКЦИОНИРОВАНИЯОБЪЕКТА224ИСХОДНЫЕ ДАННЫЕ В СООТВЕТСТВИИС СТР-97- техническое задание и формуляр на АС- приемо-сдаточная документация на АС- описание технологического процесса обработки информации в АС- состав технических и программных средств, входящих в АС- перечень защищаемых в АС ресурсов с документальнымподтверждением уровней конфиденциальности каждого ресурса- организационно-распорядительная документацию разрешительнойсистемы доступа персонала к защищаемым ресурсам АС- акт классификации АС по требованиям безопасности информации- акты категорирования объектов ВТ- технологические инструкции пользователям АС- технологические инструкции администратору безопасностиинформации- состав и схемы размещения средств защиты информации- инструкции по эксплуатации средств защиты информации- планы размещения СВТ и вспомогательных технических средств- план контролируемой зоны объекта- схемы прокладки линий передачи данных- схемы и характеристики систем электропитания и заземления объекта- предписания на эксплуатацию СВТ- протоколы специальных исследований СВТ- акты или заключения о специальной проверке СВТ- сертификаты соответствия требованиям безопасности информации напрограммные и технические СВТ, используемые средства защиты- данные по уровню подготовки кадров, обеспечивающих защитуинформации- данные о техническом обеспечении средствами контроля эффективностизащиты информации- нормативная и методическая документацию по защите информации иконтролю ее эффективности225Дополнительные документы, не предусматриваемые СТР-97- Концепция обеспечения информационной безопасности АС- План защиты АС- План обеспечения непрерывной (бесперебойной) работы АС и еевосстановления в кризисных ситуациях- Положение по категорированию информационных ресурсов АС- Положение по порядку обращения с информацией, подлежащей защите- Инструкция по организации парольной защиты- Инструкция по работе с ключевыми дискетами- Положение об отделе (службе) защиты информации- Инструкция по внесению изменений в списки пользователей- Инструкция по антивирусной защите АС (АРМ)Исходные данные, связанные с особенностямифункционирования АСIN T E R N E TВ АР МW E B -S e rve rИнструкция по использованию ресурсов сети InternetИнструкция пользователю по работе с сетью InternetИнструкция администратору безопасности информации приработе на выделенном рабочем месте по связи с сетью InternetИнструкция по наполнению WWW-сервераНаправления работ по наполнению WWW-сервера226ПРОВЕРКА СООТВЕТСТВИЯ ИСХОДНЫХДАННЫХ ПО АТТЕСТУЕМОМУ ОБЪЕКТУРЕАЛЬНЫМ УСЛОВИЯМ.ПРОВЕРКА СОСТОЯНИЯТЕХНОЛОГИЧЕСКОГО ПРОЦЕССААВТОМАТИЗИРОВАННОЙ ОБРАБОТКИИНФОРМАЦИИ.ПРОВЕРКА СООТВЕТСТВИЯ ОБЪЕКТАОРГАНИЗАЦИОННООРГАНИЗАЦИОННО-ТЕХНИЧЕСКИМТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИПОСЛЕДОВАТЕЛЬНОСТЬ ПРОВЕДЕНИЯ ПРОВЕРОКПРЕДСТАВЛЕННЫХ ИСХОДНЫХ ДАННЫХИСХОДНЫЕ ДАННЫЕ (ПОКАЗАТЕЛИ АС), НЕОБХОДИМЫЕДЛЯ ПРОВЕДЕНИЯ АТТЕСТАЦИИХАРАКТЕРИСТИКАДанные, характеризующие систему (подсистему)1.