Нормативные документы системы СЗИ

Нормативные документы должны обеспечивать:

• проведение единой технической политики; создание и развитие единой терминологической системы;

• функционирование многоуровневых систем ЗИ на основе взаимоувязанных положений, правил, методик, требований и норм; функционирование систем сертификации, лицензирования и аттестации согласно требованиям безопасности информации;

• развитие сферы услуг в области ЗИ;

• установление порядка разработки, изготовления, эксплуатации средств обеспечения ЗИ и специальной контрольно-измерительной аппаратуры;

• организацию проектирования строительных работ в части обеспечения ЗИ;

• подготовку и переподготовку кадров в системе ЗИ.

Нормативные документы системы ЗИ подразделя­ются на:

• нормативные документы по стандартизации в области ЗИ;

• гос стандарты или приравненные к ним нормативные документы;

• нормативные акты межведомственного значения;

• нормативные документы ведомственного значения.

76. Анализ защищенности автоматизированной информационной системы

Под защищенностью АИС (автоматизированной информационной системы) понимается степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации.

Технология анализа защищенности – это совокупность методов обнаружения технологических и эксплуатационных уязвимостей, реализуемых с помощью сканеров безопасности и систем анализа защищенности. Данная технология позволяет устранить действия нарушителей, направленные на нарушение работоспособности ИС, на активизацию закладок, внедренных в систему на этапе проектирования АИС.

Типовая методика анализа защищенности включает использование следующих методов:

- изучение исходных данных по АС;

- оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;

- анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима ИБ и оценка их соответствия требованиям существующих нормативных документов а так же их адекватности существующим рискам;

- ручной анализ конфигурационных файлов маршрутизаторов, МЭ, и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а так же других критических элементов сетевой инфраструктуры;

- сканирование внешних сетевых адресов ЛВС из сети Интернет;

- сканирование ресурсов ЛВС изнутри;

- анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных агентов.

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активно тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную, либо с использованием специализированных программных средств.

Объекты анализа защищенности

В качестве объектов анализа защищенности могут выступать:

- АС;

- СВТ;

- ВП;

- СЗИ.

Если АС рассматривается как объект защиты, то необходимо соблюдение некоторых требований. АС должна:

- находиться на строго ограниченной контролируемой территории;

- выполнять четко определенные функции, заранее определенные в документации;

- управляться подразделением организации, несущим ответственность за ее функционирование.