Влюбчивость - это как горение хвороста. Если к тебе она быстро пришла, то так же быстро и потухнет. © Александр Дьяков 956 - | 785 - или читать все...
Обратная связь Пожаловаться на материал

Требования к защите информации от несанкционированного доступа


⇐ ПредыдущаяСтр 16 из 33Следующая ⇒

В ходе выполнения работ по модернизации Системы необходимо осуществить выполнение следующих работ:

1) Оценить влияние модернизируемых подсистем на уровень информационной безопасности Системы в целом;

2) Оценить соответствие существующей системы информационной безопасности требованиям документов, регламентирующих вопросы защиты информации.

В случае необходимости должна быть скорректирована классификация Системы в соответствии с требованиями законодательства и нормативных правовых актов Российской Федерации по безопасности информации. Результаты классификации должны быть оформлены проектом соответствующего Акта классификации системы.

При выполнении работ, предусмотренных настоящими техническими заданием, должны быть определены угрозы безопасности обрабатываемой в Системе информации, оценены их вероятность (актуальность), возможные последствия их реализации. Определение типа угроз безопасности защищаемой информации, актуальных для Системы, с учетом оценки возможного вреда. В ходе определения угроз безопасности должны быть:

- -рассмотрены угрозы из Банка данных угроз ФСТЭК России (http://bdu.fstec.ru/) применимые для Системы с учетом возможного объекта воздействия, наличия нарушителя с установленным потенциалом и с учетом нарушений установленных для Системы свойств безопасности информации (целостность, доступность, конфиденциальность).

- рассмотрены угрозы, связанные с наличием НДВ в системном и прикладном ПО.

По результатам моделирования угроз должна быть скорректирована Модель угроз и нарушителя информационной безопасности Системы.

Модель угроз информационной безопасности должна содержать:

- описание объекта защиты;

- определение свойств безопасности информации (целостность, доступность, конфиденциальность), актуальные для Системы;

- классификацию типов возможных нарушителей информационной безопасности;

- предположения об имеющемся у нарушителя потенциале;

- основные угрозы безопасности информации, включая угрозы техногенного характера, стихийные бедствия, угрозы, реализуемые нарушителями, и угрозы, связанные с наличием НДВ в системном и прикладном ПО;

- расчет актуальности применимых угроз безопасности информации.

Описание объекта защиты должно включать, как минимум, следующую информацию:

- цели создания информационной системы и задачи, решаемые этой информационной системой;

- правоустанавливающие документы (нормативно-правовые акты, методические документы, на основании которых создана Система);

- структурные схемы Системы с указанием типов (категорий) пользователей Системы, модулей системы (web сервис, сервер приложений, СУБД и пр.), смежных систем и информационных потоков между ними, а также границы контролируемой зоны;

- функциональные схемы Системы;

- наличие серверов удаленного доступа;

- организация сетевого взаимодействия (взаимосвязь Системы с другими системами и сетями, в том числе с сетями общего пользования); внешние потребители информации; описание каналов связи (собственные, арендуемые, провайдеры); сервисы, используемые при обмене информацией с внешними системами (электронная почта, web и пр.); используемые протоколы (XML, HTTP и пр.); средства и способы аутентификации при межсистемном взаимодействии;

- состав технических средств Системы, их расположение на объектах информатизации;

- перечень основного лицензионного программного обеспечения, используемого в Системе (операционные системы, системное и прикладное ПО, в том числе собственных или заказных разработок);

- перечень информации, подлежащей обработке в информационной системе, места ее хранения;

- технология обработки информации;

- перечень ролей пользователей Системы;

- описание реализации разрешительной системы доступа пользователей системы к информационным ресурсам Системы (описание о моделях и механизмах реализации контроля доступа в информационных системах), средства и способы аутентификации пользователей при доступе к Системе;

- порядок резервного копирования и восстановления информации, обрабатываемой в Системе;

- порядок вывода информации из Системы, в том числе на бумажные носители (сетевые и локальные принтеры), используемые в Системе отчуждаемые носители информации.

При выполнении работ, предусмотренных настоящими техническими заданием, должны быть определены роли и полномочия пользователей Системы и сформирована Матрица ролей и полномочий пользователей Системы.

Матрица ролей и полномочий пользователей Системы должна включать, как минимум, следующую информацию (для каждого информационного ресурса (подсистемы, модуля) Системы):

- перечень системных ролей;

- описание полномочий (прав доступа), которыми наделена каждая роль;

- профили (группы) ролей и перечень ролей, входящих в каждый профиль (группу);

- отображение иерархии ролей.

При описании в качестве базовой модели контроля доступа должна использоваться ролевая модель контроля доступа (RBAC) с поддержкой ограничений и иерархии (модель RBAC3) в соответствии со стандартом ANSI INCITS 359 2004 «Ролевой метод контроля доступа».

По результатам проведения указанных работ должны быть скорректированы:

1) Требования по обеспечению информационной безопасности;

2) Акт классификации Системы;

3) Модель угроз и нарушителя информационной безопасности Системы.

По результатам проведения указанных работ должна быть разработана Матрица ролей и полномочий пользователей Системы.

Дата добавления: 2018-06-27; просмотров: 618; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая11121314151617181920Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.016)