1 / 11

Начальник технического отдела ООО «СКБ» Михеев Игорь Александрович

Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО «СКБ» Михеев Игорь Александрович.

drea
Download Presentation

Начальник технического отдела ООО «СКБ» Михеев Игорь Александрович

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО «СКБ» Михеев Игорь Александрович

  2. АУДИ́Т, АУДИ́ТОРСКАЯ ПРОВЕ́РКА — ПРОЦЕДУРА НЕЗАВИСИМОЙ ОЦЕНКИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ, СИСТЕМЫ, ПРОЦЕССА, ПРОЕКТА ИЛИ ПРОДУКТА.

  3. Стадии создания системы защиты информации: • предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического)задания на ее создание; • стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации; • стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

  4. Предпроектное обследование • может быть поручено специализированному предприятию, имеющему соответствующую лицензию (п. 3.11 СТР-К) • по результатам разрабатывается аналитическое обоснование необходимости создания системы защиты информации и техническое (частное техническое) задание на разработку СЗИ (п. 3.9 СТР-К)

  5. На предпроектной стадии по обследованию объекта информатизации: • устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации; • определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам; • определяются(уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования; • определяются условия расположения объектов информатизации относительно границ КЗ; • определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

  6. На предпроектной стадии по обследованию объекта информатизации: • определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АСи системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке; • определяются режимы обработки информации в АС в целом и в отдельных компонентах; • определяется класс защищенности АС; • определяется степень участия персонала в обработке (обсуждении, передаче, хранении)информации, характер их взаимодействия между собой и со службой безопасности; • определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

  7. На стадии проектирования и создания объекта информатизации и СЗИ может проводится аудит: • раздела технического проекта на объект информатизации в части защиты информации; • комплекса организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями; • комплекса сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации; • системы охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации; • разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации; • комплекта эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

  8. На стадии ввода в действие объекта информатизации и СЗИ осуществляются: • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации; • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком(поставщиком) и заказчиком; • аттестация объекта информатизации по требованиям безопасности информации.

  9. Перечень нормативных правовых актов, определяющих необходимость аттестации: • пункт 1 Перечня сведений конфиденциального характера, утвержденного указом Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями от 23 сентября 2005 г.) • Статья 16.4. Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» • Статья 1 Федерального закона от 3 апреля 1995 г. N 40-ФЗ "О федеральной службе безопасности" • Положение о Федеральной службе по техническому и экспортному контролю Утверждено Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 • пункт 2.3 «Специальных требований и рекомендаций по технической защите информации», утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. №282 (далее – СТР-К)

  10. Вывод: • аудит является основным инструментом, позволяющим обеспечить всеобъемлющий и непредвзятый подход, при построении комплексной системы информационной безопасности.

  11. СПАСИБО ЗА ВНИМАНИЕ! ООО «СКБ» г.Омск, ул.Ленина 20, оф. 423-425 Тел./факс: 8(3812)53-20-18; e-mail: info@ooo-skb.ru web: www.ooo-skb.ru

More Related