Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Классификация информационных систем по безопасности.

Читайте также:
  1. CALS-система - Интегрированная электронная информационная система управления реализующая технологию CALS.
  2. CSRP-система - Интегрированная электронная информационная система управления, реализующая концепцию CSRP.
  3. I. Кто есть кто, или система ценностей
  4. I. Создание «советской системы» в экономике
  5. I. Становление современной политической системы в Индии
  6. I. Формирование условий для ликвидации колониальной системы
  7. I. Функции и классификация органов чувств

Согласно ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» ИБ должна быть обеспечена на различных уровнях информационного взаимодействия. Исходя из характеристик объекта защиты, необходимости соблюдения статей и пунктов нормативно-правового обеспечения, анализа угроз и рисков для реализации ИБ должны быть выполнены следующие мероприятия по пунктам стандарта:

Класс FOD: администрирование политик

FOD_POL Администрирование политик

FOD_POL. Политика безопасности

FOD_POL.1.2 Определение политики информационной безопасности, включая задачи, цели, область применения, соответствие законодательству, требования договора и стандартов, оценку риска и менеджмент риска, обучение безопасности, подготовку и требования к осведомленности, управление непрерывностью бизнес­ процессов, последствия нарушения информационной безопасности, обязательства организации и ее подход к менеджменту информационной безопасности.

FOD_POL.2 Политика защиты данных и приватности

FOD_POL.2.1 Разработка и реализация политики защиты данных и приватности.

FOD_PSN Администрирование по отношению к персоналу

FOD_PSN.1 1 Должности и обязанности персонала

FOD_PSN.2 Обеспечение осведомленности об информационной безопасности, обучения и профессиональной подготовки

FOD_PSN.1.1 разработка и документирование должности и обязанности служащих, подрядчиков и пользователя третьей стороны в соответствии с политикой безопасности организации.

FOD_PSN.1.4 определение требований безопасности для персонала, работающего на охраняемых участках

FOD_PSN.1.14 определение правил предотвращения допуска к оборудованию организации любых несанкционированных лиц.

Класс FOS: Системы ИТ

FOS_POL Политика для систем ИТ

FOS_POL.1 Определены процедуры управления обновлением и идентификацией изменений, управления изменениями и введения измененной системы.

FOS_POL.1.1 определение процедур процесса управления обновлением программного обеспечения для обеспечения установки самых современных утвержденных патчей и приложений в санкционированное программное обеспечение.

FOS_POL.1.2 определение процедур идентификации изменений в средствах обработки информации и системах и оценки потенциальных воздействий.

FOS_POL.1.7 определение процедур управления установкой программного обеспечения в автоматизированные системы.

FOS_POL.1.10 документирование, сохранение и предоставление процедур всем нуждающимся в них пользователям.

FOS_POL.2 Политика защиты от вредоносных кодов

FOS_POL.2.1 определение процедур управления защитой систем от вредоносных кодов, сообщения об их восстановлении после атак вредоносных кодов.

FOS_POL.2.2 определение процедур обнаружения и защиты от вредоносных кодов, которые могут быть переданы посредством средств связи.

FOS_POL.5 Общественные системы

FOS_POL.5.1 обеспечение мер безопасности для защиты программного обеспечения, данных и другой информации, требующей высокого уровня целостности при предоставлении в общедоступной системе.

FOS_POL.5.2 обеспечение требований безопасности по тестированию общедоступной системы на предмет наличия слабых мест и отказов перед предоставлением информации.

FOS_CNF Конфигурация систем ИТ

FOS_CNF.2.1 определение правил разделения групп информационных услуг, пользователей и информационных систем на сети.

FOS_CNF.2.3 определять правила владения конфиденциальной системой специализированной (изолированной) вычислительной среды.

FOS_NET Сетевая безопасность систем ИТ

FOS_NET.1 Сетевые услуги

FOS_NET.1.1 определение правил для сетей и сетевых услуг, к которым разрешен доступ, и правила процедур авторизации для определения, кому и к каким сетям и сетевым услугам разрешен доступ.

FOS_NET.2 Безопасность сетей

FOS_NET.2.3 обеспечение мер обеспечения безопасности для наложения ограничений на время соединения с целью дополнительной защиты приложений с высокой степенью риска.

FOS_NET.2.5 обеспечение мер обеспечения безопасности для разделения групп информационных услуг, пользователей и информационных систем в сетях.

FOS_PSN Управление персоналом системам ИТ

FOS_PSN.1 описание регистрации пользователя, аутентификации пользователя и правил хранения конфиденциальной информации об аутентификации с конкретными действиями, спецификациями и записей об осуществлении контроля.

FOS_PSN.2.2 определение процедур отключения универсальных ЭВМ, серверов или офисных ПК по завершении сеанса работы.

FOS_PSN.2.4 определение правил, предписывающие не оставлять персональные компьютеры, компьютерные терминалы и принтеры, подсоединенные к сети, без присмотра и защищать их при помощи фиксаторов клавиш, паролей или других средств защиты во время простоя этих устройств.

Класс FOA: Активы пользователя

FOA_INF Защита информации в активах пользователей

FOA_INF.1 Защита данных

FOA_INF.1.1 определение руководства по удержанию, сохранению, обработке и ликвидации записей и информации.

FOA_INF.1.5 обеспечение мер обеспечения электронной связи путем защиты сообщений от несанкционированного доступа, модификации или отказа в обслуживании, обеспечения правильной адресации и передачи сообщения, надежности и доступности услуг и юридической консультации.

FOA_INF.1.9 определение требований безопасности по защите информации, задействованной в электронной коммерции, проходящей по общественным сетям, от мошенничества, споров по контракту, а также от несанкционированного раскрытия и модифицирования.

Класс FOP: оборудование и аппаратура

FOP_RMM Съемное оборудование

FOP_RMM.1 описание процедур управления сменными компьютерными носителями, процедур авторизации для носителей, удаленных из организации, и процедур стирания содержимого любых повторно используемых носителей с конкретными действиями и спецификациями и записями о проведении контроля.

FOP_RMM.1.1 определение процедуры управления сменными компьютерными носителями.

FOP_RMM.1.3 определение процедур минимизации рисков, связанных с утечкой секретной информации несанкционированным лицам, установления формальных процедур безопасной ликвидации носителей.

FOP_RMM.1.4 определение процедур стирания, включая любые секретные данные и лицензионное программное обеспечение, любых повторно используемых носителей и оборудования, содержащего носители информации, которые должны быть удалены из организации в случае их ненадобности и проверены на выполнение стирания.

FOP_SYS Системное оборудование

FOP_SYS.1 Управление системным оборудованием. Определены запасное оборудование и резервные носители, правила хранения опасных и воспламеняющихся материалов. Процедуры проверки поступающего материала и защиты сетевой проводки с конкретными действиями и спецификациями.

FOP_SYS.1.2 определение правил хранения опасных и воспламеняющихся материалов безопасным образом на безопасном расстоянии на защищенном участке.

FOP_SYS.1.4 определение процедур проверки поступающего материала на наличие потенциальных угроз перед его перемещением от района доставки и разгрузки к месту использования.

FOP_SYS.1.5 обеспечение мер защиты сетевой проводки от несанкционированного прослушивания или повреждения при ее прокладке через площади общественного пользования.

FOP_SYS.1.7 определение правил проведения ремонта или обслуживания оборудования только санкционированным обслуживающим персоналом.

FOP_SYS.1.9 определение правил хранения всех носителей в безопасной и защищенной среде в соответствии со спецификацией изготовителей.

FOP_SYS.1.12 обеспечение мер обеспечения безопасности для носителей, содержащих информацию, которая должна быть защищена от несанкционированного доступа, неправильного использования или искажения во время транспортирования за пределами организации.

FOP_MNG Управление аппаратурой.

FOP_MNG.1 Физическая защита. Описание физической защиты офисов, помещений и аппаратуры, разделения аппаратуры, используемой для разработки, испытания и эксплуатации, адекватной резервной аппаратуры и защиты средств обработки информации с конкретными действиями и спецификациями.

FOP_MNG.1.2 определение требований безопасности разделения аппаратуры разработки, испытания и эксплуатации с целью снижения рисков несанкционированного доступа или внесения изменений в автоматизированную систему.

FOP_MNG.1.3 определение требований безопасности для адекватной резервной аппаратуры в целях обеспечения возможности восстановления всей значимой информации и программного обеспечения после какого-либо бедствия или неисправности носителей информации.

FOP_MNG.1.4 определение требований безопасности для защиты оборудования обработки информации с целью избежания несанкционированного доступа или раскрытия информации, хранящейся в этом оборудовании и обрабатываемой им.

FOP_MNG.2 Силовое вспомогательное оборудование

FOP_MNG.2.1 обеспечение мер обеспечения безопасности для защиты оборудования от перебоев в питании и других сбоев, вызванных неисправностями во вспомогательном оборудовании.

Класс FOM: управление

FOM_ORG Управление организацией безопасности

 


Дата добавления: 2015-10-13; просмотров: 135 | Нарушение авторских прав


Читайте в этой же книге: Общие сведения об объекте защиты | Характеристика организационной структуры предприятия | Характеристика объекта защиты (3 этаж) | Нормативно-правовое обеспечение ИБ. | Предназначен для приема и распределения электрической энергии. | Расчет фондов заработной платы |
<== предыдущая страница | следующая страница ==>
Анализ угроз и рисков.| Расчет количества кабеля, расходных материалов и комплектующих

mybiblioteka.su - 2015-2024 год. (0.016 сек.)