Изучение содержания и последовательности работ по защите информации

Лабораторная работа 1.

Опубликовано Denis Zakharov от 16 Сентября 2021

Цель работы: изучить содержание и последовательность работ выполняемых при построении комплексной системы защиты информации. Закрепить знания полученные на лекции.

Теоретическая часть

При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в информационных системах и отдельных средствах вычислительной техники, включая персонал, который ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности информационной системы, воздействия на персонал и т.п.

Целью работы должно являться построение комплексной системы защиты конфиденциальной информации (далее по тексту КСЗИ). Это предполагает необходимость использования, создания и разработки совокупности организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения комплексной системы защиты конфиденциальной информации.

Методология есть совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы информационной безопасности. Она дает возможность в рамках единого подхода использовать согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Организационные и технические меры защиты информации, реализуемые в рамках КСЗИ, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение:

  • неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • неправомерного блокирования информации (обеспечение доступности информации).

Процесс построения КСЗИ включает следующие этапы:

  • Формирование требований к защите информации, содержащейся в информационной системе.
  • Разработка КСЗИ информационной системы.
  • Внедрение КСЗИ информационной системы.
  • Аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие.
  • Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы.
  • Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Формирование требований к защите информации, содержащейся информационной системе Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и в том числе включает:

  • принятие решения о необходимости защиты информации, содержащейся в информационной системе;
  • классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
  • определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе , и разработку на их основе модели угроз безопасности информации;
  • определение требований к системе защиты информации информационной системы.
  • Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы.
  • Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Контрольные вопросы

Перечислите основные этапы построения КСЗИ.

  • Формирование требований к защите информации, содержащейся в информационной системе.
  • Разработка КСЗИ информационной системы.
  • Внедрение КСЗИ информационной системы.
  • Аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие.
  • Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы.
  • Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Перечислите основные этапы построения КСЗИ.

  • ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.

Перечислите основные понятия которые будут определены при проектировании КСЗИ.

  • Cубъекты доступа
  • Методы управления доступом
  • Меры защиты информации
  • Виды и типы средств защиты информации,
  • Структура КСЗИ информационной системы
  • Параметры настройки программного обеспечения
  • Меры защиты информации при информационном взаимодействии с иными информационными системами и информационно- телекоммуникационными сетями,

Перечислите основное содержание эксплутационной документации КСЗИ.

  • Описание структуры КСЗИ информационной системы;
  • Описание остава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
  • Описание состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;

Перечислите этапы внедрения системы защиты информации.

  • Установку и настройку средств защиты информации в информационной системе.
  • Разработку документов
  • Внедрение организационных мер защиты информации.
  • Предварительные испытания КСЗИ информационной системы.
  • Опытную эксплуатацию КСЗИ информационной системы.
  • Анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению.
  • Приемочные испытания КСЗИ информационной системы.

Перечислите процессы выполняемые при обеспечении защиты информации в ходе эксплуатации аттестованной информационной системы.

  • управление (администрирование) системой защиты информации информационной системы;
  • выявление инцидентов и реагирование на них;
  • управление конфигурацией аттестованной информационной системы и ее КСЗИ;
  • контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.

Индивидуальный объект

Контора по ремонту и обслуживанию ПК