Материал: Sb96067
17. Внедрение организационных мер защиты информации
|
|
Введение |
|
Проверка полноты |
|
ограничений на |
|
|
действия персонала |
||
и детальности |
|
(пользователей |
|
описания |
|
(операторского |
|
в организационно- |
При внедрении |
персонала), |
|
распорядительных |
администраторов, |
||
организационных |
|||
документах |
обеспечивающего |
||
мер защиты |
|||
по защите |
персонала), а также |
||
информации |
|||
информации |
на условия |
||
осуществляются |
|||
действий персонала |
эксплуатации, |
||
АСУ, направленных |
|
изменение состава |
|
на обеспечение |
|
и конфигурации |
|
защиты |
|
технических |
|
информации |
|
средств |
|
|
|
и программного |
|
|
|
обеспечения |
Отработка практических |
Реализация правил разграничения |
|
действий должностных лиц |
||
доступа, регламентирующих |
||
и подразделений, |
||
права доступа субъектов доступа |
||
обеспечивающих эксплуатацию |
||
к объектам доступа |
||
АСУ и защиту информации |
||
|
Установка и настройка средствзащиты информации осуществляется в случаях, если такие средства необходимы дляблокирования (нейтрализации) угроз безопасности информации, которые невозможно исключить настройкой (заданием параметров) программного обеспечения АСУ и (или) реализацией организационных мер защиты информации
Установка и настройка средств защитыинформации в АСУ должна проводиться в соответствии с эксплуатационной документацией на систему защиты АСУ и документацией на средства
защиты информации
При этом установка и настройка средств защиты информации должна обеспечивать корректность функционирования АСУ и совместимость выбранных средств защиты информации с программным обеспечением и техническими АСУ. Установленные и настроенные средства защиты информации не должны оказывать отрицательного влияния на штатный режим функционирования АСУ
21
18. Испытания, опытная эксплуатация, уязвимости
Предварительные испытания системы защитыАСУ проводятся с учетомГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем, стандартов организации» и включают проверку работоспособности системы защиты АСУ, а также принятие решенияо возможности опытной эксплуатации системы защиты АСУ
По результатам предварительных испытаний системы защиты АСУ могут разрабатываться предложения по корректировке проектных решений по АСУ и (или) ее системе защиты
Опытная эксплуатация системы защиты АСУ проводится с учетом ГОСТ 34.603, стандартов организации и включает проверку функционирования системы защиты АСУ, в том числе реализованных мер защиты информации, а также готовность персонала АСУ кэксплуатации системы защиты АСУ
По результатам опытной эксплуатации системы защиты АСУ могут разрабатываться предложения по корректировке проектных решений по АСУ и (или) ее системе защиты
Анализ уязвимостей АСУ проводится в целях оценки возможности преодоления нарушителем системы защиты АСУ и нарушения безопасного функционирования АСУ за счет реализации угроз безопасности информации
Анализ уязвимостей АСУ включает анализ уязвимостейсредств защиты информации, технических средств и программного обеспечения АСУ
Прианализе уязвимостей АСУ проверяется отсутствие уязвимостей средствзащиты информации, технических средств ипрограммного обеспечения, в том числе с учетом информации, имеющейся
уразработчиков иполученной издругих общедоступных источников, правильность установки и настройки средствзащиты информации, технических средств ипрограммного обеспечения,
атакже корректность работы средств защитыинформации, технических средств ипрограммного
обеспечения АСУ при их взаимодействии
По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование АСУ на проникновение. Указанное тестирование проводится, как правило, на макете (в тестовой зоне) АСУ
Вслучае выявленияуязвимостейв АСУ, приводящих квозникновениюдополнительных угроз безопасности информации, проводитсяуточнение модели угрозбезопасности информации
ипринеобходимостипринимаютсядополнительные меры защитыинформации, направленные на устранение выявленных уязвимостейилиисключающие возможность эксплуатации
нарушителем выявленных уязвимостей
Анализ уязвимостей АСУ проводится до ввода АСУ в промышленную эксплуатациюна этапах, определяемых заказчиком
22
19. Приемочные испытания
Приемочные испытаниясистемы защиты АСУ проводятся, как правило, в рамках приемочных испытаний АСУв целом с учетом ГОСТ 34.603 и стандартов организации
Входе приемочных испытаний должен быть проведенкомплекс организационных
итехнических мероприятий (испытаний), в результате которых подтверждается
соответствие системы защиты АСУ техническому заданию на создание (модернизацию) АСУ и (или) техническому заданию (частному техническому заданию) на создание системызащиты АСУ, а также заданным требованиям
Иные документы, |
|
разрабатываемые |
|
в соответствии |
|
с требованиями приказа |
|
ФСТЭКРоссии |
В качестве |
и требованиями стандартов |
исходных |
организации |
данных при |
|
приемочных |
Материалы предварительных |
испытаниях |
используются |
|
и приемочных испытаний |
|
системы защиты АСУ |
|
Результатыанализа |
Организационно- |
распорядительные |
|
уязвимостей АСУ |
документыпо |
|
защите информации |
Модель угроз безопасности информации, акт классификации АСУ
Техническое задание на создание (модернизацию) АСУ и (или) техническое задание (частное техническое задание) на создание системы
защиты АСУ
Проектная
иэксплуатационная
документация
на систему защиты АСУ
Приемочные испытания системы защиты АСУпроводятся в соответствии с программой и методикой приемочных испытаний. Результатыприемочных испытаний системы защиты АСУс выводом о ее соответствии установленным требованиям включаются в акт приемки АСУв эксплуатацию
По решению заказчика подтверждение соответствия системы защиты АСУтехническому заданию на создание (модернизацию) АСУи (или) техническому заданию (частному техническому заданию) на создание системызащиты АСУ, а также заданным требованиям
может проводиться в форме аттестации АСУна соответствие требованиям по защите информации. В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы ФСТЭК России
Ввод в действие АСУосуществляется с учетом ГОСТ 34.601, стандартов организации и при положительном заключении (выводе) в акте приемки о соответствии ее системы защиты установленным требованиям к защите информации
(или при наличии аттестата соответствия)
23
20. Обеспечение защиты информации в ходе эксплуатации АСУ |
|||
Контроль |
|
Планирование |
|
(мониторинг) |
|
мероприятий |
|
за обеспечением |
|
по обеспечению |
|
уровня защищенности |
|
защиты информации |
|
АСУ |
|
в АСУ |
|
|
Обеспечение защиты |
|
|
|
информации в ходе |
Обеспечение действий |
|
Управление |
эксплуатации АСУ |
в нештатных |
|
конфигурацией АСУ |
осуществляется |
(непредвиденных) |
|
и ее системы защиты |
оператором |
ситуациях в ходе |
|
|
в соответствии |
эксплуатации АСУ |
|
|
с эксплуатационной |
|
|
|
документацией |
|
|
Выявление |
на систему защиты |
Информирование |
|
и организационно- |
|||
инцидентов в ходе |
|||
распорядительными |
и обучение |
||
эксплуатации АСУ |
|||
документами по защите |
персонала АСУ |
||
и реагирование на них |
|||
информации |
|
||
|
|
||
|
и включает следующие |
|
|
|
процедуры |
|
|
Управление |
|
Периодический анализ |
|
|
угроз безопасности |
||
(администрирование) |
В ходе |
информации в АСУ |
|
системой защиты АСУ |
и рисков от их |
||
планирования |
|||
|
реализации |
||
|
мероприятий |
||
|
|
||
|
по обеспечению |
|
|
|
защиты |
|
|
Контроль |
информации |
Определение лиц, |
|
за выполнением |
в АСУ |
ответственных |
|
мероприятий |
осуществляются |
за планирование |
|
по обеспечению защиты |
|
и контроль |
|
информации в АСУ, |
|
мероприятий |
|
предусмотренных |
|
по обеспечению |
|
утвержденным планом |
Разработка, утверждение |
защиты информации |
|
|
в АСУ |
||
|
и актуализация плана |
||
|
|
||
|
мероприятий |
|
|
|
по обеспечению защиты |
|
|
|
информации в АСУ |
|
|
24
21.Обеспечение защиты информации в ходе действий
внештатных (непредвиденных) ситуациях
ив ходе информирования и обучения персонала
Резервирование программного обеспечения, технических средств, каналов передачи данных АСУ на случай возникновения нештатных (непредвиденных) ситуаций
Планирование мероприятий по обеспечению защиты информации в АСУ на случай возникновения нештатных (непредвиденных) ситуаций
В ходе обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации АСУ осуществляются
Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных (непредвиденных) ситуаций
Обучение и отработка действий персонала по обеспечению защиты информации в АСУ в случае возникновения нештатных (непредвиденных) ситуаций
Обеспечение возможности восстановления АСУ и (или) ее компонентов в случае возникновения нештатных (непредвиденных) ситуаций
Входе информирования
иобучения персонала АСУ осуществляются
Периодическое обучение персонала |
Периодическое информирование |
|
правилам эксплуатации системы |
||
персонала об угрозах безопасности |
||
защиты АСУ и отдельных средств |
||
информации, о правилах |
||
защиты информации, включая |
||
эксплуатации системы защиты АСУ |
||
проведение практических занятий |
||
и отдельных средств защиты |
||
с персоналом на макетах |
||
информации |
||
или в тестовой зоне |
||
|
25