Методика обследования подсистем ас



жүктеу 236.11 Kb.
Дата02.05.2016
өлшемі236.11 Kb.
: information security -> obraz
obraz -> Обязанности администратора информационной безопасности (ответственного за обеспечение безопасности информации) в подразделении организации

Для служебного пользования
Экз. № ___

МЕТОДИКА ОБСЛЕДОВАНИЯ ПОДСИСТЕМ АС
Настоящая методика предназначена для проведения работ по обследованию отдельных подсистем АС (структурных подразделений) ОРГАНИЗАЦИИ, как объектов защиты.
Основными целями информационного обследования подсистем АС являются:

  • инвентаризация ресурсов подсистем АС и подготовка материалов для разработки необходимых организационно-распорядительных документов («Перечня сведений, подлежащих защите» в АС ОРГАНИЗАЦИИ, формуляров ресурсов (АРМ, задач, программных средств) и списков пользователей для включения в «Планы защиты» конкретных подсистем АС и т.д.);

  • сбор и подготовка данных для оценки эффективности применяемых мер и средств защиты информации (организационных, физических, технических) в подразделениях и разработки предложений и рекомендаций по совершенствованию системы защиты информации от НСД в конкретных подсистемах АС.

Основными задачами информационного обследования подсистемы АС являются:



  • анализ, систематизация и уточнение данных о подсистеме АС, имеющихся организационно-распорядительных документов по вопросам обеспечения информационной безопасности в подразделении, применяемых мерах и средствах обеспечения защиты информации и других сведений, касающихся ОБИ в подсистеме АС;

  • инвентаризация в подразделении всех имеющихся автоматизированных рабочих мест подсистемы, всех решаемых в подразделениях с использованием автоматизированной системы функциональных задач, всех видов информации, циркулирующей, хранимой, обрабатываемой, передаваемой, принимаемой и т.д. в подсистемах (подразделениях);

  • определение (уточнение совместно с представителями подразделения, использующего подсистему) требований к обеспечению основных свойств безопасности для каждого вида информации в подсистеме АС: целостности (достоверности, неискаженности), доступности (своевременности представления), конфиденциальности информации;

  • анализ состава и характеристик технических и программных средств, технологии обработки и передачи информации в подсистеме;

  • анализ топологии, состава и характеристик технических и программных средств телекоммуникации подсистемы АС;

  • анализ информационных потоков (входящих, исходящих и циркулирующих внутри) в подсистему АС;

  • выявление возможных путей реализации значимых угроз информационной безопасности, возможных каналов несанкционированного доступа к ресурсам подсистемы АС с целью нарушения ее работоспособности или доступа к защищаемой информации;

  • анализ существующего порядка допуска сотрудников подразделения к работе с подсистемой АС и определения их полномочий по доступу к ресурсам подсистемы;

  • анализ существующего порядка разработки, приобретения, установки и обновления программных средств на АРМ подсистемы АС;

  • анализ существующего в подразделении порядка приобретения, установки, ремонта и замены технических средств АС;

  • анализ состояния и оценка эффективности применяемых мер и средств защиты информации в подсистеме АС (организационных, физических, технических и программных).

В результате обследования подсистемы АС должны быть получены:



  • сводная таблица характеристик подсистемы, как объекта защиты (Приложение 1);

  • формуляры АРМ, входящих в подсистему (Приложение 2);

  • формуляры задач, решаемых на АРМ подсистемы (Приложение 3);

  • перечень задач, решаемых в подсистеме;

  • перечень видов информации, используемой при решении задач в подсистеме.


Порядок обследования подсистемы

  1. Для проведения информационного обследования всех подсистем автоматизированной системы (АС) ОРГАНИЗАЦИИ и проведения инвентаризации ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются специалисты отдела защиты информации Службы безопасности и Управления автоматизации (осведомленные в вопросах технологии автоматизированной обработки информации). Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководства ОРГАНИЗАЦИИ, в котором, в частности, даются указания всем начальникам структурных подразделений ОРГАНИЗАЦИИ об оказании содействия и необходимой помощи рабочей группе в проведении работ по обследованию АС (Приложение 5). Для оказания помощи на время работы группы в подразделениях начальниками этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам обработки информации в данных подразделениях.

  2. В ходе обследования конкретных подразделений ОРГАНИЗАЦИИ и автоматизированных подсистем выявляются и описываются сведения, перечень которых определен в Приложении 1.

  3. Основными источниками получения сведений об обследуемой подсистеме являются:

  • руководители и сотрудники структурного подразделения, использующего обследуемую подсистему;

  • сотрудники отделов разработки, сопровождения и эксплуатации УА, ответственные за функционирование обследуемой подсистемы;

  • документация (проектная, эксплуатационная, др.) на подсистему, комплексы задач, задачи, программные средства;

  • концепции построения, развития, технические порядки, описания и другие документы (см. Приложение 6).

  1. Сначала с учетом организационно-штатной структуры подразделения проводится инвентаризация АРМ - составляется список всех, находящихся в подразделении АРМ АС. Уточняются места их размещения, состав и характеристики технических средств АРМ, определяются решаемые подразделением с их использованием функциональные задачи, состав программного обеспечения, связи с другими АРМ и серверами сети АС ОРГАНИЗАЦИИ. При этом, члены рабочей группы от отдела эксплуатации УА заводят на каждый АРМ отдельный формуляр (Приложение 2) и вносят в него перечисленные выше характеристики (сведения).

  2. Если в подразделении используется несколько разных подсистем АС, то необходимо произвести разделение всех имеющихся АРМ по подсистемам и в дальнейшем фиксировать сведения отдельно по каждой из подсистем (Приложение 1).

  3. Для каждого АРМ перечисляются решаемые с его использованием функциональные задачи. Выявление задач необходимо осуществлять на двух уровнях: уровне всей подсистемы (учитывать в форме приведенной в Приложении 1) и на уровне отдельных АРМ (учитывать в формулярах задач - Приложение 3). Для каждой задачи уровня АРМ специалистами УА из состава рабочей группы выявляются используемые при ее решении программные и информационные ресурсы (на уровне каталогов и файлов). Используемые ресурсы могут находиться на дисках самого АРМ, а также на доступных сетевых дисках (указать конкретно). Информационные ресурсы разделяются на виды (на основе общности или различия их содержания и процедур обработки).

Кроме того для каждой задачи необходимо выявлять группы пользователей, имеющие разные права по доступу к программным и информационным ресурсам задачи. В простейшем случае такая группа одна (все пользователи задачи равны в правах). В противном случае необходимо уточнить права доступа к ресурсам для каждой группы пользователей отдельно (например: для оператора, ответственного исполнителя, администратора задачи).

  1. По каждой задаче оформляется (заводится) формуляр по ОБИ (Приложение 3). При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения (см. формуляр программного средства). Формуляры программных средств заполняются аналогично формулярам задач. В качестве программных средств должны рассматриваться общие (системные) пакеты (ОС, текстовые редакторы и т.п.) используемые в качестве вспомогательных при решении многих других задач.

  2. При составлении формуляров функциональных задач, решаемых в подразделении, необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.

  3. При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может нанести ощутимый ущерб ОРГАНИЗАЦИИ, ее клиентам или корреспондентам.

  4. Определяется к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставляемых им прав).

  5. При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести.

  6. Информация об оценках вероятного ущерба заносится в специальные формы (см. Приложение 5). В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая).

  7. Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного (операционного) подразделения ОРГАНИЗАЦИИ (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации).

  8. Собранные сведения будут использоваться при категорировании ресурсов АС. В дальнейшем, с участием специалистов УА необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих АРМ, на которых будет решаться данная задача, и для контроля правильности их установки.






Приложение 1

к Методике обследования подсистем АС



Вопросы, подлежащие отражению в отчетных материалах по обследованию подсистем АС

Название показателя

Значение показателя

  1. Общая характеристика подсистемы

    1. Полное наименование подсистемы




    1. Назначение подсистемы




    1. Основные решаемые подсистемой задачи (функции)




    1. Наличие общего задания на создание и развитие подсистемы как объекта информатизации (полные названия документов: ТЗ, ТРП и т.п.)




    1. Наличие в ТЗ на разработку подсистемы разделов, содержащих требования по ОБИ




    1. Текущее состояние (этап развития, состав, размещение, наличие предписаний, сертификатов и других аттестационных документов) прикладного программного обеспечения (ППО)




    1. Наличие документации на ППО подсистемы:

проектной, конструкторской, эксплуатационной. Правильность ее оформления в соответствии с ГОСТ и ЕСПД (ЕСКД), отражение в ней вопросов ОБИ, ее актуальность (соответствие текущему состоянию развития подсистемы)




    1. Состав используемых аппаратных и общесистемных программных средств и их размещение, наличие предписаний, сертификатов и других аттестационных документов на применяемые ПО и СВТ




    1. Краткая характеристика обрабатываемой подсистемой информации: входная, промежуточная и выходная информация. Потоки информации в подсистеме. Технологический цикл обработки информации, разделение информации по уровням конфиденциальности




    1. Источники входной информации подсистемы АС (подразделения ОРГАНИЗАЦИИ и внешние организации)




    1. Потребители информации подсистемы АС (подразделения ОРГАНИЗАЦИИ и внешние организации)




    1. Взаимодействие с другими подсистемами (какими) по обмену информацией. Способы взаимодействия. Применяемые меры и средства правовой поддержки разграничения ответственности с взаимодействующими подсистемами по вопросам обеспечения требуемых свойств (доступности, целостности, конфиденциальности информации) пересылаемой информации. Документы, регламентирующие порядок разрешения конфликтов взаимодействия




    1. Режим обработки данных

Коллективный

  1. Характеристики персонала, использующего и эксплуатирующего подсистему

    1. Пользователи подсистемы, категории пользователей, их краткая характеристика




    1. Уровень подготовки персонала, использующего подсистему




    1. Уровень подготовки персонала, сопровождающего подсистему




  1. Оценка угроз безопасности

    1. Описание наиболее вероятных угроз безопасности (потенциальные нарушители, каналы и способы НСД)




  1. Организационно-правовые меры защиты информации

    1. Наличие документов по защите интересов ОРГАНИЗАЦИИ, регламентирующих порядок разбора возможных конфликтных ситуаций при взаимодействии с внешними организациями. Случаи практического применения данных документов




    1. Организационные меры обеспечения информационной безопасности




    1. Наличие документов, регламентирующих действия персонала при возникновении нештатных (аварийных ситуаций), средства обеспечения непрерывной работы и восстановления системы




    1. Наличие инструкций, регламентирующих действия конечных пользователей подсистемы по вопросам ОБИ, Знание положений данных инструкций пользователями




  1. Меры по физической защите помещений и СВТ

    1. Используемые физические средства защиты, соблюдение режимных требований, соответствие помещений, в которых осуществляется обработка информации ограниченного доступа, требованиям нормативных документов




    1. Соответствие подсистемы АС требованиям защиты от утечки информации по техническим каналам (ПЭМИН, акустический, визуальный и т.д.), наличие необходимых документов аттестации и категорирования подсистемы




    1. Наличие мер по защите СВТ от НСД




  1. Меры по защите носителей информации

    1. Порядок ввода, учета, хранения, вывода, регистрации и использования конфиденциальной информации на отчуждаемых носителях (в том числе бумажных), архивирования входных и выходных данных




    1. Маркировка документов, выдаваемых на печать




    1. Контроль за порядком размножения документов




    1. Наличие документов и инструкций, регламентирующих порядок осуществления конфиденциального делопроизводства




  1. Программно-технические меры защиты

    1. Используемые аппаратно-программные средства защиты АС, наличие сертификатов соответствия и выполнения ТУ при эксплуатации




    1. Меры административной поддержки применяемых физических и технических средств защиты АС













Приложение 2

к Методике обследования подсистем АС




ЭКСПЛУАТАЦИЯ АРМ РАЗРЕШЕНА

Начальник отдела защиты информации

«___» ______________ 199__ г.





Действителен до __.__.199_ г.

ФОРМУЛЯР АРМ

номер ______




Наименование АРМ



Назначение АРМ




Категория АРМ

(по Положению об определении требований к защите (категорировании) ресурсов)






Местонахождение АРМ





Ответственный за эксплуатацию и физическую целостность АРМ




Тип компьютера




Центральный процессор




Объем ОЗУ




Накопители на НГМД




Объем накопителя на жестком диске




Количество параллельных портов




Количество последовательных портов




Монитор




Видео карта




Наличие подключенного модема




Другие периферийные устройства




Наличие подключенного принтера




Номер ключа системного блока




Тип аппаратных средств поддержки системы защиты




Примечания




Задачи, решаемые на данном АРМ

(наименования указываются по перечню задач ФАП)

Название задачи

Тип задачи

Категория задачи


















































Содержимое файла конфигурации АРМ (CONFIG.SYS)

...


REM Директивы запуска системы Secret Net

DEVICEHIGH =C:\-SNET-\SNET.SYS

INSTALL=C:\-SNET-\CLOG.EXE

REM ---------SafeWare_Group-----------

...
Установка (модификация программно-аппаратной конфигурации)
АРМ осуществлена в соответствии с заявками


Дата заявки

Номер заявки (в архиве)

Примечание
























































Заполненный и утвержденный формуляр является предписанием на эксплуатацию АРМ





От эксплуатирующего подразделения

Администратор безопасности

___________________________________

подпись, фамилия

«___» ______________ 199__ г.


От заказывающего подразделения

__________________________________

подпись, фамилия

«___» ______________ 199__ г.





От отдела персональных компьютеров

Ответственный за техническое состояние АРМ и программное обеспечение


___________________________________

подпись, фамилия

«___» ______________ 199__ г.


От отдела защиты информации

__________________________________

подпись, фамилия

«___» ______________ 199__ г.












Приложение 3

к Методике обследования подсистем АС




ПРИНЯТА В ФАП

Начальник ФАП

______________________________________

подпись, фамилия

«___» ______________ 199__ г.





ФОРМУЛЯР ЗАДАЧИ

номер _____



Наименование задачи

Защита АРМ от несанкционированного доступа

Назначение




Тип (общая/специальная)




Дата приема в ФАП




Ответственный за сопровождение




Разработчик




Требуемая степень доступности задачи




Категория задачи




Выделяемые при решении задачи особые пользователи и группы пользователей

Имя пользователя или группы пользователей

Признаки группирования пользователей













Используемые при решении задачи программные средства

Наименование программного средства

Назначение программного средства

Номер формуляра программного средства (ссылка)



















Используемые при решении задачи каталоги с данными

Наименование каталога с данными

Назначение данных (степень конфиденциальности данных)
















Администратор сети

___________________________________

подпись, фамилия

«___» ______________ 199__ г.



Администратор безопасности

__________________________________

подпись, фамилия

«___» ______________ 199__ г.









Приложение 4

к Методике обследования подсистем АС




РАСПОРЯЖЕНИЕ

О проведении работ по информационному обследованию автоматизированной системы ОРГАНИЗАЦИИ
В соответствии с _____________________________________________________________ от «___» _________ 199_ года в целях совершенствования системы информационной безопасности ОРГАНИЗАЦИИ в период с __.__.199_ по __.__.199_ будут проводиться работы по информационному обследованию автоматизированной системы ОРГАНИЗАЦИИ и разработке организационно-распорядительных документов, регламентирующих порядок защиты информации в АС.
В состав рабочей группы (группы экспертов) по обследованию назначить:

_______________________________ (отдел защиты информации Службы безопасности);

_______________________________ (отдел эксплуатации Управления автоматизации);

_______________________________ (отдел эксплуатации Управления автоматизации);

...
В целях упорядочения проведения работ по обследованию АС:


  1. Начальникам структурных подразделений обеспечить всестороннюю (в пределах компетенции) помощь экспертной группе в проведении работ по обследованию подсистем АС ОРГАНИЗАЦИИ:

  • предоставить в распоряжение экспертной группы (по мере необходимости) своих специалистов, способных дать исчерпывающую информацию о действующих и разрабатываемых подсистемах АС по вопросам, связанным с обеспечением безопасности информации;

  • до __.__.9_ подготовить план-график проведения работ по обследованию подсистем АС и согласовать конкретные виды материально-технического обеспечения работ, а также порядок предоставления экспертной группе времени для обследования АС и необходимых полномочий по доступу к программным и техническим средствам конкретных подсистем АС ОРГАНИЗАЦИИ, а также к научно-технической и нормативно-справочной документации;

  • подготовить и передать экспертной группе необходимые документы и исходные данные по конкретным подразделениям и подсистемам АС.

2. Службе безопасности обеспечить допуск в помещения ОРГАНИЗАЦИИ членов экспертной группы, выполняющих работы по обследованию.


3. Координацию действий экспертной группы и структурных подразделений ОРГАНИЗАЦИИ на весь период выполнения работ возложить на _____________________________________.
Подпись первого лица






Приложение 5

к Методике обследования подсистем АС




Оценки воздействия на информацию

Функциональная задача: ________________________________





Нарушение безопасности




Количественная или качественная оценка потерь

п/п

Вид информации



Механизм воздействия

(нарушение конфиденциальности, целостности)



Возможные последствия

Описание


Сумма











































































Приложение 6

к Методике обследования подсистем АС




Перечень документов и сведений,

используемых при проведении обследования подсистем АС ОРГАНИЗАЦИИ

  1. Положение о подразделении ОРГАНИЗАЦИИ (управления, службы, отделов).

  2. Документы регламентирующие порядок работы с конфиденциальной информацией (в том числе с использованием средств автоматизации).

  3. Нормативно-методические и организационно-распорядительные документы по созданию и применению обследуемых подсистем АС ОРГАНИЗАЦИИ.

  4. Перечни технических средств и программного обеспечения, используемого в подсистемах АС ОРГАНИЗАЦИИ, режимы обработки данных в АС.

  5. Описания технологических схем обработки и передачи данных (документов) в подсистеме.

  6. Перечни используемых при работе подсистем информационных ресурсов.

  7. Перечень и характеристики используемых в подсистемах АС средств защиты информации.

  8. Принципы построения и описание телекоммуникаций подсистемы, описание топологии сетей, состава и характеристик используемых телекоммуникационных средств.

  9. Перечни категорий пользователей подсистем АС, с указанием их полномочий по доступу к ресурсам подсистемы.

  10. Перечень внешних организаций, с которыми взаимодействует подсистема.

  11. Документы по категорированию средств вычислительной техники и помещений.

  12. Документы по организации разработки, использования и сопровождения задач (прикладных программ), по организации эксплуатации и ремонта технических средств и другие документы и сведения по вопросам обеспечения информационной безопасности подсистемы.



Тел./факс (7-095) 289-4232, 219-3188

http: www.infosec.ru E-mail: audit@infosec.ru



127018, г. Москва, а/я 55




Стр.







©netref.ru 2017
әкімшілігінің қараңыз

    Басты бет