Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь.

Презентация:



Advertisements
Похожие презентации
Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава.
Advertisements

Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Аттестация по требованиям информационной безопасности Информационных систем персональных данных Попов Игорь Сергеевич Старший консультант ООО «Гелиос Компьютер»
Обеспечение информационной безопасности в автоматизированной системе учета населения города Нижнего Новгорода 8-ая межрегиональная научно-практическая.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
Правовые основы использования сертифицированных по требованиям безопасности информации программных продуктов в организациях Егоркин Игорь Васильевич начальник.
Рачков Михаил группа компаний Стандарт безопасности г. Ярославль Безопасная обработка данных в государственных и муниципальных автоматизированных системах.
Решения в области защиты персональных данных компании ООО «Газинформсервис» Руководитель направления «Защита персональных данных» ООО «Газинформсервис»
Приведение информационных систем персональных данных в соответствие требованиям законодательства Российской Федерации Начальник аналитического отдела ООО.
Информационная безопасность вуза. Организация работ по защите информации при построении единого информационного пространства кандидат технических наук,
Защита персональных данных в информационных системах 24 ноября 2010 года.
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Удостоверяющий центр ООО «ПНК» Лукашина Елена Юрьевна Заместитель генерального директора по проектам в сфере информационной безопасности ООО "ПНК"
Нормативно-методические документы Политики информационной безопасности города Москвы – практическая реализация требований Федерального и регионального.
Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.
ЗАО «КАЛУГА АСТРАЛ». «Особенности реализации проектов по защите персональных данных и конфиденциальной информации» Мезенцев Николай Игоревич Начальник.
ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Транксрипт:

Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь Александрович

АУДИ́Т, АУДИ́ТОРСКАЯ ПРОВЕ́РКА ПРОЦЕДУРА НЕЗАВИСИМОЙ ОЦЕНКИ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ, СИСТЕМЫ, ПРОЦЕССА, ПРОЕКТА ИЛИ ПРОДУКТА.

Стадии создания системы защиты информации : предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического)задания на ее создание; стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации; стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию (п СТР-К) по результатам разрабатывается аналитическое обоснование необходимости создания системы защиты информации и техническое (частное техническое) задание на разработку СЗИ (п. 3.9 СТР-К)

На предпроектной стадии по обследованию объекта информатизации : устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации; определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам; определяются(уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования; определяются условия расположения объектов информатизации относительно границ КЗ; определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

На предпроектной стадии по обследованию объекта информатизации : определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке; определяются режимы обработки информации в АС в целом и в отдельных компонентах; определяется класс защищенности АС; определяется степень участия персонала в обработке (обсуждении, передаче, хранении)информации, характер их взаимодействия между собой и со службой безопасности; определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

На стадии проектирования и создания объекта информатизации и СЗИ может проводится аудит : раздела технического проекта на объект информатизации в части защиты информации; комплекса организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями; комплекса сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации; системы охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации; разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации; комплекта эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

На стадии ввода в действие объекта информатизации и СЗИ осуществляются : опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации; приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком(поставщиком) и заказчиком; аттестация объекта информатизации по требованиям безопасности информации.

Перечень нормативных правовых актов, определяющих необходимость аттестации: пункт 1 Перечня сведений конфиденциального характера, утвержденного указом Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями от 23 сентября 2005 г.) Статья Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Статья 1 Федерального закона от 3 апреля 1995 г. N 40- ФЗ "О федеральной службе безопасности" Положение о Федеральной службе по техническому и экспортному контролю Утверждено Указом Президента Российской Федерации от 16 августа 2004 г пункт 2.3 «Специальных требований и рекомендаций по технической защите информации», утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. 282 (далее – СТР-К)

Вывод : аудит является основным инструментом, позволяющим обеспечить всеобъемлющий и непредвзятый подход, при построении комплексной системы информационной безопасности.

СПАСИБО ЗА ВНИМАНИЕ ! ООО « СКБ » г. Омск, ул. Ленина 20, оф Тел./ факс : 8(3812) ; web: