Изучение методов комплексного исследование объекта информатизации

Лабораторная работа 2.

Опубликовано Denis Zakharov от 16 Сентября 2021

Цель работы: изучить положительные и отрицательные стороны проведения обследования защищенности объекта информатизации (ОИ) посредством существующих стандартов и методик.

Теоретическая часть

Известно, что при создании любой информационной системы (ИС) на базе современных компьютерных технологий неизбежно возникает вопрос о защищенности этой системы от угроз безопасности информации и принятия решения по устранению этих угроз. Однако для определения, как и от кого защищать информацию, необходимо уяснить реальное положение в области обеспечения безопасности информации и оценить степень защищенности ИС.

Для решения данной задачи проводится комплексное обследование защищенности ОИ, результаты которого основываются на выявленных угрозах безопасности информации и оценке рисков нанесения возможного ущерба, а также позволяют оценить необходимость и достаточность принятых на объекте мер обеспечения безопасности информации. Предполагается, что по результатам комплексного обследования ОИ определяются адекватные потребностям ИС (по степени защищенности ее ресурсов) требования к средствам ее защиты, что позволяет добиться максимальной отдачи от инвестиций в создание и обслуживание системы обеспечения информационной безопасности (СОИБ) ИС.

Задача проводимого обзора существующих стандартов и методик реализации обследования защищенности ОИ состоит в определении оценки объективности и полноценности данных стандартов и методик.

Перечень рассмотренных стандартов и методик, описывающих процессы обследования защищенности ОИ, представлены в стандартах ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 27001:2005 и ISO/IEC 17799:2005 а также руководящих документах ФСТЭК.

Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.

  • Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
  • Аттестация объектов информатизации — комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Формирование требований к защите информации, содержащейся информационной системе Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и в том числе включает:

  • принятие решения о необходимости защиты информации, содержащейся в информационной системе;
  • классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
  • определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе , и разработку на их основе модели угроз безопасности информации;
  • определение требований к системе защиты информации информационной системы.
  • Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы.
  • Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Практическое задание

Написать отчёт исследования предприятия, закреплённого на ЛР1, содержащий общие сведения о предприятии, о его деятельности и организационной структуре.

Контора по ремонту и обслуживанию ПК

  • Общие сведения о предприятии
    Общество с ограниченной ответственностью (ООО) «Сервисный центр notebook-31»
    Местонахождение и почтовый адрес Общества: РОССИЯ, ул. Герцена, 94 Тюмень За ТЦ «Вояж»
  • Деятельность
    Ремонт ноутбуков любой сложности на профессиональной станции от ТЕРМОПРО
    Ремонт и обслуживание системных блоков
    Ремонт смартфонов и планшетных ПК на модульном уровне
  • Организационная структура
    CEO
    • Product Manager
    • Presales specialists
    • Information engineers

Контрольные вопросы

Какие существуют виды обследования защищённости?

  • Инструментальное (дискретное и непрерывное);
  • Обследование защищенности ОИ на соответствие существующим стандартам и методикам;
  • Обследование защищенности как части специализированных исследований ои

Что должен содержать аттестита соответствия?

  • регистрационный номер;
  • дату выдачи;
  • срок действия;
  • наименование, адрес и местоположение объекта информатизации;
  • категорию объекта информатизации;
  • класс защищенности автоматизированной системы;
  • гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;
  • организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
  • номера и даты утверждения программы и методики, в соответствии которыми проводились аттестационные испытания;

Назовите порядок проведения аттестации объектов информатизации по требованиям безопасности информации?

  • подача и рассмотрение заявки на аттестацию
  • предварительное ознакомление с аттестуемым объектом
  • испытание в испытательных лабораториях несертифицированных средств и систем защиты информации
  • разработка программы и методики аттестационных испытаний.

Какие документы предоставляет заявитель Для проведения испытаний органу по аттестации?

    Необходимые
  • приемо-сдаточную документацию на объект информатизации;
  • акты категорирования выделенных помещений и объектов информатизации;
  • инструкции по эксплуатации средств защиты информации;
  • технический паспорт на аттестуемый объект;

Какие функции осуществляет ФСТЭК в рамках системы аттестации?

  • организует обязательную аттестацию объектов информатизации;
  • создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
  • устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
  • организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
  • аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
  • осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
  • рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;
  • организует периодическую публикацию информациипо функционированию системы аттестации объектов информатизации по требованиям безопасности информации.