Антиплагиат (1209242), страница 7

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 7)

Поиск уязвимостей в ИС при помощи инструментальныхсредств;По окончанию всех проверок подводятся итоги проведения анализазащищённости. Они включают в себя рекомендации по найденным ошибкамв настройке оборудования, уязвимостям и доработке и модернизации системы34защиты, в случае если закрыть найденные уязвимости невозможноимеющимися средствами защиты информации.5. Подведение итогов проведения анализа защищённости ИС5.1. Рекомендации по настройке программных и программнотехнических средств защиты информации в ИС;5.2. Рекомендации по закрытию найденных уязвимостей в ИС;5.3. Рекомендации по доработке и модернизации системы защиты;6.

Составление отчётности по проведению анализа защищённости.Предлагаемая методика даёт возможность высококвалифицированномуспециалисту реализовать меры и требования по анализу защищённостиинформации в ИС. Для людей с недостаточной квалификацией, разработаныи предложены методические рекомендации в помощь проведения анализазащищённости информации в ИС по данной методике.353. Методические рекомендации по проведению анализа защищённостиинформации на этапе внедрения системы защиты в ИСВо второй главе была предложена методика проведения анализазащищённости информации в ИС на этапе внедрения системы защиты, в этойже главе предоставляется продолжение, а именно методическиерекомендации к данной методике. Основная задача рекомендаций - этореализация и описание методики с подробным раскрытием каждого изпунктов в примерах.Методические рекомендации по проведению анализа защищённостиинформации на этапе внедрения системы защиты в ИС детализируетвыполнение анализа защищённости.В методических рекомендациях не рассматриваются содержание, правиланастройки технических, программно-технических и программных средствзащиты информации, правила выбора этих средств и правила поискауязвимостей.Следующие методические рекомендации предназначены операторовбезопасности, системных администраторов, экспертов и специалистов вобласти защиты информации (информационной безопасности),руководителей организации и остального персонала уполномоченного вобласти защиты информации.Методические рекомендации по проведению анализа защищённостиинформации на этапе внедрения системы защиты в ИС проводятся поэтапносогласно разработанной методике в первой главе.1.

Уточнение информации о ИСУточнение данных ИС проводится в соответствии с требованиямиФСТЭК России при проведении контроля анализа защищенности.1.1.Определение выполняемых функций ИС;Выполняемые функции ИС бывают:36Справочные – дают возможность пользователям узнаватьнеобходимые классы объектов (литература, номера телефонов,адреса и т.д.);Информационно-поисковые – предоставляют пользователямиспользовать поиск в целях получения сведений по различнымпоисковым образам на каком-либо информационном ресурсе;Расчетные – выполняют обработку информации по установленнымрасчетным алгоритмам;Технологические –позволяют автоматизировать все функциитехнологического цикла или отдельных частей организационной илипроизводственной структуры;Иные функции – не входящие в вышеперечисленные.1.2.Определение структурно-функциональных характеристик ИС;К структурно-функциональным характеристикам ИС относятсяструктура и состав ИС, физические, логические, функциональные итехнологические взаимосвязи между сегментами ИС, взаимосвязи сиными ИС и информационно-телекоммуникационными сетями, режимыобработки информации в 11 ИС и в ее отдельных сегментах, а также иныехарактеристики 11 ИС, применяемые информационные технологии иособенности ее функционирования.

11Таблица 3.1. Перечень структурно-функциональных характеристик ИСПо структуре ИСавтономное автоматизированноерабочее место;локальная ИС;распределенная ИС;По используемым ИТсистемы на основе виртуализации;системы, реализующие «облачные 2037вычисления»;системы с мобильными устройствами;системы с технологиями беспроводногодоступа;грид – системы;суперкомпьютерные системы;По архитектуреинформационной системысистемы на основе «тонкого клиента»;системы на основе одноранговой сети;файл-серверные системы;центры обработки данных;системы с удаленным доступомпользователей;использование разных типовоперационныхсистем (гетерогенность среды);использование прикладных программ,независимых от операционных систем;использование выделенных каналовсвязиПо наличию (отсутствию)взаимосвязей с инымиинформационнымисистемамивзаимодействующая с системами;невзаимодействующая с системами;По наличию (отсутствию)взаимосвязей(подключений) 20подключенная к сетям связи общегопользования; 20подключенная через выделеннуюинфраструктуру;неподключенная;По размещению 20 расположенные в пределах одной 2038 20технических средств: контролируемой зоны;расположенные в пределах несколькихконтролируемых зон;расположенные вне контролируемойзоны;По режимам обработкиинформации в 20 ИСмногопользовательский;однопользовательский;По режимам разграниченияправ доступабез разграничения;с разграничением;По режимам разделенияфункций по управлениюинформационной системойбез разделения;выделение рабочих мест дляадминистрирования в отдельный домен;использование различных сетевыхадресов;использование выделенных каналов дляадминистрирования;По подходам ксегментированию ИСбез сегментирования;с сегментированием;1.3.

20 Определение степени конфиденциальности обрабатываемойинформации в ИС;В соответствии с законодательством РФ, в зависимости от содержанияили обладателя, информация бывает в составе категорий:Государственная тайна – защищаемые государством сведения вобласти его военной, внешнеполитической, экономической,разведывательной, контрразведывательной и оперативнорозыскной деятельности, распространение которых можетнанести ущерб безопасности РФ (Закон РФ от 21.07.1993 27 No395485-1 (ред. от 08.03.2015) «О государственнойтайне»).Существуют грифы секретности: особой важности,совершенно секретные, секретные.Коммерческая тайна – позволяет ее обладателю при особыхслучаях увеличить доходы, избежать неоправданных расходов,сохранить положение на рынке товаров, работ, услуг илиполучить иную коммерческую выгоду. Информация,составляющая коммерческую тайну, - научно-техническая,технологическая, производственная, финансово-экономическаяили иная информация (в том числе составляющая секретыпроизводства (ноу-хау)), которая имеет действительную илипотенциальную коммерческую ценность в силу неизвестности еетретьим лицам, к которой нет свободного доступа на законномосновании и в отношении которой обладателем такойинформации введен режим коммерческой тайны ( 15 ст.

3,Закон РФ«О коммерческой тайне» от 29.07.2004 N98-ФЗ).Служебная информация ограниченного распространения(служебная тайна) – это охраняемая законом конфиденциальнаяинформация о деятельности государственных органов, доступ ккоторой ограничен в 15 силу служебной необходимости, а такжеставшая известной в государственных органах и органахместного самоуправления только на 15 законном основании ( 15 УказПрезидента РФ от 6 марта 1997 г. 21 No 188 «Об утверждениисведений конфиденциального характера»)Персональные данные - любая информация, относящаяся копределенному или определяемому на основании такойинформации физическому лицу (субъекту персональныхданных), в том числе его фамилия, имя, отчество, год, месяц,дата и место рождения, адрес, семейное, социальное,имущественное положение, образование, профессия, доходы, 1540другая информация.( 15 Федеральный закон РФ от 27 июля 2006 28года 49 No 152- ФЗ «О персональных данных»).1.4.

49 Взаимодействие с другими ИС;Ввиду того, что характер взаимодействия может быть не у всей ИС, атолько у определенной части (отдела), тогда необходимо к описаниюпредставить схему сети этого взаимодействия.Например:В компании существует взаимодействие с компанией филиалом через сетьИнтернет посредством защищенного соединения VPN.Рис. 3.1. Схема взаимодействия информационных систем1.5.Схема размещения компонентов сети ИС (ОТСС и ВТСС), на которыхобрабатывается информация;Данная схема создается с общим планом всех помещений и каждого поотдельности, в которой находится ИС.41Примечание: при общем плане помещений рекомендуется указатьназвание отделов, отвечающих за выполнение определенных функций.Пример:Рис.

Характеристики

Список файлов ВКР