Нормативные документы системы СЗИ
Нормативные документы должны обеспечивать:
• проведение единой технической политики; создание и развитие единой терминологической системы;
• функционирование многоуровневых систем ЗИ на основе взаимоувязанных положений, правил, методик, требований и норм; функционирование систем сертификации, лицензирования и аттестации согласно требованиям безопасности информации;
• развитие сферы услуг в области ЗИ;
• установление порядка разработки, изготовления, эксплуатации средств обеспечения ЗИ и специальной контрольно-измерительной аппаратуры;
• организацию проектирования строительных работ в части обеспечения ЗИ;
• подготовку и переподготовку кадров в системе ЗИ.
Нормативные документы системы ЗИ подразделяются на:
• нормативные документы по стандартизации в области ЗИ;
• гос стандарты или приравненные к ним нормативные документы;
• нормативные акты межведомственного значения;
• нормативные документы ведомственного значения.
76. Анализ защищенности автоматизированной информационной системы
Под защищенностью АИС (автоматизированной информационной системы) понимается степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации.
Технология анализа защищенности – это совокупность методов обнаружения технологических и эксплуатационных уязвимостей, реализуемых с помощью сканеров безопасности и систем анализа защищенности. Данная технология позволяет устранить действия нарушителей, направленные на нарушение работоспособности ИС, на активизацию закладок, внедренных в систему на этапе проектирования АИС.
Типовая методика анализа защищенности включает использование следующих методов:
- изучение исходных данных по АС;
- оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;
- анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима ИБ и оценка их соответствия требованиям существующих нормативных документов а так же их адекватности существующим рискам;
- ручной анализ конфигурационных файлов маршрутизаторов, МЭ, и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а так же других критических элементов сетевой инфраструктуры;
- сканирование внешних сетевых адресов ЛВС из сети Интернет;
- сканирование ресурсов ЛВС изнутри;
- анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных агентов.
Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активно тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную, либо с использованием специализированных программных средств.
Объекты анализа защищенности
В качестве объектов анализа защищенности могут выступать:
- АС;
- СВТ;
- ВП;
- СЗИ.
Если АС рассматривается как объект защиты, то необходимо соблюдение некоторых требований. АС должна:
- находиться на строго ограниченной контролируемой территории;
- выполнять четко определенные функции, заранее определенные в документации;
- управляться подразделением организации, несущим ответственность за ее функционирование.
|
