Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Приложение А

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЕ

«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПРОВЕДЕНИЯ АНАЛИЗА ЗАЩИЩЁННОСТИ ИНФОРМАЦИИ НА ЭТАПЕ ВНЕДРЕНИЯ СИСТЕМЫ ЗАЩИТЫ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Хабаровск – 2017

Оглавление

Общие положения 3

Первый этап. Уточнение информации о ИС. 3

Определение выполняемых функций ИС 3

Определение структурно-функциональных характеристик ИС 4

Определение степени конфиденциальности обрабатываемой информации в ИС 6

Взаимодействие с другими ИС 8

Состав прикладного ПО, используемого в ИС 9

Второй этап. Правильность определения настройки программных, технических и программно-технических средств. 10

Проверка настройки технических и программно-технических средств обработки информации в ИС (маршрутизаторы, коммутаторы и т.д.) 10

Проверка настройки технических, программных и программно-технических средств защиты информации внедряемой системы защиты 11

Третий этап. Анализ защищённости внутреннего и внешнего периметра сети ИС 12

Четвёртый этап. Поиск уязвимостей ПО в ИС 13

Проверка персонала на знание и умение работать с средствами защиты информации 13

Проверка организационных мер защиты информации в ИС 13

Поиск уязвимостей в прикладном ПО ИС 14

Поиск уязвимостей в ИС при помощи инструментальных средств 22

Пятый этап. Подведение итогов проведения анализа защищённости в ИС 25

Шестой этап. Составление отчётности по проведению анализа защищённости в ИС. 26

Терминологический словарь 28

Список сокращений 31

Общие положения

Методические рекомендации по проведению анализа защищённости информации на этапе внедрения системы защиты в ИС детализирует выполнение анализа защищённости.

В методических рекомендациях не рассматриваются содержание, правила настройки технических, программно-технических и программных средств защиты информации, правила выбора этих средств и правила поиска уязвимостей.

Следующие методические рекомендации предназначены администраторов безопасности, системных администраторов, экспертов и специалистов в области защиты информации (информационной безопасности), руководителей организации и остального персонала уполномоченного в области защиты информации.

Методические рекомендации по проведению анализа защищённости информации на этапе внедрения системы защиты в ИС проводятся поэтапно согласно разработанной методике в первой главе.

Первый этап. Уточнение информации о ИС.

Уточнение данных ИС проводится в соответствии с требованиями ФСТЭК России при проведении контроля анализа защищенности.

Определение выполняемых функций ИС

Выполняемые функции ИС бывают:

• справочные – дают возможность пользователям узнавать необходимые классы объектов (литература, номера телефонов, адреса и т.д.);

• информационно-поисковые – предоставляют пользователям использовать поиск в целях получения сведений по различным поисковым образам на каком-либо информационном ресурсе;

• расчетные – выполняют обработку информации по установленным расчетным алгоритмам;

• технологические –позволяют автоматизировать все функции технологического цикла или отдельных частей организационной или производственной структуры;

• иные функции – не входящие в вышеперечисленные.

Определение структурно-функциональных характеристик ИС

К структурно-функциональным характеристикам ИС относятся структура и состав ИС, физические, логические, функциональные и технологические взаимосвязи между сегментами ИС, взаимосвязи с иными ИС и информационно-телекоммуникационными сетями, режимы обработки информации в ИС и в ее отдельных сегментах, а также иные характеристики ИС, применяемые информационные технологии и особенности ее функционирования.

Таблица А.1 – Перечень структурно-функциональных характеристик ИС

По структуре ИС	автономное автоматизированное рабочее место; локальная ИС; распределенная ИС;
По используемым ИТ	системы на основе виртуализации; системы, реализующие «облачные вычисления»; системы с мобильными устройствами; системы с технологиями беспроводного доступа; грид – системы; суперкомпьютерные системы;

Продолжение таблицы А.1

По архитектуре информационной системы	системы на основе «тонкого клиента»; системы на основе одноранговой сети; файл-серверные системы; центры обработки данных; системы с удаленным доступом пользователей; использование разных типов операционных систем (гетерогенность среды); использование прикладных программ, независимых от операционных систем; использование выделенных каналов связи
По наличию (отсутствию) взаимосвязей с иными информационными системами	взаимодействующая с системами; невзаимодействующая с системами;
По наличию (отсутствию) взаимосвязей (подключений)	подключенная к сетям связи общего пользования; подключенная через выделенную инфраструктуру; неподключенная;
По размещению технических средств:	расположенные в пределах одной контролируемой зоны; расположенные в пределах нескольких контролируемых зон; расположенные вне контролируемой зоны;

Окончание таблицы А.1

По режимам обработки информации в ИС	многопользовательский; однопользовательский;
По режимам разграничения прав доступа	без разграничения; с разграничением;
По режимам разделения функций по управлению информационной системой	без разделения; выделение рабочих мест для администрирования в отдельный домен; использование различных сетевых адресов; использование выделенных каналов для администрирования;
По подходам к сегментированию ИС	без сегментирования; с сегментированием;

Определение степени конфиденциальности обрабатываемой информации в ИС

В соответствии с законодательством РФ, в зависимости от содержания или обладателя, информация бывает в составе категорий:

• государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ (Закон РФ от 21.07.1993 № 5485-1 (ред. от 08.03.2015) «О государственной тайне»).Существуют грифы секретности: особой важности, совершенно секретные, секретные;

• коммерческая тайна – позволяет ее обладателю при особыхслучаях увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны (ст. 3,Закон РФ «О коммерческой тайне» от 29.07.2004 N98-ФЗ);

• служебная информация ограниченного распространения (служебная тайна) – это охраняемая законом конфиденциальная информация о деятельности государственных органов, доступ к которой ограничен в силу служебной необходимости, а также ставшая известной в государственных органах и органах местного самоуправления только на законном основании (Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера»);

• персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.(Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»).

Взаимодействие с другими ИС

Ввиду того, что характер взаимодействия может быть не у всей ИС, а только у определенной части (отдела), тогда необходимо к описанию представить схему сети этого взаимодействия.

Пример:

В компании существует взаимодействие с компанией филиалом через сеть Интернет посредством защищенного соединения VPN. (рисунок А.1)

Рисунок А.1 – Схема взаимодействия информационных систем

Схема размещения компонентов сети ИС (ОТСС и ВТСС), на которых обрабатывается информация

Данная схема создается с общим планом всех помещений и каждого по отдельности, в которой находится ИС.

Примечание: при общем плане помещений рекомендуется указать название отделов, отвечающих за выполнение определенных функций.

Схема размещения компонентов ИС представлена на рисунке А.2.

ПК

Телефон

Факс

МФУ

Окно

Рисунок А.2 – Схема размещение компонентов ИС

Состав прикладного ПО, используемого в ИС

При определении состава необходимо учитывать все отделы организации и каждое автоматизированное рабочее место (АРМ) по отдельности. Итоговые данные представляются в виде таблицы.

Пример перечня прикладного ПО представлен в таблице А.2.

Таблица А.2 – Переченьприкладного ПО, используемого в ИС

Название отдела	Название АРМ	Состав прикладного ПО
Научно-исследовательская лаборатория	АРМ НИЛ_№3	MS Word,MSExcel,Adobe Reader, VMware
…	…	…
Отдел главного конструктора	АРМ начальника отдела	MS Word,MSExcel,Adobe Reader

Второй этап. Правильность определения настройки программных, технических и программно-технических средств.

Проверка настройки технических и программно-технических средств обработки информации в ИС (маршрутизаторы, коммутаторы и т.д.)

На данном этапе проводится проверка настройки оборудования системным администратором и оператором безопасности. По окончанию проверки составляется таблица всех технических и программно-технических средств обработки информации в ИС с указанием технических и программных средств, отдел в котором оно располагается и ошибки в настройках (таблица А.3).

Таблица А.3 – Перечень средств обработки информации

Проверка настройки технических, программных и программно-технических средств защиты информации внедряемой системы защиты

После проверки всех средств обработки информации в ИС приступают к проверке настроек средств защиты информации. По окончанию проверок, которые выполняет оператор безопасности, составляется подобная таблица, как и предыдущем пункте, основные отличия состоят в том, что в этой таблице также указываются сертификаты выданные устройству.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР