Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Исходные данные. В соответствии с требованиями РД Гостехкомиссии при проведении работ по аттестации

Пример использования метода CRAMM | Средства компании MethodWare | RiskWatch | Актуальность аудита безопасности | Сертификация и аудит: организационные аспекты | Методика проведения аудита | Организация проведения аудита | Аудит информационной системы: рекомендации COBIT 3rd Edition | Этапы проведения аудита | Пример аудита системы расчета зарплаты |


Читайте также:
  1. III. ДАННЫЕ ОБЪЕКТИВНОГО ИССЛЕДОВАНИЯ
  2. VI. Преданные заклятию
  3. VI. Преданные заклятию
  4. Анкетные данные
  5. Базовая ИТ. Физический уровень. Преобразование информации в данные.
  6. Глава 1 ДАННЫЕ БИОЛОГИИ
  7. Глава 1. ДАННЫЕ БИОЛОГИИ

В соответствии с требованиями РД Гостехкомиссии при проведении работ по аттестации безопасности АС, включающих предварительное обследование и анализ защищенности объекта информатизации, заказчиком должны быть предоставлены следующие исходные данные:

– полное и точное наименование объекта информатизации и его назначение;

– характер информации (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень ее секретности (конфиденциальности), в соответствии с какими перечнями (государственным, отраслевым, ведомственным, предприятия) он определен;

– организационная структура объекта информатизации;

– перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация;

– особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны;

– структура программного обеспечения (общесистемного и прикладного), установленного на аттестуемом объекте и предназначенного для обработки защищаемой информации, принятые протоколы обмена информацией;

– общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации;

– наличие и характер взаимодействия с другими объектами информатизации;

– состав и структура системы защиты информации на аттестуемом объекте;

– перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, внедренных на аттестуемом объекте и имеющих соответствующий сертификат, предписание на эксплуатацию;

– сведения о разработчиках системы защиты информации, наличие у сторонних (по отношению к предприятию, на котором расположен аттестуемый объект) разработчиков лицензий на проведение подобных работ;

– присутствие на объекте (на предприятии, на котором расположен этот объект) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных);

– существование и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители);

– наличие и готовность проектной и эксплуатационной документации и другие исходные данные по аттестуемому объекту, определяющие безопасность информации.

Опыт показывает, что перечисленных исходных данных явно недостаточно для анализа защищенности АС, и приведенный в РД Гостехкомиссии список нуждается в расширении и конкретизации. Последний пункт этого списка предполагает предоставление других исходных данных по объекту информатизации, влияющих на безопасность информации. Как раз эти «дополнительные» данные и являются наиболее значимыми для оценки текущего положения дел с обеспечением безопасности АС. Ниже перечислены соответствующие документы.

Дополнительная документация:

– нормативно-распорядительные документы по проведению регламентных работ;

– нормативно-распорядительные документы по обеспечению политики безопасности;

– должностные инструкции для администраторов, инженеров технической поддержки и службы безопасности;

– процедуры и планы предотвращения попыток НСД к информационным ресурсам и реагирования на них;

– схема топологии корпоративной сети с указанием IP-адресов и структурная схема;

– данные по структуре информационных ресурсов с указанием степени критичности или конфиденциальности каждого ресурса;

– размещение информационных ресурсов в корпоративной сети;

– схема организационной структуры пользователей;

– схема организационной структуры обслуживающих подразделений;

– схемы размещения линий передачи данных;

– схемы и характеристики систем электропитания и заземления объектов АС;

– данные об эксплуатируемых системах сетевого управления и мониторинга.

Проектная документация:

– функциональные схемы;

– описание автоматизированных функций;

– описание основных технических решений.

Эксплуатационная документация: руководства для пользователей и администраторов применяемых программных и технических средств защиты информации (СЗИ) в случае необходимости.


Дата добавления: 2015-09-02; просмотров: 174 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Глава 6 Анализ защищенности информационной системы| Методы тестирования системы защиты

mybiblioteka.su - 2015-2024 год. (0.01 сек.)