Этап - описать информационную систему
Описание ИС осуществляется на этапе сбора и анализа исходных данных и состоит из следующих пунктов: § - описание условий создания и использования информации; § - описание форм представления информации; § - описание структуры ИС; § - описание характеристик безопасности. Описание условий создания и использования информации включает цель обработки; состав; действия, осуществляемые с информацией в ходе ее обработки; условия прекращения обработки; субъекты, формирующие информацию; субъекты, которым информация предназначена; правила доступа к защищаемой информации; информационные технологии, базы данных (БД), технические средства, используемые для создания и обработки информации; используемые в процессе создания и использования информации объекты, которые могут быть объектами угроз, создающими условия для появления угроз информации. Такими объектами могут быть - технические и программные средства. Описание структуры информационной системы включает технические и программные средства, используемые каналы связи, технические средства и принципы защиты, циркулирующие в ИС информационные потоки. Технические средства (ТС) : § описание серверов БД. Если сервера БД, имеют уникальную программную, техническую или логическую структуру, необходимо описание каждого сервера; § описание серверов БД, расположенных вне пределов контролируемой зоны[24] (КЗ) или являющихся частью других ИС, с которыми ваша ИС обменивается данными. § описание АРМ пользователей. Если в вашей ИС АРМ пользователей унифицированы, то достаточно перечислить программное обеспечение (ПО), используемое при обработке информации, и установленные средства безопасности. Программные средства (ПС): § используемые операционные системы; § используемые программно-аппаратные комплексы, участвующие в обработке; § основное пользовательское программное обеспечение, участвующие в обработке; § ПО собственной разработки или стандартные программы, специально доработанные под нужды организации; § антивирусную защиту. Каналы связи, с помощью которых ИС обменивается данными с другими системами: § характеристика канала (выделенный канал, модемное подключение и т.п.); § получатели данных; § характер и вид пересылаемых данных. Каналом связи так же является подключение всей ИС или ее элементов к сети международного обмена Интернет, даже если режим работы ИС не предполагает служебной необходимости передачи данных по сетям общего пользования и международного обмена. Технические средства и принципы защиты: § межсетевые экраны; § граничное телекоммуникационное оборудование; § оборудование формирующие виртуальные частные сети (VPN); § разделение на виртуальные локальные сети (VLAN, Virtual Local Area Network). 2 этап -определить пользователей ИС (администратор, разработчик, пользователь);
3 этап - определить тип ИС: § по структуре – автономная (АРМ), локальная (комплекс АРМ), распределенная (комплекс АРМ с использованием технологии удаленного доступа); § по режиму обработки данных в ИС - однопользовательская и многопользовательская; § по разграничению прав доступа пользователей ИС - системы без разграничения прав доступа и системы с разграничением прав доступа. 4 этап - определить исходный уровень защищенности ИС. Под общим уровнем защищенности (Y1) понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИС. 5 этап - определить вероятность реализации угроз в ИС. Под вероятностью реализации угрозы (Y2) понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности информации для ИС в складывающихся условиях обстановки. 6 этап - определить возможность реализации угроз в ИС. По итогам оценки уровня защищенности (Y1) и вероятности реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет определяться соотношением Y= (Y1+ Y2)/20 7 этап - оценить опасность угроз. Оценка опасности производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения: § низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; § средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; § высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных. 8 этап - определить актуальность угроз в ИС. В соответствии с правилами отнесения угрозы безопасности к актуальной, для ИС определяются актуальные и неактуальные угрозы. После определения перечня актуальных угроз выбираются мероприятия организационного, физического технического и контролирующего характера по снижению опасности актуальных угроз. Перечень возможных мероприятий должен быть представлен в Плане мероприятий по обеспечению защиты информации. После прохождения всех этапов будет сформирована частная модель угроз. Модель угроз составляется для каждой выявленной ИС и оформляется в виде документа. Например, «Модель угроз безопасности персональных данных».
Популярное: Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас... Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (513)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |