Анализ состояния защиты данных в информационных системах

Скачать 1.18 Mb.

Название	Анализ состояния защиты данных в информационных системах
страница	8/8
Тип	Анализ

rykovodstvo.ru > Руководство эксплуатация > Анализ

1 2 3 4 5 6 7 8

Вопросы для контроля

Определить страдающие аспекты для ИЭ3, ИЭ5, ИЭ10, ИЭ14. Какой из элементов наиболее уязвим по доступности, какой по целостности, какой по конфиденциальности ?
Какие методы защиты применимы для повышения доступности, целостности, конфиденциальности ?

ЗАКЛЮЧЕНИЕ

В Расчетно-графической работе результаты анализа состояния защиты данных могут быть оформлены в виде отдельного параграфа (пункта). В его заключительной части следует указать разработанные рекомендации по усилению защиты.

Рассмотренная технология позволяет детально рассмотреть состояние защиты на предприятии. Существует ряд программных разработок, обеспечивающих автоматизацию сбора и накопление данных по элементам и средствам защиты. Программный комплекс «КОНДОР» [5 ] - приложение Digital Security Office позволяет контролировать состояние защиты данных в соответствии со стандартами защиты данных (ISO 17799:2000, ISO 17799:2005, ISO 27001). КОНДОР 2006 позволяет использовать не только поставляемые с программой базы стандартов, но также самостоятельно создавать и работать с любыми другими стандартами. Главное достоинство программы – возможность проанализировать соответствие политики безопасности предприятия требованиям международных стандартов.

Программный комплекс «ГРИФ», входящий в Digital Security Office 2006 [6] Система ГРИФ 2006 предназначен для анализа и управления информационными рисками компании с помощью анализа информационных потоков или угроз и уязвимостей информационной системы.

В программу вносятся следующие сведения об информационной системе:

• виды информации, обрабатываемой в информационной системе;
• ущерб от нарушения конфиденциальности, целостности или доступности информации;
• группы пользователей, обрабатывающих информацию;
• сетевые группы, т.е. указать, какие ресурсы физически взаимосвязаны друг с другом;
• бизнес-процессы компании.

РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА

1. Конеев И.Р.,Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2003. – 752 с.: ил.

2. Казарин О.В. Безопасность программного обеспечения компьютерных систем. Москва, МГУЛ, 2003, -212 с. http://www.cryptography.ru/
3.Галатенко В.А. Основы информационной безопасности
"Интернет-университет информационных технологий - ИНТУИТ.ру",2003. – 280с.

4. Козырев А.А. Информационные технологии в экономике и управлении: Учебник.Изд.3-е.—СПб.: Изд-во Михайлова В.А.,2003.-496с.

5. Программный комплекс «КОНДОР» - приложение Digital Security Office http://www.dsec.ru/products/kondor/

6. Программный комплекс «КОНДОР» - приложение Digital Security Office 2006, http://www.dsec.ru/products/grif/

Приложение А. Методы регламентации, рекомендуемые для включения в должностные инструкции

В таблице П.А.1 приведены некоторые организационные средства защиты информации, относящиеся к методам регламентации. Перечисленные в таблице способы защиты могут быть реализованы :

Включением в «Должностные инструкции» работников любого уровня (А);
Включением в «Договоры о материальной ответственности» (Б), заключаемые с материально- ответственными лицами (В);
Заключением «Соглашений о неразглашении» (по типу NDA) (Г);
Включением в операционные технологии и индивидуальные инструкции по эксплуатации технических и программных средств (Д).

Код рекомендуемых способов реализации указан в графе «Реализация».

Непосредственными исполнителями и/или контролирующими могут выступать следующие категории и виды работников:

Руководитель предприятия.
Руководитель технических служб.
Руководитель информационно-технического отдела (IT – директор).
Руководитель отдела информационной безопасности.
Инспектор отдела информационной безопасности.
Администратор сетевой поддержки.
Администратор баз данных.
Администратор информационной безопасности.
Разработчик (проектировщик) информационной системы.
Разработчик (проектировщик) системы безопасности.
Руководитель подразделения.
Пользователь: работа в АРМ.
Пользователь: ввод данных.

Для таблицы используются номера из выше приведенного списка с детализацией типа действия: Р- разработчик методики, И - исполнитель, К – контролирующий. Например, исполняющий пользователь – И13, разрабатывающий инструкции администратор БД - Р7, контролирующий инспектор ОИБ – К5.

Таблица П.А.1 – Перечень средств регламентации

Номер	Наименование мероприятия	Исполнитель, контролирующий	Реализация
1	Запрет на использование электронных носителей информации	Р9, Р10, И5, К4	Д, А
2	Взятие подписки о неразглашении	Р1, И5, К4	Г
3	Запрет на использование сетевых подключений (на рабочем месте устанавливается компьютер, лишенный сетевых карт, модемов, возможности подключения к передающей среде. Проводится обязательное экранирование)	Р9, Р10, И6, И7, К5	Д, Б
4	Технология «four eyes» (четыре глаза): работа с данными только с сопровождающим	Р10, И5, К4	А, Д
5	Ежедневное резервное копирование на внешний (съемный) носитель, хранящийся вне рабочего места	Р3, Р11, И12, К3	А, Б

Таблица П.А.1- Продолжение 1

6	Ежедневное резервное копирование на смежный носитель (рабочая станция в ЛВС, сервер, «холодное» рабочее место).	Р3, Р11, И12, К3, К7	А,Б
7	Организация «холодного» рабочее места - запасное рабочее место, отключенное в обычное время (отключено от источников питания, от каналов связи), специальное электронное оборудование, имеющее в электрических цепях минимум замкнутых контуров. Используется при чрезвычайных ситуациях	Р9, Р10, И2, К1	Д
8	Резервное копирование на текущий носитель. Период копирования определяется трудоемкостью восстановления данных, введенных после создания копии (не более 0.5 рабочего дня с привлечением максимально-возможного числа операторов).	Р7, Р11, И12, К3	А
9	Ведение журнала регистрации доступа к данным. Ручной – запись в бумажный документ; автоматический – реализация метода (программы) авторизации доступа	Р3, Р11, И12, К3	А, Б, Д
10	Физическая утилизация – уничтожение отходов информационной обработки вместе с носителями (физический шредер).	Р3, Р11, И12, К3	А, Д

Таблица П.А.1 – Продолжение 2

11	Программная утилизация - уничтожение отходов информационной обработки на электронных носителях с помощью программных средств	Р3, Р11, И12, К3	А, Д
12	Распределение хранения данных на основе специализации рабочих мест выделяется комплекты: а) требующий сетевой поддержки (на сервер); б) локальные данные	Р9, Р6, И6, И7 К3, К5	А, Д
13	Организация эффективного хранения данных (интеграция и/или дублирование) на основе технологических и технических возможностей ВТ: использование кластеров – группа компьютеров, связанных высокоскоростными каналами связи; организация зеркального копирования	Р9, Р2, Р3 И7, И8, И6 К3, К2	А, Д, Б
14	Регулярное обновление баз антивирусных программ	Р8,И8,И12,И6,К12, К5	А, Б
15	Принудительное использование метода сличения (сравнение, визуальный или программный контроль) на наиболее ответственных операциях обработки данных (изучение контрольных точек, сопоставление значений, логический анализ).	Р9, И13 К12, К11	Д, А

Таблица П.А.1 – Продолжение 3

16	Строгое соблюдение правил использования физических преград на пути доступа к хранящимся данным (сейф, замок, решетка и т.п.) - получение ключа в охране, уничтожение дубликатов ключей, пропускной контроль	Р10, И2, И3 К5, К11	А, Б
17	Привлечение технических, программных и программно-аппаратных средств шифрации передаваемых (хранимых) данных, определение условий , при которых используется маскировка	Р10, Р4, И3, И2, И8, К3, К4	Д, А
18	Контроль (периодический и внеочередной) соблюдения правил преодаления физических преград (документы проверки, интерпретация результатов, варианты регулирования – меры воздействия…).	Р4, Р10, И5 К4	Б, А
19	Контроль за соблюдением правил создания и хранения резервных копий	Р4,Р10,И5,К4	А
20	Включение в должностные инструкции пунктов регламента работы с доступными пользователю данными	Р10, Р4, Р9 И1, И11 К1, К11	А

1 2 3 4 5 6 7 8

Похожие:

	Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...		Методические рекомендации по обеспечению информационной безопасности... По обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных...
	Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных...		Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных...
	Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской...		Инструкция пользователей и технология обработки персональных данных... Настоящая Инструкция определяет требования, права, обязанности, а так же порядок реализации задач и функций пользователей информационных...
	Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных...		Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации...
	Инструкция по организации антивирусной защиты в информационных системах... ПО, и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих информационные системы...		Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке...
	Инструкция по защите персональных данных, содержащихся в автоматизированных... Настоящая инструкция по защите персональных данных, содержащихся в автоматизированных информационных системах органов внутренних...		Приказ о назначении должностного лица, ответственного за организацию... О назначении должностного лица, ответственного за организацию обработки персональных данных в информационных системах
	Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении...		Администрация Егорлыкского района Ростовской области постановление Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных...
	Обработке в информационных системах персональных данных В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет		Муниципальное бюджетное общеобразовательное учреждение В целях соблюдения требований безопасности при обработке персональных данных в информационных системах персональных данных лицея

Руководство, инструкция по применению