- •Аннотация
- •1. Разработка отчета об обследовании
- •2. Разработка Модели угроз и нарушителя безопасности информации
- •3. Разработка технического задания на создание системы защиты информации
- •4. Разработка технического проекта системы защиты конфиденциальной информации
- •Приложение 1 – Список используемой литературы
- •Приложение 2 – Задание
- •Приложение 3 – Пример схемы ЛВС организации
- •Приложение 4 – Пример схемы информационных потоков ИСПДн/АС
2.Разработка Модели угроз и нарушителя безопасности информации
Входе р азработка модели угроз информации (по требования нормативных документов ФСТЭК) должны быть сформированы:
− описания объекта защиты (цели защиты, состав и структура ИС, информационная характеристика ИС, описание информационных и технологических процессов);
− перечня возможных угроз; − оценки исходной защищенности ИС; − оценок возможности угроз; − оценок опасности угроз;
− определенного перечня актуальных угроз; − требований к классам средств защиты.
Входе разработке модели нарушителя информации (по требованиям нормативных документов ФСБ) должны быть сформированы:
− описания объекта защиты (цели защиты, состав и структура ИС, информационная характеристика ИС, описание информационных и технологических процессов);
−описания угроз (модель угроз);
−типизации нарушителей;
−предположений об имеющейся у нарушителей информации;
−предположений об имеющихся у нарушителей средствах атак;
−предположений об ограничениях на возможности нарушителей;
−предположений о возможностях нарушителей каждого типа (с учетом ограничений) и способов осуществления атак;
−выводов о типах нарушителей, требуемых классах средств криптографической защиты информации.
Также, по итогу разработки Модели угроз и нарушителя безопасности информации (МУН) должна быть проведена итоговая классификация информационных систем (АС и ИСПДн) и разработана предварительная схема системы защиты информации и спецификации с указанием стоимости средств защиты информации и работ.
3. Разработка технического задания на создание системы защиты информации
Целью разработки технического задания на создание системы защиты информации (ТЗ) является – определение требования по обеспечению безопасности защищаемой информации и выполнению требований регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор)
Разработка ТЗ должна основываться на МУН.
Техническое задание должно разрабатываться в соответствии с требованиями ГОСТ 34.602-89.
4. Разработка технического проекта системы защиты конфиденциальной информации
В ходе проектирования системы защиты конфиденциальной информации должны быть выполнены следующие работы:
−сформирован перечень контрмер, нейтрализующих или уменьшающих вероятность реализации угрозы безопасности информации;
−сформированы, обоснованы и описаны технические решения по защиты информации;
−сформированы, обоснованы и описаны организационные решения по защиты информации.
Разработка состава компонентов системы защиты должна проводится с использованием результатов сравнительного анализа средств защиты информации на основе методов экспертной оценки и факторного анализа. Выбор и сравнение, в общем случае, производится для контрмер, реализующих:
−контроль доступа;
−контроль целостности;
−регистрацию и учет;
−функции управления;
−функции межсетевого экранирования;
−антивирусную защиту информацию;
−функции анализа политик безопасности и анализа защищенности;
−криптографическую защиту информации.
Технический проект должен разрабатываться с учетом требований ГОСТ 34.201-89
и РД 50-34.698-90;
Технический проект должен иметь с своем составе как минимум следующие документы:
−ведомость технического проекта;
−пояснительная записка к техническому проекту;
−описание комплекса технических средств (в данном разделе помимо описание
–должно быть обоснования выбора средств защиты информации);
−схема структурная комплекса технических средств;
−схема организационной структуры;
−схема функциональной структуры;
−ведомость покупных изделий.