Аттестация систем защиты информации информационных систем в свете новых законодательных актов Республики Беларусь в области защиты информации
Проведение исследования изменений нормативно-правовой базы Республики Беларусь в 2017 году, используемой при аттестации систем защиты информации информационных систем. Анализ необходимости разработки и согласования с заявителем рабочей программы.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 03.05.2019 |
| Размер файла | 18,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Объединенный институт проблем информатики НАН Беларуси
Аттестация систем защиты информации информационных систем в свете новых законодательных актов РБ в области защиты информации
В.А. Дмитриев
В 2017 году нормативно-правовая база РБ, используемая при аттестации систем защиты информации (СЗИ) информационных систем (ИС), претерпела существенные изменения:
- вступила в действие новая версия стандарта СТБ 34.101.30-2017, устанавливающего классификацию ИС [1];
- была выпущена новая редакция приказа Оперативно-аналитического центра при Президенте Республики Беларусь (далее ОАЦ) № 62 [2], регламентирующего порядок аттестации ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.
В СТБ 34.101.30-2017 введены новые критерии и система классификации информационных систем с позиций информационной безопасности. А в новой редакции приказа ОАЦ № 62 определен состав общих требований безопасности, подлежащих реализации в СЗИ для каждого из вновь введенных классов ИС, установлены требования к организации взаимодействия разных классов ИС, внесены изменения в описание общих аттестационных мероприятий, определен ряд новых организационно-технических требований к проведению аттестации, представлению отчетных документов и др. В частности, в перечень аттестационных мероприятий добавлены проверка того, имеет ли ИС в реальных условиях ее функционирования подтвержденные производителями (разработчиками) и пригодные для использования уязвимости, способные привести к нарушению информационной безопасности ИС; а также разработка технического отчета. Аттестация ИС, имеющих подключение к сетям электросвязи общего пользования (в том числе к Интернет), должна проводиться с использованием сертифицированного в РБ средства контроля эффективности защищенности информации.
Устанавливается необходимость разработки и согласования с заявителем рабочей программы и методика аттестации СЗИ ИС, которые должны содержать перечень выполняемых работ, продолжительность их выполнения, перечень методов проверки требований безопасности, реализованных в системе защиты информации, а также перечень используемой контрольной аппаратуры и тестовых средств. По результатам аттестации экспертная комиссия предоставляет заявителю технический отчет, протокол аттестации СЗИ ИС с заключением экспертов и аттестат соответствия (в случае положительных результатов испытаний). Копии данных документов не позднее 10 календарных дней со дня оформления (получения) аттестата должны быть предоставлены собственником (владельцем) ИС в ОАЦ. аттестация информационный заявитель
В виду того, что в приказе ОАЦ № 62 для разных классов ИС предъявляются различные требования безопасности к СЗИ, для каждого класса ИС должны быть разработаны свои типовые программа и методика аттестации, отличающиеся составом и содержанием аттестационных мероприятий. Например, в программу аттестации СЗИ ИС класса 3-фл. (в соответствии с [1]) предлагается включить следующие организационно-технические мероприятия:
1. Анализ исходных данных.
2. Предварительное ознакомление с ИС и СЗИ.
3. Разработка рабочей программы и методики аттестации.
4. Проведение обследования ИС и СЗИ:
- анализ схемы функциональной структуры ИС. Анализ схемы ИС с указанием объектов, внешних подключений и информационных потоков (состав и структура комплекса технических средств ИС, программное обеспечение ИС, информационные потоки, состав и структура комплекса технических средств СЗИ, программное обеспечение СЗИ);
- анализ разработанной документации и локальных нормативных правовых актов организации на предмет их соответствия требованиям законодательства об информации, информатизации и защите информации, в том числе технических нормативных правовых актов.
5. Проверка правильности отнесения ИС к классу типовых информационных систем, выбора и применения СЗИ.
6. Проверка организационных мер реализации физической защиты.
7. Анализ порядка резервного копирования и восстановления информации в ИС (в том числе в виртуальной инфраструктуре) и проверка реализации данного порядка.
8 Проверка отказоустойчивости ИС с использованием резервирования технических средств.
9. Проверка процесса контроля за составом технических средств ИС.
10. Анализ порядка перемещения виртуальных машин и данных и обеспечения их безопасности.
11. Анализ порядка учета, установки и использования, разрешенного программного обеспечения и реализации установленного порядка. Проверка процесса контроля за установкой обновлений программного обеспечения ИС и СЗИ.
12. Анализ реализации антивирусной защиты.
13. Анализ порядка использования мобильных технических средств и обеспечения контроля за таким использованием.
14. Анализ порядка использования съемных носителей информации и порядка уничтожения (удаления) с них данных при их передаче лицам, не являющимся субъектами ИС, в том числе для ремонта, технического обслуживания.
15. Анализ порядка идентификации объектов и закрепления за ними субъектов ИС.
16. Анализ защиты архивных файлов, параметров настройки средств защиты информации и программного обеспечения (в том числе в виртуальной инфраструктуре).
17. Анализ порядка генерации и распределения криптографических ключей.
18. Анализ реализации закрепления ответственности персонала за организацию и обеспечения выполнения требований по защите информации. Анализ разделения в ИС функций по управлению (администрированию) ИС и управлению (администрированию) СЗИ.
19. Проведение испытаний СЗИ на предмет выполнения установленных функциональных требований безопасности.
20. Проверка отсутствия либо невозможности использования нарушителем свойств программного обеспечения и (или) технических средств ИС (в том числе средств защиты информации), которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы, и сведения о которых подтверждены производителями (разработчиками) этого программного обеспечения и технических средств. Для выполнения этой проверки может использоваться любое сертифицированное в РБ средство контроля эффективности защищенности информации.
По результатам выполнения проведенных мероприятий оформляются технический отчет и протокол испытаний, а также аттестат соответствия (в случае положительных результатов испытаний).
Для других классов ИС приведенный перечень мероприятий должен корректироваться в соответствии с требованиями безопасности к СЗИ, предъявляемыми в [2]. Например, для ИС классов 3-юл и 3-дсп должны быть добавлены мероприятия по проверке наличия и надлежащего функционирования подсистемы обнаружения вторжений и обновления базы сигнатур данной подсистемы.
Выполнение аттестационных мероприятий требует решения целого ряда проблем, связанных с необходимостью разработки соответствующих типовых методик осуществления каждого из мероприятий, а также последующей их адаптации и реализации в виде рабочих методик для конкретных СЗИ ИС (с учетом архитектуры и общей структуры ИС, состава технических и программных средств, используемых каналов передачи данных, технологических процессов обработки информации, подлежащих защите активов, типов пользователей ИС, используемых средства и механизмов обеспечения безопасности информации, мер организационной защиты и др.). Проведение большинства проверок требует, с одной стороны, анализа и оценки качества соответствующих локальных нормативных правовых актов и разработанной документации, а с другой стороны, проверки действительного выполнения требований этих документов в реальных условиях эксплуатации ИС.
Таким образом, проведение аттестации СЗИ ИС в соответствии с новыми законодательными актами РБ требует переосмысления, уточнения и реализации ряда новых методик аттестационных проверок, использования специальной контрольной аппаратуры и тестовых средств, предоставления по результатам проведения аттестации технического отчета и протокола испытаний, копии которых вместе с копией аттестата в установленный срок передаются заявителем в ОАЦ.
Список литературы
1. СТБ 34.101.30-2017 Информационные технологии. Методы и средства безопасности. Информационные системы. Классификация.
2. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 30 августа 2013 г. № 62 «О некоторых вопросах технической и криптографической защиты информации» (ред. от 11.10.2017 г.).
Размещено на Allbest.ru
...Подобные документы
Определение назначения и характеристика видов систем защиты информации. Описание структур систем по защите накапливаемой, обрабатываемой и хранимой информации, предупреждение и обнаружение угроз. Государственное регулирование защиты информационных сетей.
реферат [43,6 K], добавлен 22.05.2013Факторы угроз сохранности информации в информационных системах. Требования к защите информационных систем. Классификация схем защиты информационных систем. Анализ сохранности информационных систем. Комплексная защита информации в ЭВМ.
курсовая работа [30,8 K], добавлен 04.12.2003Проблемы и угрозы информационной безопасности. Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных посторонних воздействий. Средства защиты информационных систем. Метод SSL-шифрования информации, типы сертификатов.
презентация [280,0 K], добавлен 10.11.2013Возможности защиты информации с помощью информационных систем "Парус" и "Лагуна". Модульный принцип организации системы "Парус". Использование единой базы данных. Назначение системы "Лагуна" и ее структура. Требования и рекомендации к защите информации.
реферат [192,1 K], добавлен 27.09.2012Основные источники угроз безопасности информационных систем. Особенности криптографической защиты информации. Понятие электронной цифровой подписи. Признаки заражения компьютера вирусом. Уровни доступа к информации с точки зрения законодательства.
реферат [795,8 K], добавлен 03.10.2014Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Классификация информации по уровню доступа к ней: открытая и ограниченного доступа. Понятие о защите информационных систем, использование шифровальных средств. Компетенция уполномоченных федеральных органов власти в области защиты персональных данных.
реферат [83,2 K], добавлен 13.10.2014Перечень нормативных документов по защите информации, лицензирование и сертификация. Проектирование автоматизированных систем в защищенном исполнении, их внедрение и последующая эксплуатация. Оценка угроз и методы защиты для информационных потоков в АСУ.
курсовая работа [169,1 K], добавлен 21.01.2011Основные виды угроз безопасности экономических информационных систем. Воздействие вредоносных программ. Шифрование как основной метод защиты информации. Правовые основы обеспечения информационной безопасности. Сущность криптографических методов.
курсовая работа [132,1 K], добавлен 28.07.2015Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.
дипломная работа [575,2 K], добавлен 19.04.2011Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа [40,2 K], добавлен 06.08.2010Основы защиты компьютерной информации: основные понятия и определения. Классификация угроз безопасности информации. Формы и источники атак на объекты информационных систем. Анализ угроз и каналов утечки информации. Анализ рисков и управление ими.
курс лекций [60,3 K], добавлен 31.10.2009Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.
презентация [3,8 M], добавлен 18.11.2014Анализ нормативно-правовой базы, обоснование направлений создания обеспечения комплексной защиты информации в автоматизированных системах. Разработка методики оценки, выбор путей повышения эффективности защитных мероприятий в автоматизированных системах.
дипломная работа [368,5 K], добавлен 17.09.2009Безопасность информации, компоненты системы защиты. Дестабилизирующие факторы. Классификация угрозы безопасности информации по источнику появления, по характеру целей. Способы их реализации. Уровни защиты информации. Этапы создания систем защиты.
презентация [288,1 K], добавлен 22.12.2015Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Характеристики объекта информатизации ОВД, с точки защищаемой информации. Способы утечки информации. Разработка предложений по защите информации на объекте информатизации ОВД. Алгоритм выбора оптимальных средств инженерно-технической защиты информации.
курсовая работа [693,1 K], добавлен 28.08.2014Развитие новых информационных технологий и всеобщая компьютеризация. Информационная безопасность. Классификация умышленных угроз безопасности информации. Методы и средства защиты информации. Криптографические методы защиты информации.
курсовая работа [25,9 K], добавлен 17.03.2004Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.
курсовая работа [1,1 M], добавлен 21.04.2015
