Степанова (1206730), страница 4
Текст из файла (страница 4)
6 Для разработкипроекта технического решения требуются следующие процессы:процесс получения исходных данных;процесс выбора набор мер;процесс выбора СЗИ для нейтрализации определенных мерзащиты информации;процесс создания проектной, технологической документации.В общем случае работа программного комплекса представляет собойчтение исходных данных из файла, полученного с помощью программногокомплекса «Оценки рисков информационной безопасности», ведение базыданных, получение списка технических и организационных мер для защитыинформационной системы, а 6 также 6 получение требований к системе защитыинформации информационной системы. 6Требования к системе защиты информации информационной системывключаются в техническое задание на создание информационной системы и(или) техническое задание 6 на создание системы защиты информацииинформационной системы и 6 должны 6 включать в себя:цель и задачи обеспечения защиты информации винформационной системе; 6перечень нормативных правовых актов, методических документови национальных стандартов, которым должна соответствоватьинформационная система; 6требования к мерам и средствам защиты информации,применяемым в информационной системе; 6класс защищенности информационной системы;перечень 6 объектов защиты информационной системы; 6требования к защите информации при информационномвзаимодействии с иными информационными системами иинформационно-телекоммуникационными сетями, в том числе синформационными системами уполномоченного лица, а также приприменении вычислительных ресурсов (мощностей), предоставляемыхуполномоченным лицом для обработки информации.
6Рассмотрим, выбор мер и средств защиты информации. Технические иорганизационные меры защиты информации, реализуемые винформационной системе в рамках ее системы защиты информации, взависимости от угроз безопасности информации, используемыхинформационных технологий и структурно-функциональных характеристикинформационной системы, должны обеспечивать 6 следующие пункты:идентификацию и аутентификацию субъектов доступа иобъектов доступа; 6ограничение программной среды; 13управление доступом субъектов доступа к объектамдоступа; 13защиту машинных носителей информации; 6антивирусную защиту;регистрацию событий безопасности; 6контроль (анализ) защищенности информации; 13обнаружение (предотвращение) вторжений; 13защиту технических средств; 6целостность информационной системы и информации; 6защиту среды виртуализации; 6доступность информации; 6защиту информационной системы, ее средств, систем связии передачи данных.
6Определение технических и организационных мер трудоемкий процесс,требующий глубокого анализа, в результате которого необходимо получитьмеры защиты информации в соответствии со структурно-функциональнымихарактеристиками 6 информационной системы. А также определение 6технических и организационных мер требует анализа на определение мерзащиты информации, с помощью которых будут нейтрализованы актуальныеугрозы безопасности. Все это занимает достаточно продолжительное время.В связи с этим были проведены исследования и сформированы таблицысоотношения (см.
приложение А):набор мер защиты информациии структурно-функциональные характеристики информационнойсистемы;угрозы безопасностиинформации и меры по их нейтрализации.Данные рекомендации можно применять и при ручном определениинабора мер, например, в случае выхода из строя программного комплекса,каких-либо непредвиденных обстоятельств или ситуаций.В ходе определения технических и организационных мер необходимоиспользовать огромное количество приказов, методических документов идругих руководящих документов ФСТЭК России, ФСБ России.В связи с этим целесообразна автоматизация данного процесса, ведьнормативно-правовая база остается достаточно длительное время безизменений, а при обновлении правовой базы можно легко внести изменения впрограмму.Так как мы используем результаты работы из программного комплекса«Оценки рисков информационной безопасности», то необходимо извлечьнеобходимые данные и занести их в разрабатываемый программныйкомплекс.
В случае успешного получения исходных данных, создается записьс названием информационной системы, ее класса или уровня защищенностив зависимости от обрабатываемой информации в ней, списком актуальныхугроз, структурно-функциональными характеристиками информационнойсистемы.На рисунке 1.1 представлены этапы выбора мер защиты информации.Класс защищенностиинформационной системыБазовый набор мерзащиты информацииСтруктурно-функциональныехарактеристикиинформационной системы,информационныетехнологии, особенностифункционированияАдаптированныйбазовый набор мерзащиты информации 13Угрозы безопасностиинформации, включенные вмодель угроз безопасностиинформации 13Уточненныйадаптированныйбазовый набор мерзащиты информации 13Требования нормативноправовых актов (иных)дополненныйуточненныйадаптированныйбазовый набор мерзащиты информации 13Рисунок 1.1 Общий порядок действий по выбору мер защитыинформации 13Первым шагом определяется базовый набор мер в соответствии ПриказомФСТЭК России от 11 февраля 2013 г.
N 17 « 60 Требования о защитеинформации, не составляющей государственную тайну, содержащейся в 6информационных государственных системах» или Приказом ФСТЭК Россииот 18 февраля 2013 г. N 21 «Состав и содержание технических иорганизационных мер по обеспечению безопасности персональных данныхпри их обработке в информационных системах». В 13 качестве начальногоперечня мер выбирается только одна колонка из четырех или трех базовыхнаборов мер защиты информации, соответствующий установленному классу 13или уровню защищенности информационной системы соответственно. Мерыинформации защиты, которые обозначены положительным знаком включеныв базовый набор мер защиты информации для соответствующего класса 13 илиуровня защищенности данной информационной системы.
Меры защитыинформации, которые никак не обозначены, к базовому набору мер неотносятся, и могут в дальнейшем использоваться для расширения перечнямер при адаптации мер, уточнении мер и дополнении мер защитыинформации, а также разработке мер защиты информации, которые будуткомпенсирующие.Вторым действием является адаптация базового набора мер, то естьизменение изначального выбранного базового набора мер защитыинформации применительно к структуре, особенностям эксплуатации иреализации информационной системы. При адаптации базового набора мерзащиты информации, 13 как правило, 13 происходит исключение мер, связанныхнепосредственно с информационными технологиями, не используемыми винформационной системе, или структурно-функциональнымихарактеристиками, 13 которые не свойственны информационной системе.В качестве примера адаптации 13 базового набора мер 13 можно привестиследующую ситуацию: в информационной системе не применяютсямобильные технические устройства или их применение запрещено,следовательно, из базового набора мер защиты информации можноисключить меры по защите мобильных технических средств.Третьим действием будет являться уточнение адаптированного базовогонабора мер защиты информации с учетом 13 оценки возможностиадаптированного базового набора мер защиты информации 13 нейтрализоватьвсе определенные угрозы безопасности информациии, включенные в модельугроз безопасности информации.Исходными данными при работе по уточнению адаптированного базовогонабора мер защиты информации 13 будет являться перечень угроз информациибезопасности актуальных для информационной системы.
Используярезультаты модуля «Оценка угроз безопасности информации, реализуемых засчет НСД к информации в ИС», получаем перечень актуальных угрозбезопасности информации. При уточнении адаптированного базового наборамер защиты информации для каждой 13 определенной актуальной угрозыинформации безопасности сопоставляется мера информации защиты изадаптированного базового набора мер информации защиты, обеспечивающаянейтрализацию этой угрозы безопасности или снижающая 13 степеньвероятности ее реализации, исходя из условий функционированияинформационной системы.
В случае если адаптированный базовый набор мерзащиты информации не обеспечивает 13 нейтрализацию всех угрозбезопасности информации, в него дополнительно включаются меры 13информации защиты с учетом класса защищенности информационнойсистемы и потенциала нарушителя.В 13 качестве примера по работе при уточнении адаптированного базовогонабора мер информации защиты можно привести следующую ситуацию:информационная система имеет класс третий защищенности, а в моделиугроз информации безопасности есть угрозы, связанные с возможностьюзагрузки операционной системы с 13 машинного нештатного носителя илинарушения целостности программной среды и (или) состава компонентоваппаратного обеспечения средств вычислительной техники винформационной системе.
13 Тогда в перечень мер мы добавляем меры пообеспечению доверенной загрузки.Четвертым шагом является работа по дополнению уточненногоадаптированного базового набора мер информации защиты с цельювыполнения требований по информационной защите, которые установленыдругими нормативными правовыми актами в области защиты информации, втом числе в области защиты персональных данных. 13 Например, на основаниитребований руководящих документов ФСБ России, изложенных в « Типовыхтребованиях по организации и обеспечению функционированияшифровальных (криптографических) средств, предназначенных для защитыинформации, не содержащей сведений, составляющих государственнуютайну в случае их использования для обеспечения безопасностиперсональных данных при их обработке в информационных системахперсональных данных» 70 от 21 февраля 2008 г.
55 No 149/6/6-622 и « Методическихрекомендаций по обеспечению с помощью криптосредств безопасностиперсональных данных при их обработке в информационных система хперсональных данных с использованием средств автоматизации» 70утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 г. 57 No149/5-144, в ИСПДн должна обеспечиваться криптографическая защитаперсональных данных при передаче по каналам связи в сторонниеорганизации и между сегментами ИСПДн, при передаче информации черезсети связи международного информационного обмена.После получения дополненного набора мер происходит подбортехнических средств и организационных мер для нейтрализации полученныхмер защиты информации. На выходе мы должны получить разделы проектнойи технологической документации.Таким образом, предметом автоматизации являются чтение исходныхданных, систематизация, хранение, накопление данных, необходимых дляфункционирования программного комплекса, получение мер защитыинформации, а также решение по их нейтрализации и получение разделовпроектной и технологической документации.Создание данного программного комплекса позволит существеннооблегчить работу специалиста по информационной безопасности, снизить внесколько раз затраты на документооборот, повысить скорость и качество пополучению разделов проектной и технологической документации,упорядочить организационную структуру документооборота, и в результатеповысить эффективность работы специалиста по информационнойбезопасности.Цель работыЦелью данного проекта является разработка автоматизированногокомплекса, который должен увеличить эффективность разработкитехнического задания и технического проекта для защиты информационнойсистемы и качество разрабатываемых разделов для проектной итехнологической документации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
