Цель работы: научиться анализировать информацию, циркулирующую в корпоративной информационной системе, научиться строить диаграмму информационных потоков.
Теоретическая часть
Защита конфиденциальной информации осуществляется на основании федеральных законов
- «Об информации, информатизации и защите информации»,
- «Об участии в международном информационном обмене»
- Указа Президента Российской Федерации от 06.03.1997 г. No 188 «Перечень сведений конфиденциального характера»
- «Доктрины информационной безопасности Российской Федерации»,
- Федеральный закон No 152-ФЗ «О персональных данных» от 27.07.2006 г.
В соответствии с законом «О персональных данных» уполномоченные органы с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливают:
- уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
- требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных описаны в Постановлении Правительства No 512 от 06.07.2008 г. «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
Проведен контроль качества и анализ существующих и поступающих данных ГИС. Разработан ряд дополнительных процедур, позволяющих проводить контроль качества, подготовку и загрузку данных ГИС в пакетном режиме. Загружено кривых: 38 тыс. по 950 скважинам. Эта работа продолжается по мере поступления информации. На рисунке 4 представлены этапы подготовки и загрузки в базу данных Finder информации по ГИС.
Моделирование и анализ корпоративных информационных систем Успешное развитие любого современного предприятия (корпорации) во многом зависит от его информационной системы (ИС) - от того, как она создавалась, как развивается и как осуществляется ее поддержка. При этом под ИС понимается совокупность всей информации, используемой в работе предприятия, и комплекса программно-технических, методических и организационных компонентов, обеспечивающих создание, обработку, передачу и прием этой информации.
Задача проводимого обзора существующих стандартов и методик реализации обследования защищенности ОИ состоит в определении оценки объективности и полноценности данных стандартов и методик.
Перечень рассмотренных стандартов и методик, описывающих процессы обследования защищенности ОИ, представлены в стандартах ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 27001:2005 и ISO/IEC 17799:2005 а также руководящих документах ФСТЭК.
Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.
- Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
- Аттестация объектов информатизации — комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.
Формирование требований к защите информации, содержащейся информационной системе Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и в том числе включает:
- принятие решения о необходимости защиты информации, содержащейся в информационной системе;
- классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе , и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты информации информационной системы.
- Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы.
- Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Практическое задание
Построить алгоритм анализа информации, циркулирующей в корпоративной информационной системе.
Контора по ремонту и обслуживанию ПК
- От кого поступила информация?
- Что требуется в запрашиваемой информации?
- Законно ли это?
- Данные какого уровня CDO требуется? И являются ли лно дусупными к распространени?
Проанализировать информацию, циркулирующей в корпоративной информационной системе предприятия.
- Заказы клиентов
- Информация по сотрудникам
- Внутриорганизационное сообщение
- Финансовая отчестность
Построить полную диаграмму информационных потоков предприятия.См. отчёт
Контрольные вопросы
Что представляет диаграмма информационных потоков?
- Трафик рассматриваемый как количественную характеристику, описывающую информационные потоки между вершинами графа и распределенную во времени в соответствии со статистическими законами
Какие элементы должны быть отображены на диаграмме информационных потоков?
- Все юниты, организации производящие информационные потоки
Какое программное обеспечение может быть использовано для построения диаграммы информационных потоков?
- COMNET
Какие принципы используется для построения диаграммы информационных потоков?
- коммуникационный (сетевые протоколы различных уровней, активное сетевое оборудование);
- уровень системного ПО (операционные системы);
- уровень платформного (инструментального) ПО (СУБД, почтовые системы);
- уровень прикладного ПО (собственно прикладные программные системы).
Что представляет собой полная диаграмма информационных потоков? Data Flow Diagrams — DFD представляют собой иерархию функциональных процессов, связанных потоками данных. Цель такого представления — продемонстрировать, как каждый процесс преобразует свои входные данные в выходные, а также выявить отношения между этими процессами.