Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
Определение требований к комплексной системе защиты информации управления лесами Брянской области
|
|
Поскольку на сегодняшний день нет чёткой методики, для определения требований к системе защиты информации, опираясь на следующие документы, выберем из них актуальные для рассматриваемого объекта требования, «Специальные требования и рекомендации по технической защите конфиденциальной информации», руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», «Положение о методах и способах защиты информации в информационных системах персональных данных» Приложение к Приказу ФСТЭК России от 5 февраля 2010 г. N 58.
При формулировке требований к системе защиты информации разделим их на следующие группы: требования к организационно-распорядительной документации, требования к защите зданий и помещений, требования к защите автоматизированной системы, требования к защите информационной системы персональных данных.
Выработанные в ходе анализа названных выше документов требования представлены в таблице 2.4.
Таблица 2.4 Требования к комплексной системе защиты информации объекта
| Требование | Документ |
| 1. Требования к организационно-распорядительной документации | |
| В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами. | СТР-К |
| Для управления ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, в дополнение к системным администраторам (администраторам ЛВС) могут быть назначены администраторы по безопасности информации, имеющие необходимые привилегии доступа к защищаемой информации ЛВС. | СТР-К |
| Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (учетную карточку). | РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» |
| Все носители информации на бумажной, магнитной, оптической (магнито-оптической) основе, используемые в технологическом процессе обработки информации в АС, подлежат учету в том производственном, научном или функциональном подразделении, которое является владельцем АС, обрабатывающей эту информацию. | СТР-К |
| 2. Требования к защите зданий и помещений | |
| Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне. | СТР-К |
| Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). | СТР-К |
| Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время | РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», «Положение о методах и способах защиты информации в информационных системах персональных данных» Приложение к Приказу ФСТЭК России от 5 февраля 2010 г. N 58 |
| 3. Требования к защите АС (класс 1Д) | |
| Средства защиты информации от НСД должны использоваться во всех узлах ЛВС независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС и требуют постоянного квалифицированного сопровождения со стороны администратора безопасности информации. | СТР-К |
| При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) и прокладке кабельной системы ЛВС рекомендуется учитывать разделение трафика по отдельным сетевым фрагментам на производственной основе и видам деятельности предприятия. | СТР-К |
| Должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. | РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» |
| Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. | РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» |
| Должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. | РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» |
| Подключение ЛВС предприятия (учреждения) к Internet должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. | СТР-К |
| Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием МЭ | СТР-К |
| 4. Требования к защите ИСПДн (класс 3) | |
| Должна быть обеспечена идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов (для ИСПДн). | «Положение о методах и способах защиты информации в информационных системах персональных данных» Приложение к Приказу ФСТЭК России от 5 февраля 2010 г. N 58 |
| Должна быть обеспечена регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы (для ИСПДн). | «Положение о методах и способах защиты информации в информационных системах персональных данных» Приложение к Приказу ФСТЭК России от 5 февраля 2010 г. N 58 |
| Должна быть обеспечена целостность программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. | «Положение о методах и способах защиты информации в информационных системах персональных данных» Приложение к Приказу ФСТЭК России от 5 февраля 2010 г. N 58 |
| Должно быть обеспечено наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности. | «Положение о методах и способах защиты информации в информационных системах персональных данных» Приложение к Приказу ФСТЭК России от 5 февраля 2010 г. N 58 |
Аудит информационной безопасности показал несоответствие существующей системы защиты информации в управлении лесами Брянской области, требованиям, предъявляемым к ней, откуда следует, что необходимо разработать комплексную систему защиты информации, которая бы соответствовала представленным выше требованиям.
Date: 2016-02-19; view: 619; Нарушение авторских прав