2.3. Модель нарушителя
Все нарушители делятся на две основные группы: внутренние и внешние. Под внутренними нарушителями подразумеваются все работники объекта информатизации, имеющие санкционированный доступ на территорию объекта к ресурсам автоматизированной системы (АС). Под внешними нарушителями подразумеваются все остальные лица.
2.3.1. Внешние нарушители
- лица, самостоятельно создающие методы и средства реализации атак, а также самостоятельно реализующие атаки, совершающие свои действия с целью нанесения ущерба;
- поставщики программного обеспечения и технических средств (могут владеть информацией о структуре сети, недекларированных возможностях оборудования и программного обеспечения).
Внешние нарушители могут знать организационно-техническую структуру объекта информатизации, и быть, в том числе, бывшими работниками.
2.3.2. Внутренние нарушители
- пользователь информационных ресурсов объекта информатизации;
- обслуживающий персонал (системные администраторы, администраторы АС, администраторы баз данных, инженеры);
- работники-программисты, сопровождающие системное, общее и прикладное программное обеспечение;
- другие работники структурных подразделений, имеющие санкционированный доступ на объект информатизации, где расположено оборудование передачи и обработки информации.
Возможности внутреннего нарушителя зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн.
Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.
Таблица 4 — Описание модели нарушителя для ИСПДн предприятия.
№ п/п | Описание нарушителя | По методике ФСТЭК | Описание (пример) |
1 | Лица, не имеющие права доступа в контролируемую зону информационной системы | Внешний | Разведывательные службы государств, криминальные структуры, конкуренты, недобросовестные партнеры, внешние субъекты (физические лица). |
2 | Лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн | Категория 1 | Директор филиала; Отдел системного администрирования, |
3 | Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места | Категория 2 | Все пользователи информационной системы ФКУ «Налог-Сервис» |
4 | Зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам | Категория 3 | — |
5 | Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн | Категория 4 | — |
6 | Зарегистрированные пользователи с полномочиями системного администратора ИСПДн | Категория 5 | — |
7 | Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн | Категория 6 | — |
8 | Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте | Категория 7 | — |
9 | Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн | Категория 8 | — |
2.3. Анализ предполагаемой квалификации нарушителя
Анализ предполагаемой квалификации потенциального нарушителя проводится по классификационным признакам. Кто бы ни был источником нарушения, какое бы оно не было, все нарушители имеют одну общую черту — доступ к объекту информатизации.
Применительно к конкретным условиям функционирования объекта информатизации уровень технической подготовки потенциального нарушителя, его квалификацию необходимо ранжировать следующим образом:
- не является специалистом в области вычислительной техники;
- самый низкий уровень возможностей – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции при обработке информации;
- возможности создания и запуска собственных программ с новыми функциями по обработке информации;
- возможность управления функционированием автоматизированной системы, т.е. воздействием на базовое программное обеспечение системы, на конфигурацию ее оборудования;
- включает весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав АС собственных технических средств с новыми функциями по обработке информации.
Внешний нарушитель не имеет непосредственного доступа к штатным средствам объекта информатизации, зачастую действует в сговоре с внутренним нарушителем. Нарушитель может использовать пассивные и/или активные методы вторжения в АС.
При пассивном вторжении нарушитель использует каналы утечки информации, не нарушая информационный поток и не влияет на содержание информации. Он наблюдает за прохождением информации по информационно-телекоммуникационной сети. Пассивное вторжение опасно при несоблюдении специальных требований и рекомендаций по защите конфиденциальной информации. Пассивное вторжение всегда связано только с нарушением конфиденциальности информации, т.к. при этом никаких действий с объектами доступа не производится.
При активном вторжении нарушитель стремится подменить, исказить или уничтожить информацию, передаваемую по информационно-телекоммуникационной сети, получить удаленный доступ к информационным ресурсам АС, преодолев систему разграничения доступа, оказывает воздействие на персонал объекта информатизации. По каналам передачи данных он может выборочно модифицировать, удалить, задержать или изменить порядок следования сообщений, пытаться подобрать пароли. Активное вторжение осуществляется с использованием методов несанкционированного доступа (НСД).
В качестве внутреннего нарушителя на объекте информатизации рассматривается субъект, имеющий доступ к работе со штатными средствами объекта. Внутренний нарушитель имеет возможность непосредственного доступа к материальным носителям информации, к средствам автоматизированной обработки данных. Внутренние нарушители характеризуются по уровню возможностей, предоставляемых им штатными средствами.
Применительно к объекту информатизации, внутренних нарушителей можно разделить на группы:
- пользователи информационных ресурсов (госналогинспектора, бухгалтеры, сотрудники кадровых аппаратов и другие пользователи, работающие с узким кругом прикладного программного обеспечения);
- обслуживающий персонал (администраторы АС, ЛВС, ТКУ, администраторы безопасности СКЗИ, сотрудники отдела безопасности осуществляющие настройку и эксплуатацию средств защиты информации, в том числе криптографической);
- сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение, администраторы баз данных;
- другие работники подразделений объекта информатизации, имеющие санкционированный доступ на объект, где расположено оборудование передачи и обработки информации АС.
Первые две группы по уровню возможностей относятся к пользователям, допущенным к обработке информации в АС, последние две относятся к работникам наделенными полномочиями по администрированию и обслуживанию АС. Однако не исключается возможность, что внутренний нарушитель, воспользовавшись недекларированными возможностями установленного программного обеспечения, может повысить свои полномочия.
2.4. Определение актуальных угроз безопасности ПДн в ИСПДн
При определении актуальности угроз и их описании используются два методических документа, разработанных и утвержденных ФСТЭК России:
- Базовая модель угроз безопасности ПДн при их обработке в ИСПДн;
- Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн.
2.4.1. Расчет исходной защищенности
В таблице 5 представлена информация по расходу исходной защищенности ИСПДн предприятия.
Таблица 5 — Расход исходной защищенности ИСПДн предприятия
Показатели защищенности | Уровень защищенности | ||
Технические и эксплуатационные характеристики ИСПДн | Высокий | Средний | Низкий |
По территориальному размещению: | |||
распределеннаяИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; | – | – | + |
городскаяИСПДн, охватывающая не более одного населенного пункта (города, поселка); | – | – | + |
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; | – | + | – |
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; | – | + | – |
локальнаяИСПДн, развернутая в пределах одного здания | + | – | – |
По наличию соединения с сетями общего пользования: | |||
ИСПДн, имеющая многоточечный выход в сеть общего пользования; | – | – | + |
ИСПДн, имеющая одноточечный выход в сеть общего пользования; | – | + | – |
ИСПДн, физически отделенная от сети общего пользования | + | – | – |
По встроенным (легальным) операциям с записями баз персональных данных: | |||
чтение, поиск; | + | – | – |
запись, удаление, сортировка; | – | + | – |
модификация, передача | – | – | + |
По разграничению доступа к персональным данным: | |||
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; | – | + | – |
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; | – | – | + |
ИСПДн с открытым доступом | – | – | + |
По наличию соединений с другими базами ПДн иных ИСПДн: | |||
интегрированная ИСПДн (организация использует несколько баз ПДнИСПДн, при этом организация не является владельцем всех используемых баз ПДн); | – | – | + |
ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн | + | – | – |
По уровню обобщения (обезличивания) ПДн: | |||
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); | + | – | – |
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; | – | + | – |
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) | – | – | + |
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: | |||
ИСПДн, предоставляющая всю базу данных с ПДн; | – | – | + |
ИСПДн, предоставляющая часть ПДн; | – | + | – |
ИСПДн, не предоставляющая никакой информации. | + | – | – |
Итого для ИСПДн Филиала, (%) | 14% | 29% | 57% |
ИСПДн имеет низкий уровень исходной защищенности и соответственно коэффициент Y1 равен 10.
По итогам оценки уровня защищенности Y1 и вероятности реализации угрозы Y2, рассчитывается коэффициент реализуемости угрозы Y и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет определяться соотношением Y = ( Y1 + Y2)/20.
Анализ рисков производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера.
Цель анализа рисков заключается в определении характеристик рисков АС и её ресурсов. Результаты анализа рисков используются в рамках мероприятий по экспертизе средств защиты как один из критериев оценки уровня защищённости АС.
При проведении анализа рисков учитываются следующие основные факторы:
- ценность программно-аппаратных и информационных ресурсов автоматизированной системы;
- значимость угроз и уязвимостей;
- эффективность существующих или планируемых средств обеспечения информационной безопасности.
Возможность реализации угрозы оценивается вероятностью её реализации в течение заданного отрезка времени для некоторого ресурса АС. При этом вероятность реализации угрозы определяется следующими основными показателями:
- привлекательность ресурса (показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека);
- возможность использования ресурса для получения дохода (также используется при рассмотрении угрозы от умышленного воздействия со стороны человека);
- технические возможности реализации угрозы;
- степень лёгкости реализации уязвимости.
Проведение анализа рисков позволяет:
- предметно описать состав и структуру информационной системы;
- расположить имеющиеся ресурсы по приоритетам, основываясь на степени их важности для полноценного функционирования АС;
- оценить угрозы и идентифицировать уязвимости АС.
Таким образом, было обнаружено некоторое количество актуальных угроз, вот некоторые из нх:
- Компрометация паролей BIOS или дополнительных аппаратных средств аутентификации;
- Подбор пароля BIOS (или дополнительных аппаратных средств аутентификации);
- Использование технологического пароля BIOS;
- Загрузка сторонней операционной системы (без средств защиты и разграничения доступа к ресурсам компьютера);
- Предоставление пользователям прав доступа (в том числе по видам доступа) к ПДн и другим ресурсам ИСПДн сверх необходимого для работы;
- Неумышленное (случайное), преднамеренное копирование доступных ПДн на неучтённые (в том числе отчуждаемые) носители, в том числе печать неучтённых копий документов с ПДн на принтерах;
- Неумышленная (случайная), преднамеренная модификация (искажение) доступных ПДн;
- Неумышленное (случайное), преднамеренное добавление (фальсификация) ПДн;
- Неумышленное (случайное), преднамеренное уничтожение доступных ПДн (записей, файлов, форматирование диска, уничтожение носителей);
- Разглашение (например, при разговорах, записывание на бумаге и т.п.) пользовательских имён и паролей;
- Использование для входа в систему чужих идентификаторов и паролей;
- Оставление без присмотра незаблокированных рабочих станций;
- Внедрение и запуск сторонних программ (технологических, инструментальных и т.п.);
- Изменение настроек и режимов работы ПО, модификация ПО (удаление, искажение или подмена программных компонентов ИСПДн или СЗИ) (преднамеренное или случайное);
- Подкючение к ИСПДн стороннего оборудования (компьютеров, дисков и иных устройств, в том числе имеющих выход в беспроводные сети связи);
- Нарушение работоспособности технических средств;
- Вмешательство в работу средств защиты (нарушение правил использования);
- Несанкционированное изменение конфигурационных файлов ПО (настроек экрана, сети, прикладных программ и т.п.);
- Установка программных «клавиатурных шпионов»;
- Использование нетрадиционных каналов инсайдером для передачи ПДн;
- Удаление или искажение регистрационных данных СЗИ (преднамеренное или случайное);
- Несанкционированный доступ к ПДн на бумажных носителях;
- Проявление ошибок в программном обеспечении ИСПДн (в том числе в СЗИ);
- Сбои и отказы технических средств;
- Использование не учтенных съемных носителей и устройств;
- Запуск сторонних программ (преднамеренный или не преднамеренный);
- Программные закладки;
- Использование программ-анализаторов пакетов (снифферов) для перехвата ПДн (и иной конфиденциальной информации), идентификаторов и паролей удалённого доступа;
- Выявление активных сетевых служб, используемых портов, версий программ (уязвимых);
- Выявление не используемых, но установленных сетевых служб (уязвимых);
- Подбор идентификаторов и паролей пользователей сетевых служб (и их последующее использование).
Для уменьшения риска реализации угроз, были предложены меры противодействия, вот некоторые из них:
- Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки и защиты информации;
- Контроль несанкционированного доступа и действий пользователей;
- Реализация разрешительной системы допуска пользователей;
- Реализация подсистемы управления доступом; Реализация подсистемы регистрации и учета; Реализация подсистемы надежной идентификации и аутентификации; Реализация подсистемы обеспечения целостности; Реализация подсистемы антивирусной защиты; Реализация подсистемы централизованного управления СЗПДн;
- Учет и хранение съемных носителей, и их обращение, исключающее хищение, подмену и уничтожение;
- Резервирование технических средств, дублирование массивов информации и носителей;
- Ограничение доступа пользователей в помещения;
- Предотвращение внедрения в ИС вредоносных программ и программных закладок;
- Реализация подсистемы безопасного межсетевого взаимодействия; Реализация подсистемы анализа защищенности; Использование защищенных каналов связи; Защита информации криптографическими методами;
- Размещение технических средств ИСПДн в пределах охраняемой территории.
2.5. Частная модель угроз
Для определения возможных каналов утечки информации, обнаруженных на этапе обследования, необходимо разработать документ Частная модель угроз безопасности ПДн при их обработке в ИСПДн. Этот документ содержит перечень угроз безопасности ИСПДн предприятия, расчет актуальности которых рассчитывался исходя из уровня исходной защищенности, уязвимости, позволяющие осуществить их практическую реализацию, а также методы и способы защиты информации, позволяющие снизить актуальность угроз до приемлемого уровня.
Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в модели угроз, могут уточняться и дополняться по мере выявления новых источников угроз УБПДн в ИСПДн.
Глава 3. Разработка политики информационной безопасности и организационно-распорядительной документации
3.1. Правовая основа обеспечения ИБ предприятия
Правовой основой обеспечения ИБ являются положения Конституции Российской Федерации, федеральных законов, указов Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, нормативных правовых актов законодательства Российской Федерации, нормативных и руководящих документов ФСТЭК России и ФСБ России по вопросам защиты информации.
Базовыми законами в области обеспечения ИБ является Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», устанавливающий необходимость защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.
Основу правового обеспечения деятельности ФКУ «Налог-Сервис» устанавливает Налоговый кодекс Российской Федерации (НК РФ), вводящий понятие налоговой тайны.
Особое место в правовой основе обеспечения ИБ занимают Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и положения нормативно-методических документов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (КСИИ).
Действующее в настоящее время постановление Правительства Российской Федерации от 03.11.94 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» относит к служебной тайне любую информацию, которая касается деятельности органов государственной власти, ограничение на распространение которой диктуется служебной необходимостью. Должностные лица и работники налоговых органов могут иметь доступ к производственной (коммерческой) тайне налогоплательщиков, поэтому необходимо также руководствоваться Гражданским кодексом Российской Федерации (ГК РФ) и Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
При организации электронного взаимодействия с другими органами государственной власти, а также оказанием государственных услуг налогоплательщикам, наряду с нормативными документами, регламентирующими технические аспекты защиты телекоммуникационной инфраструктуры системы межведомственного электронного взаимодействия, административными регламентами, необходимо опираться на положения Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», обеспечивающего юридическую значимость электронных документов.
3.2. Цели обеспечения безопасности информации на предприятии
Главной целью обеспечения безопасности информации в ФКУ «Налог-Сервис» является предотвращение (минимизация) ущерба субъектам правоотношений в результате противоправных действий с информацией, приводящих к ее разглашению, утрате, утечке, искажению (модификации), уничтожению или незаконному использованию, либо нарушению работы ИС налоговых органов и телекоммуникационной инфраструктуры предприятия, используемой для информационного обмена и взаимодействия с органами государственной власти и организациями.
Основными целями обеспечения безопасности информации являются:
- предотвращение несанкционированного доступа к информации;
- предотвращение нарушений прав субъектов при обработке информации;
- предупреждение последствий нарушения порядка доступа к информации;
- недопущение воздействия на технические средства обработки информации;
- недопущение деструктивного информационного воздействия на информацию.
3.3. Цели и задачи политики информационной безопасности
Политика призвана обеспечить и постоянно поддерживать следующие свойства информации в автоматизированной системе:
- Целостность и аутентичность информации, хранимой, обрабатываемой в АС и передаваемой по информационно-телекоммуникационной сети.
- Конфиденциальность информации ограниченного распространения, хранимой, обрабатываемой СВТ и передаваемой по каналам связи.
- Доступность хранимой и обрабатываемой информации для законных пользователей.
- Предоставить обзор требований к информационной безопасности АС и к отдельным ее компонентам.
- Описание действия над существующими подсистемами и планируемые изменения в них с целью приведения к соответствию указанным требованиям.
- Описать правила поведения и ответственность пользователей, имеющих доступ к системе.
3.4. Порядок внутреннего анализа рисков
Внутренний анализ рисков производится администратором безопасности с привлечением системного администратора с периодичностью не менее одного раза в год.
Целью внутреннего анализа рисков является оценка текущего состояния подсистемы информационной безопасности АС, прогнозирование требуемых затрат на ее поддержание и модернизацию.
Методика проведения внутреннего анализа рисков не регламентируется и может быть выбрана администратором безопасности в соответствии с организационными особенностями предприятия и параметрами технических средств АС и согласовывается с начальником отдела информационных технологий.
Типовая Модель нарушителя представляется в приложениях к Политике информационной безопасности.
Возможные каналы утечки и Типовая модель угроз информационной безопасности так же представляются в приложениях к Политике информационной безопасности.
Общий анализ рисков проводится в рамках мероприятий по аудиту информационной безопасности в порядке, установленным в Политике информационной безопасности.
3.4.1. Аудит информационной безопасности
Целью аудита информационной безопасности является подтверждение соответствия используемых методов и технологий обеспечения информационной безопасности допустимому уровню риска АС.
Проверки, оценки или подсчёты, связанные с защитой АС, проводятся ответственными сотрудниками под руководством системного администратора и администратора безопасности.
В случае необходимости проведения независимых оценок, соответствия используемых методов и технологий, обеспечения информационной безопасности сторонними организациями, все мероприятия производятся с письменного разрешения (приказа, распоряжения) Руководителя предприятия и под контролем системного администратора. Попытки применения средств анализа защищённости АС, а также попытки нарушения информационной безопасности АС без письменного разрешения Руководителя предприятия не допускаются.
Результаты аудита содержат отчёты по обеспечению безопасности АС в целом или её логических компонентов. Описания, выявленные факты и рекомендации, полученные в ходе проведения экспертизы, используются для дальнейшей оценки степени риска АС.
Проверки и аудиты могут быть проведены независимо от сотрудников, ответственных за функционирование общей системы поддержки. Необходимые аудиты могут быть осуществлены как изнутри, так и извне АС.
Аудит (комплексная проверка мер по обеспечению информационной безопасности) проводятся не реже одного раза в год. Отдельные проверки систем на потенциальные повреждения осуществляются с периодичностью, необходимой для поддержания требуемого уровня оперативности статистических данных, применяемых для анализа рисков.
3.5. Должностные обязанности администраторов
3.5.1. Обязанности администратора информационной безопасности
Администратор информационной безопасности обязан:
1. Осуществлять практическую реализацию положений Политики.
2. Осуществлять проектирование, разработку и контроль реализации Политики, а также корректировать ее в соответствии с изменяющейся внутренней и внешней информационной средой.
3. Осуществлять разработку практических требований и рекомендаций по настройке аппаратных, программных и программно-аппаратных средств обеспечения информационной безопасности, применяемых в предприятии.
4. Осуществлять тестирование и экспертизу средств защиты, применяемых в рамках АС.
5. Производить анализ рисков на основе данных аудита.
6. По результатам экспертизы средств защиты предоставлять в распоряжение начальника отдела безопасности отчёт, содержащий план защиты предприятия, включающий:
- описание уязвимостей, которые могут привести к реализации атак;
- анализ и прогнозирование рисков в соответствии с представленной методикой;
- распределение ролей, обязательств, полномочий и ответственности системных администраторов и пользователей АС;
- документ, описывающий конкретные действия, выполняемые для обнаружения атак в сети предприятия;
- документ, описывающий регулярно выполняемые процедуры проверки и анализа зарегистрированных данных для обнаружения в них следов совершенных атак;
- документ, описывающий процедуры и инструментальные средства взаимосвязи информации об отдельных атаках;
- документ, определяющий потенциальные изменения инфраструктуры, связанные с возможным расширением или реструктуризацией сети по мере ее развития.
7. Другие обязанности администратора информационной безопасности определяются в его должностном регламенте.
3.5.2. Обязанности системного администратора
Системный администратор обязан:
- Предоставлять администратору информационной безопасности любую информацию относительно параметров, режимов функционирования и особенностей настроек всех информационных систем.
- Информировать пользователей АС об установленных правилах Политики информационной безопасности и следить за ее выполнением.
- Обеспечивать практическую реализацию положений Политики информационной безопасности предприятия.
- Осуществлять распределение ролей, обязательств, полномочий и ответственности пользователей АС.
- Следить за выполнением пользователями Политики информационной безопасности.
- Осуществлять добавление в АС новых пользователей, изменение их полномочий в АС, а также удалять пользователей из АС по указанию администратора информационной безопасности.
- Обеспечивать работоспособность АС в части технического и системного программного обеспечения.
- Обеспечивать работоспособность АС антивирусной защиты.
3.6. Планирование мероприятий по информационной безопасности для компонент автоматизированной системы
Для каждого из этапов функционирования компонентов АС предъявляются требования к реализации мер по планированию обеспечения информационной безопасности.
3.6.1. Предпроектная стадия
Предпроектная стадия включает в себя предпроектное исследование вопросов, связанных с предлагаемым компонентом, разработку аналитического обоснования необходимости создания СЗИ и технического задания.
На этом этапе необходимо проанализировать особенности предлагаемого компонента, а также его роль в АС с точки зрения обеспечения информационной безопасности. Необходимо формализовать:
- назначение компонента;
- положение компонента в существующей архитектуре АС и предполагаемые изменения архитектуры, связанные с возможным внедрением компонента;
- уровень конфиденциальности информации, для обработки которой предназначен компонент;
- предполагаемое влияние компонента на конфиденциальность, целостность и доступность связанной с ним информации;
- возможные уязвимости компонента, характерные для области его применения.
3.6.2. Стадия разработки/приобретения
Стадия разработки/приобретения включает в себя комплекс взаимосвязанных организационно-технических мероприятий по созданию, разработки или приобретением компонентов АС. На данной станции необходимо:
1. Руководствоваться формализованными на предпроектной стадии требованиями к обеспечению информационной безопасности.
2. Включить в проектную документацию разделы, содержащие:
- требования к безопасности компонента и ссылки на конкретные архитектурные и технические решения, обеспечивающие их реализацию;
- формально обоснованные процедуры оценки и тестирования компонента на предмет соответствия установленным требованиям к обеспечению информационной безопасности.
3. Предусмотреть возможность обновления защитных мер в случае идентификации новых уязвимостей системы или перехода на новые технологии.
4. В случае если компонент является приобретаемым продуктом или содержит в качестве составляющей объект, являющийся приобретаемым продуктом, необходимо произвести анализ спецификаций и сопутствующей документации этих продуктов на предмет соответствия предъявляемым требованиям.
3.6.3. Стадия установки
Стадия установки включает в себя комплекс взаимосвязанных мероприятий, связанных с внедрением разработанного (приобретенного) компонента в состав АС, а также с осуществлением соответствующих изменений в инфраструктуре АС. На данной стадии необходимо:
- В процессе установки и настройки системы обеспечить контроль соблюдения требований в области обеспечения информационной безопасности. В частности, в ходе выполнения работ по внедрению компонента не допускается возникновение состояний, при которых АС или её часть становится уязвимой по отношению к внутренним или внешним угрозам конфиденциальности, целостности или доступности информации.
- Провести комплексное тестирование АС с использованием тестов, включённых в состав проектной документации или спецификации коммерческого продукта.
После окончания внедрения компонента в состав АС необходимо провести внеплановую экспертизу средств защиты.
3.6.4 Стадия функционирования и поддержки
На протяжении данной стадии осуществляется полноценное функционирование внедрённого компонента в составе АС. Необходимо:
- Строго руководствоваться мерами по обеспечению информационной безопасности компонента, представленными в его технической документации.
- Проводить периодический контроль эффективности мер защиты информации в отношении данного компонента в рамках плановой или внеплановой экспертизы средств защиты.
- В случае необходимости вести мониторинг функционирования компонента, а также аудит собранной при этом информации.
3.6.5. Стадия списания
Стадия списания является завершающей в жизненном цикле компонента АС и включает в себя удаление информации, а также уничтожение программного или аппаратного обеспечения. На данной стадии необходимо руководствоваться следующими правилами:
- В случае возможности дальнейшего использования информации производится её архивирование. При выборе соответствующего носителя архивированной информации необходимо руководствоваться долговечностью носителя, а также распространённостью и документированностью технологии с целью обеспечения беспрепятственного восстановления информации. При хранение информации в зашифрованном виде использованные средства криптографической защиты должны быть сертифицированы.
- Уничтожение носителей информации должно осуществляться путём физического разрушения, не допускающего последующего восстановления всего носителя или его отдельных частей.
В случае принятия решения о дальнейшем использовании носителя (компоненты) информации должно производиться стирание информации посредством программ или технических средств, гарантирующих невозможность последующего восстановления информации.
Комментарии
Оставить комментарий
Валера 14 минут назад
добрый день. Необходимо закрыть долги за 2 и 3 курсы. Заранее спасибо.
Иван, помощь с обучением 21 минут назад
Валерий, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Fedor 2 часа назад
Здравствуйте, сколько будет стоить данная работа и как заказать?
Иван, помощь с обучением 2 часа назад
Fedor, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Алина 4 часа назад
Сделать презентацию и защитную речь к дипломной работе по теме: Источники права социального обеспечения
Иван, помощь с обучением 4 часа назад
Алина, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Алена 7 часов назад
Добрый день! Учусь в синергии, факультет экономики, нужно закрыт 2 семестр, общ получается 7 предметов! 1.Иностранный язык 2.Цифровая экономика 3.Управление проектами 4.Микроэкономика 5.Экономика и финансы организации 6.Статистика 7.Информационно-комуникационные технологии для профессиональной деятельности.
Иван, помощь с обучением 8 часов назад
Алена, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Игорь Петрович 10 часов назад
К утру необходимы материалы для защиты диплома - речь и презентация (слайды). Сам диплом готов, пришлю его Вам по запросу!
Иван, помощь с обучением 10 часов назад
Игорь Петрович, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Инкогнито 1 день назад
У меня есть скорректированный и согласованный руководителем, план ВКР. Напишите, пожалуйста, порядок оплаты и реквизиты.
Иван, помощь с обучением 1 день назад
Инкогнито, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Илья 1 день назад
Здравствуйте) нужен отчет по практике. Практику прохожу в доме-интернате для престарелых и инвалидов. Все четыре задания объединены одним отчетом о проведенных исследованиях. Каждое задание направлено на выполнение одной из его частей. Помогите!
Иван, помощь с обучением 1 день назад
Илья, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Alina 2 дня назад
Педагогическая практика, 4 семестр, Направление: ППО Во время прохождения практики Вы: получите представления об основных видах профессиональной психолого-педагогической деятельности; разовьёте навыки использования современных методов и технологий организации образовательной работы с детьми младшего школьного возраста; научитесь выстраивать взаимодействие со всеми участниками образовательного процесса.
Иван, помощь с обучением 2 дня назад
Alina, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Влад 3 дня назад
Здравствуйте. Только поступил! Операционная деятельность в логистике. Так же получается 10 - 11 класс заканчивать. То-есть 2 года 11 месяцев. Сколько будет стоить семестр закончить?
Иван, помощь с обучением 3 дня назад
Влад, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Полина 3 дня назад
Требуется выполнить 3 работы по предмету "Психология ФКиС" за 3 курс
Иван, помощь с обучением 3 дня назад
Полина, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Инкогнито 4 дня назад
Здравствуйте. Нужно написать диплом в короткие сроки. На тему Анализ финансового состояния предприятия. С материалами для защиты. Сколько будет стоить?
Иван, помощь с обучением 4 дня назад
Инкогнито, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Студент 4 дня назад
Нужно сделать отчёт по практике преддипломной, дальше по ней уже нудно будет сделать вкр. Все данные и все по производству имеется
Иван, помощь с обучением 4 дня назад
Студент, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Олег 5 дня назад
Преддипломная практика и ВКР. Проходила практика на заводе, который занимается производством электроизоляционных материалов и изделий из них. В должности менеджера отдела сбыта, а также занимался продвижением продукции в интернете. Также , эту работу надо связать с темой ВКР "РАЗРАБОТКА СТРАТЕГИИ ПРОЕКТА В СФЕРЕ ИТ".
Иван, помощь с обучением 5 дня назад
Олег, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Анна 5 дня назад
сколько стоит вступительные экзамены русский , математика, информатика и какие условия?
Иван, помощь с обучением 5 дня назад
Анна, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Владимир Иванович 5 дня назад
Хочу закрыть все долги до 1 числа также вкр + диплом. Факультет информационных технологий.
Иван, помощь с обучением 5 дня назад
Владимир Иванович, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Василий 6 дней назад
сколько будет стоить полностью закрыть сессию .туда входят Информационные технологий (Контрольная работа, 3 лабораторных работ, Экзаменационный тест ), Русский язык и культура речи (практические задания) , Начертательная геометрия ( 3 задачи и атестационный тест ), Тайм менеджмент ( 4 практических задания , итоговый тест)
Иван, помощь с обучением 6 дней назад
Василий, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф
Марк неделю назад
Нужно сделать 2 задания и 1 итоговый тест по Иностранный язык 2, 4 практических задания и 1 итоговый тест Исследования рынка, 4 практических задания и 1 итоговый тест Менеджмент, 1 практическое задание Проектная деятельность (практикум) 1, 3 практических задания Проектная деятельность (практикум) 2, 1 итоговый тест Проектная деятельность (практикум) 3, 1 практическое задание и 1 итоговый тест Проектная деятельность 1, 3 практических задания и 1 итоговый тест Проектная деятельность 2, 2 практических заданий и 1 итоговый тест Проектная деятельность 3, 2 практических задания Экономико-правовое сопровождение бизнеса какое время займет и стоимость?
Иван, помощь с обучением неделю назад
Марк, здравствуйте! Мы можем Вам помочь. Прошу Вас прислать всю необходимую информацию на почту и написать что необходимо выполнить. Я посмотрю описание к заданиям и напишу Вам стоимость и срок выполнения. Информацию нужно прислать на почту info@дцо.рф