- •Лабораторная работа №1 Изучение содержания и последовательности работ по защите информации.
- •Формирование требований к защите информации, содержащейся
- •2. Разработка ксзи информационной системы
- •3. Внедрение ксзи информационной системы
- •4. Аттестация информационной системы и ввод ее в действие
- •5. Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
- •6. Обеспечение защиты информации при выводе из эксплуатации
- •Лабораторная работа №2 Изучение методов комплексного исследование объекта информатизации
Лабораторная работа №1 Изучение содержания и последовательности работ по защите информации.
При создании комплексной системы защиты конфиденциальной
информации необходимо защищать информацию во всех фазах ее
существования - документальной (бумажные документы, микрофильмы и
т.п.), электронной, содержащейся и обрабатываемой в информационных
системах и отдельных средствах вычислительной техники, включая
персонал, который ее обрабатывает - всю информационную инфраструктуру.
При этом защищать информацию необходимо не только от
несанкционированного доступа к ней, но и от неправомерного вмешательства
в процесс ее обработки, хранения и передачи на всех фазах, нарушения
работоспособности информационной системы, воздействия на персонал и
т.п.
Целью работы должно являться построение комплексной системы
защиты конфиденциальной информации (далее по тексту КСЗИ). Это
предполагает необходимость использования, создания и разработки
совокупности организационных и технических элементов КСЗИ,
взаимообусловленных и взаимоувязанных, и базируется на использовании
методологии построения комплексной системы защиты конфиденциальной
информации.
Процесс построения КСЗИ включает следующие этапы:
Формирование требований к защите информации, содержащейся в
информационной системе.
Разработка КСЗИ информационной системы.
Внедрение КСЗИ информационной системы
Аттестация информационной системы по требованиям защиты
информации (далее - аттестация информационной системы) и ввод ве в
действие.
Обеспечение защиты информации в ходе эксплуатации
аттестованной информационной системы
Обеспечение защиты информации при выводе из эксплуатации
аттестованной информационной системы или после принятия решения об
окончании обработки информации.
Формирование требований к защите информации, содержащейся
информационной системе.
Формирование требований к защите информации, содержащейся в
информационной системе, осуществляется обладателем информации с
учетом ГОСТ Р 51583 «Защита информации. Порядок создания
автоматизированных систем в защищенном исполнении. Общие положения»
(далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации.
Автоматизированные системы в защищенном исполнении. Общие
требования» (далее - ГОСТР 51624) и втом числе включает:
принятие решения о необходимости защиты информации,
содержащейся в информационной системе;
классификацию информационной системы по требованиям защиты
информации (далее - классификация информационной системы);
определение угроз безопасности информации, реализация которых
может привести к нарушению безопасности информации в информационной
системе ‚ и разработку на их основе модели угроз безопасности информации;
определение требований к системе защиты информации
информационной системы.
1.1. При принятии решения о необходимости защиты информации,
содержащейся в информационной системе, осуществляется:
Анализ целей создания информационной системы и задач,
решаемых этой информационной системой.
Определение информации, подлежащей обработке в
информационной системе
Анализ нормативных правовых актов, методических документов и
национальных стандартов, которым должна — соответствовать
информационная система.
Принятие решения о необходимости создания КСЗИ
информационной системы, а также определение целей и задач защиты
информации в информационной системе, основных этапов создания КСЗИ
информационной системы и функций по обеспечению защиты информации,
содержащейся в информационной системе, обладателя информации.
1.2. Классификация информационной системы может проводиться в
зависимости от значимости обрабатываемой в ней информации, способов её
обработки и масштаба информационной системы.
1.3. Угрозы безопасности информации определяются по результатам
оценки возможностей (потенциала, оснащенности и мотивации) внешних и
внутренних нарушителей, анализа возможных уязвимостей информационной
системы, возможных способов реализации угроз безопасности информации и
последствий от нарушения свойств безопасности информации
(конфиденциальности, целостности, доступности).
1.4. Требования к системе защиты информации информационной
системы определяются в зависимости от уровня (класса) защищенности
информационной системы и угроз безопасности информации, включенных в
модель угроз безопасности информации.