Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь Александрович
АУДИ́Т, АУДИ́ТОРСКАЯ ПРОВЕ́РКА ПРОЦЕДУРА НЕЗАВИСИМОЙ ОЦЕНКИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ, СИСТЕМЫ, ПРОЦЕССА, ПРОЕКТА ИЛИ ПРОДУКТА.
Стадии создания системы защиты информации : предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического)задания на ее создание; стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации; стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.
Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию (п СТР-К) по результатам разрабатывается аналитическое обоснование необходимости создания системы защиты информации и техническое (частное техническое) задание на разработку СЗИ (п. 3.9 СТР-К)
На предпроектной стадии по обследованию объекта информатизации : устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации; определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам; определяются(уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования; определяются условия расположения объектов информатизации относительно границ КЗ; определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
На предпроектной стадии по обследованию объекта информатизации : определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке; определяются режимы обработки информации в АС в целом и в отдельных компонентах; определяется класс защищенности АС; определяется степень участия персонала в обработке (обсуждении, передаче, хранении)информации, характер их взаимодействия между собой и со службой безопасности; определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.
На стадии проектирования и создания объекта информатизации и СЗИ может проводится аудит : раздела технического проекта на объект информатизации в части защиты информации; комплекса организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями; комплекса сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации; системы охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации; разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации; комплекта эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
На стадии ввода в действие объекта информатизации и СЗИ осуществляются : опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации; приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком(поставщиком) и заказчиком; аттестация объекта информатизации по требованиям безопасности информации.
Перечень нормативных правовых актов, определяющих необходимость аттестации: пункт 1 Перечня сведений конфиденциального характера, утвержденного указом Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями от 23 сентября 2005 г.) Статья Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Статья 1 Федерального закона от 3 апреля 1995 г. N 40- ФЗ "О федеральной службе безопасности" Положение о Федеральной службе по техническому и экспортному контролю Утверждено Указом Президента Российской Федерации от 16 августа 2004 г пункт 2.3 «Специальных требований и рекомендаций по технической защите информации», утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. 282 (далее – СТР-К)
Вывод : аудит является основным инструментом, позволяющим обеспечить всеобъемлющий и непредвзятый подход, при построении комплексной системы информационной безопасности.
СПАСИБО ЗА ВНИМАНИЕ ! ООО « СКБ » г. Омск, ул. Ленина 20, оф Тел./ факс : 8(3812) ; web: