Практическая работа 1.

Изучение содержания и последовательности работ по защите информации

Цель работы: изучить содержание и последовательность работ выполняемых при построении комплексной системы защиты информации.

Теоретическая часть

При создании комплексной системы защиты информации необходимо защищать информацию во всех фазах ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в информационных системах и отдельных средствах вычислительной техники, включая персонал, который ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности информационной системы, воздействия на персонал и т.п.

Целью работы должно являться построение комплексной системы защиты информации (далее по тексту КСЗИ). Это предполагает необходимость использования, создания и разработки совокупности организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения комплексной системы защиты информации.

Методология есть совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы информационной безопасности. Она дает возможность в рамках единого подхода использовать согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Организационные и технические меры защиты информации, реализуемые в рамках КСЗИ, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение:

• 
  неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации );
  
• 
  неправомерных уничтожения или модифицирования информации ( обеспечение целостности информации);
  
• 
  неправомерного блокирования информации (обеспечение доступности информации).
  

---

Процесс построения КСЗИ включает следующие этапы:

• 
  Формирование требований к защите информации, содержащейся в информационной системе.
  
• 
  Разработка КСЗИ информационной системы.
  
• 
  Внедрение КСЗИ информационной системы.
  
• 
  Аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие.
  
• 
  Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы.
  
• 
  Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
  

Формирование требований к защите информации, содержащейся информационной системе

Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и в том числе включает:

принятие решения о необходимости защиты информации, содержащейся в информационной системе;

классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);

определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе , и разработку на их основе модели угроз безопасности информации;

определение требований к системе защиты информации информационной системы.

1.1. При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется: Анализ целей создания информационной системы и задач, решаемых этой информационной системой. Определение информации, подлежащей обработке в информационной системе. Анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система. Принятие решения о необходимости создания КСЗИ информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания КСЗИ информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации.

---

1.2. Классификация информационной системы может проводиться в зависимости от значимости обрабатываемой в ней информации, способов её обработки и масштаба информационной системы. Требование к уровню (классу) защищенности включается в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание КСЗИ информационной системы, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624. Результаты классификации информационной системы оформляются актом классификации.

1.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.

Модель угроз безопасности информации содержит описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

1.4. Требования к системе защиты информации информационной системы определяются в зависимости от уровня (класса) защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации.

---

Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание КСЗИ информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:

• 
  цель и задачи обеспечения защиты информации в информационной системе ;
  
• 
  класс защищенности информационной системы; перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  
• 
  перечень объектов защиты информационной системы;
  
• 
  требования к мерам и средствам защиты информации, применяемым в информационной системе;
  
• 
  требования к защите информации при информационном взаимодействии с иными информационными системами и информационнотелекоммуникационными сетями.
  

При определении требований к системе защиты информации информационной системы учитываются положения политик обеспечения информационной безопасности обладателя информации в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология.

• 
  Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  
• 
  2. Разработка КСЗИ информационной системы
  
• 
  Разработка КСЗИ информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание КСЗИ информационной системы с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее - ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает: Проектирование КСЗИ информационной системы.
  
• 
  Разработку эксплуатационной документации на систему защиты информации информационной системы.
  
• 
  Макетирование и тестирование КСЗИ информационной системы (при необходимости).
  
• 
  КСЗИ информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.
  
• 
  При разработке КСЗИ информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.
  
• 
  2.1. При проектировании КСЗИ информационной системы:
  
• 
  определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
  
• 
  определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
  
• 
  выбираются меры защиты информации, подлежащие реализации в КСЗИ информационной системы; определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
  

---

определяется структура КСЗИ информационной системы, включая состав (количество) и места размещения ее элементов;

осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;

определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;

определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационнотелекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Результаты проектирования КСЗИ информационной системы отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» (далее - ГОСТ 34 .201).

При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по информационной системе и (или) ее системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.

2.2. Разработка эксплуатационной документации на систему защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание КСЗИ информационной системы.

Эксплуатационная документация на КСЗИ информационной системы разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:

---

Смотрите также файлы

• Задания для контроля знаний студентов Специальность 31. 02. 02 Акушерское дело мдк 04. 01 Патологическое акушерство Тема 13 Гипоксия плода. Асфиксия новорожденного.docx

• Программа среднего профессионального образования 44. 02. 02 Преподавание в начальных классах Дисциплина Русский язык Практическое занятие 5.docx

• Контрольная работа по изобразительному искусству учени 2 класса Фамилия Имя.docx

• Неопределенный интеграл и его свойства.docx

• Практикум по психосоматике Задание Формирование мануала методик. Пользуясь литературой, Вам необходимо сформировать мануал методик, который будет состоять из.docx