Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Требования к задачам информационной безопасности

Необходимо провести исследования в целях формирования требований к защите информации, содержащейся в Системе на основе положений «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Формирование требований к защите информации, содержащейся в Системе должно включать в себя:

· обследование и анализ текущих условий обработки и защиты информации;

· определение класса Системы по требованиям защиты информации (далее – классификация информационной системы);

· определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;

· определение требований к системе защиты, обеспечивающих нейтрализацию актуальных угроз безопасности информации, обрабатываемой в информационной системе.

При обследовании и анализе текущих условий обработки и защиты информации, должно осуществляться:

· анализ целей создания и задач, решаемых Системой;

· определение информации, подлежащей обработке;

· анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать Система;

· принятие решения о необходимости создания системы защиты информации, а также определение целей и задач защиты информации, основных этапов создания системы защиты информации и функций по обеспечению защиты информации.

Угрозы безопасности информации должны определяться по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

При определении угроз безопасности информации должны учитываться структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.

По результатам определения угроз безопасности информации при необходимости могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.



Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Требования к системе защиты информации, обрабатываемой в информационной системе должны определяться в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации. При разработке требований к системе защиты информации должен быть описан порядок построения системы защиты информации, этапность проведения работ по построению системы защиты и перечень необходимых организационно-технических документов на систему защиты информации.

Результатами выполнения мероприятий по защите информации в Системе должны быть следующие документы:

· Аналитическое обоснование необходимости создания системы защиты информации;

· Проект акта классификации Системы по требованиям безопасности информации;

· Модель угроз безопасности информации, обрабатываемой в Системе;

· Частное техническое задание на создание системы защиты информации.


mylektsii.ru - Мои Лекции - 2015-2019 год. (0.005 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал