поиск по сайту
Тематика вопросов экспертизы объекта информатизации
Ю. В. Гусаров, Н. С. Жуков, С. Г. Матвеев
ЗАО <ОКБ САПР>
Тематика вопросов экспертизы объекта информатизации перед проведением испытаний с целью его аттестации на соответствие требованиям нормативных документов по защите

Полнота проведенной экспертизы (обследования) объекта информатизации (ОИ) существенно влияет на объем работ и сроки проведения испытаний ОИ с целью аттестации на соответствие требованиям по защите. По мнению специалистов ОКБ САПР (г. Москва), тематика вопросов экспертизы (обследования) в общем виде может включать следующие разделы.

1. Общие сведения об ОИ

1.1. Перечень защищаемых сведений и Положение о порядке работы с документами на бумажных носителях и в электронном отображении.

Подразделения, наделенные правами для работы с защищаемыми сведениями, и принимаемые ими меры по охране и защите информации.

Источники и потребители информации.

Угрозы и опасные факторы.

Критерии оценки научно-технического уровня.

Страхование информационных рисков.

Анализ групп рисков. Правовая база для страхования информационных рисков.

Политика безопасности, наличие организационно-распорядительных документов по ее реализации. Соответствие политики безопасности положениям законодательных актов и требованиям по защите.

Необходимость и достаточность положений политики безопасности для автоматизи-рованной и неавтоматизированной частей объекта.

Приоритеты по видам защиты.

Правила разграничения доступа к ресурсам.

Меры ПД ИТР. Оценка условий эксплуатации и окружающей среды.

Стандарты и другие нормативные документы, введенные на объекте.

Сертификация средств и аттестация объекта.

Порядок ремонта технических и отладки программных средств.

Особенности материально-технического обеспечения.

Технологический стенд для оценки предложений и проверки присланных (принесенных) накопителей с информацией.

1.2. Режимные правила и нормы.

Правовые нормы в отношении промышленной эксплуатации.

Организационно-административная структура объекта.

Действующие режимные требования.

Задачи и функции режимной службы и службы безопасности.

Периодичность проверки выполнения режимных требований.

Защищаемая информация.

Перечень решаемых задач с защищаемой информацией.

Правила прекращения эксплуатации.

Виды обеспечения с учетом мер по защите.

Режимные требования при техническом обслуживании.

Охрана здания и помещений.

Меры на случай нештатных ситуаций.

Меры по предотвращению утечки информации об объекте и его защите, примененных средствах защиты, в том числе и криптографических.

Реакция на ложную и негативную информацию.

Исключение компьютерных игр на рабочих станциях объекта.

Режимные меры по учету носителей с защищаемой информацией.

Угрозы (атаки, нападения) в отношении объекта и принимаемые режимные меры.

Меры по предотвращению краж техники, программ и оборудования.

Меры по предотвращению навязывания ложной информации.

Меры ответственности при нарушении режимных требований.

1.3. Исходная информация об объекте - наименование, назначение и статус, форма собственности, структура и замысел (алгоритм) защиты, унификация ТС и ПС, результаты сертификации ТС и ПС, вид категории информации, включенной в базы данных, источники защищаемой информации, другие защищаемые ресурсы, реализованные виды защиты, виды испытаний, проведенных на объекте, материалы этих испытаний, комплектность КД и ЭД, наличие аттестата соответствия требованиям НД по защите, наличие службы безопасности и ее задачи и права и другие сведения, вытекающие из особенностей объекта.

Спецификация системного и прикладного ПО.

Спецификация ТС и КСА по помещениям объекта.

Системы управления базами данных.

Особенности объекта.

Регламент применения. Система управления электронным документооборотом.

Перспективы развития объекта.

1.4. Взаимосвязь объекта с другими объектами. Введенная нормативно-правовая база.

Механизмы и виды услуг по защите при передаче электронных документов (сообщений).

Перечень предоставляемых услуг.

1.5. Враждебные среды при эксплуатации объекта. Конкуренты и <доброжелатели>. Атаки и нападения на объект.

1.6. Структурное подразделение по промышленной эксплуатации, системный администратор и администратор безопасности, должностные и ответственные лица, руководство объектом.

Задачи информационно-диспетчерской службы.

1.7. Органы контроля и надзора за применением объекта, их функции и задачи. Комплексная оценка уровня защиты. Реализация результатов проверки (обследования, экспертизы, испытаний).

1.8. Участники создания и эксплуатации защищенного объекта. Партнеры, клиенты, пользователи.

Организации, оказывающие различные информационные услуги.

1.9. Задачи промышленной эксплуатации, живучесть, проблемы развития.

2. Рассмотрение и предварительная оценка объекта и мер по его защите

2.1. Замысел (алгоритм) комплексной защиты. Проведенные исследования и проверки ТС и ПС объекта. Контрольно-испытательная аппаратура объекта.

Угрозы и опасные факторы.

Общие требования: общесистемные, функциональные, технические, экономические, организационно-правовые, требования к документации.

Виды обеспечения: правовое, организационное, информационное, техническое, программное, математическое, лингвистическое, методическое, эргономическое.

Защищаемые компоненты.

Встроенные и добавленные средства защиты.

Документы по классификации и категорированию.

Базовые показатели.

Критерии и характеристики качества (ТС, ПС и средств защиты).

2.2. Зашита от НСД.

Каналы несанкционированного доступа к ресурсам. Средства защиты, их возможности по парированию угроз. Методы и методики, включенные в ЭД и инструкции по защите ресурсов.

Парольная система.

Матрица доступа к защищаемым ресурсам.

Правила работы пользователей.

Уточнение необходимости применения средств криптографической защиты.

2.3. Защита от вредоносных программ.

Программные закладки. Компьютерные вирусы. Другие типы вредоносных программ, защита от которых реализована на объекте.

Стандарты по защите от вредоносных программ.

2.4. Защита отчуждаемых машинных носителей информации (МНИ).

2.5. Защита электронных документов (ЭлД).

Информационное обеспечение. Набор типовых задач.

Назначение электронных баз данных. Система управления электронным документо-оборотом. Унификация форм ЭлД.

Защита платежных систем в кредитно-банковской системе.

Информационные ресурсы: электронные документы, базы и банки данных, обрабатываемые, хранимые и передаваемые на объекте.

Категории информации в электронных базах данных.

Порядок учета и регистрации электронных баз данных.

Порядок корректировки электронных баз данных.

Порядок выдачи информации из электронных баз данных.

Порядок изъятия информации из электронных баз данных.

Информационное взаимодействие.

Меры зашиты при выдаче на печать документов с защищаемой информацией.

Контроль за размножением документов.

2.6. Защита объекта от утечки информации по каналам ПЭМИН.

Особенности применения в защищаемых объектах импортных ТС и ПС.

<Закладки> в ТС и помещениях.

Предписание на эксплуатацию импортных ТС.

Система первичного электропитания.

Система заземления ТС и В'ГСС,

Защищаемые здания и помещения, в которых расположены КСА объекта.

План размещения ТС и ВТСС объекта.

План контролируемой зоны объекта.

Предписание на применение.

2.7. Защита здания, помещений и контролируемых зон. Охрана здания и помещений. Материалы аттестации <выделенных> помещений. Физическая защита зданий, помещений и сооружений. Ограждение территории.

2.8. Защита от внешних воздействующих факторов.

2.9. Организационно-режимные меры по защите ресурсов. Инструкции по соблюдению режимных мер.

Квалификация персонала. Организация обучения.

2.10. Защита взаимосвязи с другими объектами. Порядок подключения других объектов.

2.11. Документация на объект. Наличие КД и ЭД. Наличие формуляра.

Отчетная документация о результатах испытаний и работе объекта.

Журналы  учета  работы.

Документы по техническому рассмотрению нештатных ситуаций.

Наличие проектно-строительной документации на здание и помещения.

Материалы сертификации, аттестации, испытаний.

Документация на контрольные испытания и проверки.

Программа и методики испытаний.

Концепции, положения, руководства, наставления, инструкции, уставы, правила, нормы, модели, рекомендации, методические указания.

Документы по применяемым терминам, показателям, критериям.

Порядок резервирования ресурсов.

2.12. Управление защищенным объектом.

Администрирование применения объекта и баз данных. Права и обязанности должностных лиц. Инструкция пользователям. Инструкция администратору безопасности.

Неупорядоченные работы.

Производственная дисциплина.

Классификация дефектов и нарушений.

План мероприятий на случай нештатных ситуаций.

Меры по поддержанию промышленной эксплуатации объекта и баз данных.

Методики оценки ущерба при нештатных ситуациях.

Формы учета дефектов, нарушений, проступков, преступлений.

Установленная ответственность за допущенные нарушения.

Противопожарные меры.

Меры на случаи особых условий (нештатные ситуации, диверсии, аварии первичного электропитания и т. п.), отраженные в ЭД.

Тенденции развития (увеличение объемов информационных ресурсов, их качество, увеличение числа пользователей и производительности их труда).

Наличие резервных автономных источников питания, ТС, ПС и оборудования.

2.13. Сведения о разработчиках объекта и его средствах.

3. Отчетность по результатам экспертизы (обследования)

В результате выполнения обследования должны быть разработаны и представлены:

техническое заключение (с протоколами проверок);

предложения в техническом заключении по совершенствованию защиты объекта.

В техническом заключении указывается:

наименование объекта, его назначение и структура;

порядок и основания для взаимодействия с другими объектами как внутри, так и с внешними объектами и другими объектами;

порядок распространения защищаемых сведений и другие характеристики, имеющие значение при оценке уровня защиты, в том числе:

состав ТС и ПС объекта, применяемых при обработке защищаемых сведений;

учтенные угрозы и опасные факторы;

опасные каналы НСД к ресурсам и каналы утечки информации;

результаты сертификации ТС и ПС объекта;

организационно- распорядительные документы по применению объекта:

план расположения систем первичного электропитания и заземления ТС и ВТСС объекта;

перечень решаемых задач;

действующий перечень защищаемых сведений;

технология обработки информации;

уровень подготовки специалистов и другие необходимые материалы. Предложения могут включать:

изменение регламента применения защищенного объекта;

меры по совершенствованию защиты;

проведение сертификации ТС и ПС;

усиление текущего и планового контроля уровня защиты;

необходимость применения средств криптографической защиты;

необходимость внесения изменений в документацию на объект;

необходимость дополнительных испытаний и т.п.

4. Реализация результатов экспертизы

Реализация результатов экспертизы осуществляется Заказчиком работ по проведению экспертизы (обследования) данного ОИ в установленном порядке.

Примечание: права и обязанности экспертов и привлеченных должностных лиц по проведению испытаний установлены в НД (в приложении 3 ГОСТ В 15.210-78, а также в рекомендациях Р 50-601-11-89 <Организация работы приемочной комиссии> и других документах).


ФорумФорум
Форум ОКБ САПР
ОбучениеОбучение
Кафедра «Защита информации» ФРТК МФТИ и собственные курсы стажировок по нашей продукции.