Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Уточнение предлагаю проводить поэтапно в следующем виде:

1. определение выполняемых функций ИС;

2. определение структурно-функциональных характеристик ИС;

3. определение степени конфиденциальности обрабатываемой информации в ИС;

4. взаимодействие с другими ИС;

5. схема размещения компонентов сети ИС (ОТСС и ВТСС), на которых обрабатывается информации;

6. состав прикладного ПО, используемого в ИС.

Такой поэтапный сбор даст наилучшее представление о ИС, информации, которую она обрабатывает, её функциях, а также составе.

После сбора и анализа информации о ИС целесообразно начинать с определения правильности настройки программных, технических и программно-технических средств используемых в ИС.

1. правильность определения настройки программных, технических и программно-технических средств. Предлагаю разделить правильность определения настройки программных, технических и программно-технических средств на два этапа:

   1. проверка настройки технических и программно-технических средств ИС (маршрутизаторы, коммутаторы и т.д.);

   2. проверка настройки технических, программных и программно-технических средств защиты информации внедряемой системы защиты.

На каждом этапе оформляется перечень использованных и проверенных средств с указанием места, где оно установлено, сертификатами соответствия, если они имеются и ошибок в настройке.

Разделение этапов повышает эффективность проведения анализа защищённости ИС, так как первый этап выполняется оператором безопасности и системным администратором, а для второго этапа необходим только оператор безопасности.

По завершению проверки и настройки всех средств защиты ИС предлагаю выполнить анализ защищённости внутреннего и внешнего периметра сети, этот этап заключается в имитировании атак, как внутреннего и так внешнего нарушителя с целью хищения и модификации информации, а также вывода из строя ИС.

1. анализ защищённости внутреннего и внешнего периметра сети ИС;

После проведения анализа защищенности внутреннего и внешнего периметра сети ИС наиболее оптимально приступить к поиску уязвимостей.

Поиск уязвимостей также разделяется на два этапа, которые можно проводить параллельно.

1. поиск уязвимостей в ИС:

   1. поиск уязвимостей экспертной группой:

      • проверка персонала на знание и умение работать с средствами защиты информации;

      • проверка организационных мер защиты информации в ИС;

      • поиск уязвимостей в прикладном ПО ИС.

   2. поиск уязвимостей в ИС при помощи инструментальных средств.

По окончанию всех проверок подводятся итоги проведения анализа защищённости. Они включают в себя рекомендации по найденным ошибкам в настройке оборудования, уязвимостям и доработке и модернизации системы защиты, в случае если закрыть найденные уязвимости невозможно имеющимися средствами защиты информации.

1. подведение итогов проведения анализа защищённости ИС:

   1. рекомендации по настройке программных и программно-технических средств защиты информации в ИС;

   2. рекомендации по закрытию найденных уязвимостей в ИС;

   3. рекомендации по доработке и модернизации системы защиты.

2. составление отчётности по проведению анализа защищённости.

Предлагаемая методика даёт возможность высококвалифицированному специалисту реализовать меры и требования по анализу защищённости информации в ИС. Для людей с недостаточной квалификацией, разработаны и предложены методические рекомендации в помощь проведения анализа защищённости информации в ИС по данной методике.

1. Методические рекомендации по проведению анализа защищённости информации на этапе внедрения системы защиты в ИС

Во второй главе была предложена методика проведения анализа защищённости информации в ИС на этапе внедрения системы защиты, в этой же главе предоставляется продолжение, а именно методические рекомендации к данной методике. Основная задача рекомендаций - это реализация и описание методики с подробным раскрытием каждого из пунктов в примерах.

Методические рекомендации по проведению анализа защищённости информации на этапе внедрения системы защиты в ИС детализирует выполнение анализа защищённости.

В методических рекомендациях не рассматриваются содержание, правила настройки технических, программно-технических и программных средств защиты информации, правила выбора этих средств и правила поиска уязвимостей.

Следующие методические рекомендации предназначены операторов безопасности, системных администраторов, экспертов и специалистов в области защиты информации (информационной безопасности), руководителей организации и остального персонала уполномоченного в области защиты информации.

Методические рекомендации по проведению анализа защищённости информации на этапе внедрения системы защиты в ИС проводятся поэтапно согласно разработанной методике в первой главе.

Первый этап. Уточнение информации о ИС.

Уточнение данных ИС проводится в соответствии с требованиями ФСТЭК России при проведении контроля анализа защищенности.

Определение выполняемых функций ИС

Выполняемые функции ИС бывают:

• справочные – дают возможность пользователям узнавать необходимые классы объектов (литература, номера телефонов, адреса и т.д.);

• информационно-поисковые – предоставляют пользователям использовать поиск в целях получения сведений по различным поисковым образам на каком-либо информационном ресурсе;

• расчетные – выполняют обработку информации по установленным расчетным алгоритмам;

• технологические –позволяют автоматизировать все функции технологического цикла или отдельных частей организационной или производственной структуры;

• иные функции – не входящие в вышеперечисленные.

Определение структурно-функциональных характеристик ИС

К структурно-функциональным характеристикам ИС относятся структура и состав ИС, физические, логические, функциональные и технологические взаимосвязи между сегментами ИС, взаимосвязи с иными ИС и информационно-телекоммуникационными сетями, режимы обработки информации в ИС и в ее отдельных сегментах, а также иные характеристики ИС, применяемые информационные технологии и особенности ее функционирования.

Таблица 3.1 – Перечень структурно-функциональных характеристик ИС

По структуре ИС

автономное автоматизированное рабочее место; локальная ИС; распределенная ИС;

Продолжение таблицы 3.1

По используемым ИТ	системы на основе виртуализации; системы, реализующие «облачные вычисления»; системы с мобильными устройствами; системы с технологиями беспроводного доступа; грид – системы; суперкомпьютерные системы;
По архитектуре информационной системы	системы на основе «тонкого клиента»; системы на основе одноранговой сети; файл-серверные системы; центры обработки данных; системы с удаленным доступом пользователей; использование разных типов операционных систем (гетерогенность среды); использование прикладных программ, независимых от операционных систем; использование выделенных каналов связи
По наличию (отсутствию) взаимосвязей с иными информационными системами	взаимодействующая с системами; невзаимодействующая с системами;

Окончание таблицы 3.1

По наличию (отсутствию) взаимосвязей (подключений)	подключенная к сетям связи общего пользования; подключенная через выделенную инфраструктуру; неподключенная;
По размещению технических средств:	расположенные в пределах одной контролируемой зоны; расположенные в пределах нескольких контролируемых зон; расположенные вне контролируемой зоны;
По режимам обработки информации в ИС	многопользовательский; однопользовательский;
По режимам разграничения прав доступа	без разграничения; с разграничением;
По режимам разделения функций по управлению информационной системой	без разделения; выделение рабочих мест для администрирования в отдельный домен; использование различных сетевых адресов; использование выделенных каналов для администрирования;
По подходам к сегментированию ИС	без сегментирования; с сегментированием;

Определение степени конфиденциальности обрабатываемой информации в ИС

В соответствии с законодательством РФ, в зависимости от содержания или обладателя, информация бывает в составе категорий:

• государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ (Закон РФ от 21.07.1993 № 5485-1 (ред. от 08.03.2015) «О государственной тайне»).Существуют грифы секретности: особой важности, совершенно секретные, секретные;

• коммерческая тайна – позволяет ее обладателю при особых случаях увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны (ст. 3,Закон РФ «О коммерческой тайне» от 29.07.2004 N98-ФЗ);

• служебная информация ограниченного распространения (служебная тайна) – это охраняемая законом конфиденциальная информация о деятельности государственных органов, доступ к которой ограничен в силу служебной необходимости, а также ставшая известной в государственных органах и органах местного самоуправления только на законном основании (Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера») ;

• персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.(Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»).

Взаимодействие с другими ИС

Ввиду того, что характер взаимодействия может быть не у всей ИС, а только у определенной части (отдела), тогда необходимо к описанию представить схему сети этого взаимодействия.

Пример:

Характеристики

Список файлов ВКР