Файл: 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации.docx
Добавлен: 26.10.2023
Просмотров: 246
Скачиваний: 18
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-
Общие положения
Необходимостью создания ТЗКИ в ИСПД «Кадры» ЗАО «Солнышко» является обеспечение защиты информации при ее обработке в информационной системе.
СЗИ представляет собой совокупность организационных и технических мер, направленных на предотвращение неправомерного или случайного доступа к защищаемой информации, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ней.
Система защиты информации должна:
защищать ИС от вмешательства посторонних лиц в процесс её функционирования (возможность использования ИС и доступ к её ресурсам должны иметь только зарегистрированные установленным порядком пользователи);
предоставлять доступ конкретным пользователям ИС только к тем ресурсам ИС, к которым он необходим для выполнения своих служебных обязанностей, то есть защищать от несанкционированного доступа: к информации, обрабатываемой в ИС, средствам вычислительной техники, аппаратным и программным средствам защиты;
регистрировать действия пользователей при использовании защищаемых ресурсов ИС в системных журналах и анализировать содержимое этих журналов с целью контроля корректности действий пользователей;
контролировать целостность среды исполнения программ и ее восстановление в случае нарушения;
защищать от несанкционированной модификации и контролировать целостность программных средств, а также обеспечить защищу системы от внедрения несанкционированных программ;
защищать информацию, хранимую, обрабатываемую и передаваемую по каналам связи, от несанкционированного разглашения или искажения;
своевременно выявлять источники угроз безопасности информации, причины и условия, способствующие их появлению, создавать механизмы оперативного реагирования на угрозы;
создавать условия для минимизации наносимого ущерба неправомерными действиями физических и юридических лиц, уменьшать негативное влияние и ликвидировать последствия нарушения безопасности информации.
Для аналитического обоснования необходимости создания СЗИ использовалась Модель угроз безопасности информации для ИСПДн ЗАО «Солнышко»», разработанная на основании следующих документов:
ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию;
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г;
«Методика оценки угроз безопасности информации», утвержденная Заместителем директора ФСТЭК России 5 февраля 2021 г.
Для разработки модели угроз безопасности информации на договорной основе была привлечена организация - ФГУП «НПП «Бэтта», аккредитованная ФСТЭК России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации №СЗИ RU.082/2.В29.274, Лицензия по ТЗКИ - регистрационный №0019 от 31 октября 2002г), совместно с начальником отдела по информационной безопасности (ИБ) ЗАО «Солнышко».
4. Описание систем и сетей и их характеристика как объектов защиты2
4.1 Архитектура и схема подключений информационной системы
4.2 Описание процессов передачи информации
4.3 Перечень программных средств, используемых для обработки персональных данных в ИСПДн «Кадры» ЗАО «Солнышко»
4.4 Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»
4.5 Анализ организационных мер защиты ИСПДн
4.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
-
Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»
5. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
6. Возможные объекты воздействия угроз безопасности информации
7. Источники угроз безопасности информации
8. Способы реализации (возникновения) угроз безопасности информации
9. Актуальные угрозы безопасности информации
10. ТСЗИ предлагаемые для использования ИСПДн
11. Обоснование необходимости привлечения специальных организаций
12. Оценка материальных, трудовых и финансовых затрат на разработку и внедрение ТСЗИ
13. Ориентировочные сроки разработки и внедрения ТСЗИ
14. Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации
Руководитель предпроектного обследования
1 Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика. Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и утверждается его руководителем.
2 Для описания п.4-7 используйте материалы Модели угроз ПДн, разработанные на ПЗ 4.1.
На предпроектной стадии по обследованию объекта информатизации:
устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
определяются условия расположения объектов информатизации относительно границ КЗ;
определяются конфигурация и топология ИСПДн и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
определяются режимы обработки информации в ИС в целом и в отдельных компонентах;
определяется класс защищенности ИСПДн;
определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.