Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Диссертация'
Защита состоится «4» декабря 2003 года в __ часов на заседании Диссертационного Совета Д 212.232.48 по защите диссертаций на соискание ученой степени...полностью>>
'Документ'
Вопрос о том, что такое новая грамотность, грамотность в мире совре­менных информационных и коммуникационных технологий (ИКТ), — вопрос многоплановый,...полностью>>
'Документ'
(Грохот. На проезжую часть из окон близлежащих домов падают стулья, вещи. Крики женщин, плач детей. На улицу выскакивают эсэсовцы. Случайные прохожие...полностью>>
'Публичный отчет'
В соответствии с ч.5.1 ст. 36 Федерального закона от 06.10.2003 года № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Фе...полностью>>

Методические рекомендации по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов города Москвы Москва, 2006 г

Главная > Методические рекомендации
Сохрани ссылку в одной из сетей:

37



Методические рекомендации
по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов
города Москвы

Москва, 2006 г.

Аннотация

Настоящий документ определяет рекомендации по формированию требований обеспечения информационной безопасности в информационных системах и ресурсах органах исполнительной власти города Москвы, государственных органах и учреждениях города Москвы (далее ИСиР). Положения Методических рекомендаций распространяются на все информационно-телекоммуникационные системы государственных органов и организаций города Москвы и предназначены для должностных лиц государственных органов и учреждений города Москвы, участвующих в создании, модернизации и эксплуатации информационных систем и ресурсов.

Содержание

Введение 4

1.Требования к видам обеспечения информационной безопасности ИСиР 8

2. Рекомендации по определению объекта защиты и категории защищаемой информации 30

3. Рекомендации по описанию процесса обеспечения ИБ ИСиР 33

4. Рекомендации по определению уровня ИБ 63

5. Рекомендации по заданию требований по уровню ИБ 74

6. Рекомендации по способам формирования и контроля уровня защиты ИСиР 76

Приложения 93

Источники 152

Введение

Общие цели, задачи и основные направления обеспечения информационной безопасности – защиты информации, как важной составной части информационной сферы общественных отношений России, определены в документах государственного строительства. Указами Президента РФ введены в действие Концепция национальной безопасности Российской Федерации /1/ и Доктрина информационной безопасности Российской Федерации /2/. В Центральной федеральном округе РФ действует Концепция защиты информации /3/.

Основы государственной политики города Москвы по обеспечению информационной безопасности (ИБ) открытых и конфиденциальных информационных ресурсов города, учитывающие и дополняющие положения нормативно-правовой база РФ, определены Концепцией информационной безопасности в органах исполнительной власти города Москвы /4/.

Задачи правового, нормативного, научно-методического, технического и организационного обеспечения ИБ на доктринальном уровне определены как с точки зрения национальной безопасности, национальных интересов в информационной сфере так и, в прямой постановке, в выше указанных нормативно-правовых документах, государственных и международных нормативно-технических документах /5-14/.

Анализ поставленных задач обеспечения ИБ (приложение 1) выявляет их взаимосвязи, обусловленные политическими, экономическими, социальными корнями личных, общественных интересов и отраженные в требованиях по реализации принципа открытости общества в деятельности государственных органов, по соблюдению служебной тайны и др. Кроме того, постоянное совершенствование новых информационных технологий, хроническое запаздывание практики нормативно-правового обеспечения ИБ по сравнению с техническим выдвигает новые и новые проблемы обеспечения защиты информации. Причем упредить условия их порождающие на современном мировом и государственном уровнях развития информатики как правило не удается /15-17 и др./.

Указанные обстоятельства обуславливают главенство государственной политики при формировании видов обеспечения безопасности, в частности необходимость разработки научно-методических подходов по формированию требований обеспечения ИБ города Москвы, представленных настоящим документом.

На основе рассмотренных положений госполитики в области информационной безопасности должны формироваться общие требования по видам обеспечения ИБ: правового; нормативного; научно-методического; технического и организационного (формулируются в 1 разделе Методических рекомендаций), задающих руководства для решения поставленных задач обеспечения ИБ в городе Москве, методологию определения соответствующих подходов и рекомендации для определения, контроля требований и выполненных мероприятий по обеспечению ИБ (рассматриваются во 2-6 разделах).

Решение задач обеспечения ИБ связано с необходимостью учёта неопределённостей в описании возможных информационных воздействий на объекты защиты при определяющей роли человеческого фактора, что в свою очередь обуславливает необходимость формализации процессов обеспечения ИБ в целом и, в частности, выделения задач обеспечения ИБ, характеризуемых своими особенностями формирования требований.

Практика обеспечения ИБ информационных систем и ресурсов города Москвы (ИСиР) прежде всего, требует идентифицировать объекты защиты и категории защищаемой информации, принятые документом /18/. Установить и описать все угрозы безопасности, исходя из которых с учетом характеристик ИСиР определить необходимый уровень информационной безопасности ИСиР, характеризующийся определенной совокупностью требований ИБ и реализовать соответствующие этим требованиям методы и механизмы защиты. Планирование и документирование работ по результатам уже решенных задач задают направления разработки и реализации мероприятий по защите объектов. Поэтапное выполнение планов реализации мероприятий должно включать оценки и контроль достигнутого уровня ИБ.

В связи с изложенным, конкретные шаги по формированию и достижению необходимого уровня информационной безопасности ИСиР должны включать:

  • определение объекта защиты (ИСиР) и категории защищаемой информации;

  • описание процесса (моделирование) обеспечения ИБ ИСиР;

  • программирование необходимого уровня ИБ;

  • задание требуемого уровня ИБ;

  • определение мероприятий по защите ИСиР заданного уровня;

  • оценка и контроль уровня ИБ.

Требования к обеспечению ИБ, в виде рекомендаций, должны регулировать выполнение работ по формированию и достижению необходимого уровня информационной безопасности ИСиР.

Уровень ИБ определяется как мера соответствия текущего состояния ИСиР (модели, макета, опытного образца и т.п.) заданиям по всем видам обеспечения информационной безопасности, формулируемым как совокупность требований ИБ. Мера соответствия может определяться качественно и количественно в виде показателей соответствия.

В зависимости от целей уровень ИБ может быть требуемым и текущим. Требуемый уровень задается на начальном этапе создания ИСиР и может уточняться в зависимости от установленных критериев его достижения в процессе разработки и эксплуатации объекта защиты. В соответствии с положением /18/ для ИСиР в зависимости от категории информационных ресурсов (открытых и конфиденциальных) установлено два базовых уровня ИБ.

Требования ИБ задаются численно или в виде совокупности сформулированных требований. Базовый уровень ИБ представляет собой минимально необходимую совокупность требований.

По завершении очередного этапа создания, модернизации, установленного календарного периода (не менее года) эксплуатации должен определяться текущий уровень ИБ ИСиР в целях контроля его соответствия требуемому уровню. Определение и оценка уровня ИБ, адекватности создаваемых или готовых решений защиты задаваемым требованиям к уровню информационной безопасности ИСиР должны выполняться специалистами прошедшими квалификационный отбор. Специалисты, разрабатывающие и реализующие планы мероприятий обеспечения ИБ, выполняющие работы по заданию и оценке уровня ИБ должны иметь государственный диплом специалиста в области информационной безопасности, знать множество методов, механизмов и средств защиты, владеть способами их декомпозиции и классификации в целях определения защитных свойств ИСиР, выбора взаимодополняющего комплекса универсальных и уникальных методов, пригодных для парирования широкого спектра угроз и т.п.

1.Требования к видам обеспечения информационной безопасности ИСиР

1.1. Правовое, нормативное, методическое обеспечения ИБ

Все виды обеспечения ИБ города Москвы, исходя из ранее рассмотренных во Введении задач, должны быть сформированы на основе документов, официально изданных органами власти России и города Москвы, а также уполномоченными ими органами управления (ведомствами) и компетентными международными организациями.

Агрегирование официальных полномочий органов власти позволяет выделить следующие уровни организации и управления в области информационной безопасности.

1. Макроуровень – Российская Федерация, ее компетентные госведомства и международные организации.

2. Метауровень – город Москва и компетентные ведомства Правительства Москвы.

3. Микроуровень – предприятие, организация – владелец информационных систем и ресурсов города, ее подразделения и специалисты в области обеспечения ИБ.

Причем обеспечение ИБ нижележащего уровня иерархии базируется на всех документах вышележащих уровней.

Документальное оформление правового, нормативного и методического обеспечений ИБ должно быть обязательным для руководства при решении задач технического обеспечения ИБ города Москвы и выделено в следующие группы документов: правовые, организационно-распорядительные, нормативно-технические и методические документы.

Документы правового нормативного обеспечения ИБ макроуровня представлены в приложении 2. Правовое обеспечение ИБ города Москвы закреплено в ряде законодательных актов и концепций безопасности.

Закон города Москвы от 24.10.2001 № 52 «Об информационных ресурсах и информатизации города Москвы» регулирует правовые отношения по формированию и использованию информационных ресурсов города Москвы и созданию, эксплуатации информационных систем, содержащих указанные ресурсы. В частности, Закон регулирует деятельность и полномочия органов исполнительный власти Москвы, организаций города в области обеспечения информационной безопасности.

Постановлением Правительства Москвы от 22.08.2000 № 654-ПП утверждена Концепция безопасности Москвы. В качестве самостоятельного раздела в рамках Концепции выделены информационные угрозы, включая предпосылки, усугубляющие их возникновение.

Официально принятая система взглядов Правительства Москвы на цели, задачи, основные принципы и направления деятельности в области информационной безопасности изложена в Концепции информационный безопасности в органах исполнительной власти города Москвы, утвержденной Мэром Москвы 07 сентября 2005 г. Реализация положений второй части Концепции – «Конфиденциальные и открытые информационные ресурсы» /4/ должна способствовать обеспечению прав собственников информационных систем и ресурсов, гармоничному развитию информационной инфраструктуры, движению к современному информационному обществу, закреплению прав и свобод горожан в условиях возможных внешних и внутренних угроз информационной безопасности.

Правовые документы государственной политики ИБ макроуровня, приведенные в приложении 2 и метауровня Правительства Москвы, описанные выше, составляют квалификационный минимум требований к правовому обеспечению ИБ ИСиР.

Структура и примерный состав требуемого правового нормативного обеспечения города Москвы представлены в табл.1.1.

Примерный состав документов правового нормативного обеспечения
информационной безопасности города Москвы

Таблица 1.1

Состав нормативного обеспечения ИБ города Москвы должен включать следующие основные документы метауровня:

  • Основные направления политики информационной безопасности Правительства Москвы до 2010 года.

  • Положение о защите информации в ИСиР.

  • Положение о реестре конфиденциальной информации, содержащейся в ИСиР.

  • Положение о порядке организации и проведения работ по защите информации при ее автоматизированной обработке.

  • Положение о порядке разработки систем защиты информации в автоматизированных системах города Москвы.

  • Положение о порядке проведения эксплуатации систем защиты информации в автоматизированных системах города Москвы.

  • Положение о порядке проведения контроля защищенности автоматизированных системах города Москвы.

  • Положение об аттестации автоматизированных систем по требованиям безопасности информации города Москвы.

  • Положение о порядке обеспечения катастрофоустойчивости автоматизированных систем органов исполнительной власти города Москвы.

Перечисленные нормативные документы Правительства Москвы в совокупности с нормативами макроуровня, приведенными в приложении 2, составляют, с учетом документов микроуровня, квалификационный минимум требований к нормативному обеспечению ИБ ИСиР.

Для обеспечения установленного режима информационной безопасности на микроуровне, организационно-распорядительные документы организации, составляющие ее политику информационной безопасности, должны включать:

  • меры по организации защиты технологических процессов, применительно к специфике отраслей городского хозяйства;

  • правила представления информации, ведения делопроизводства и документооборота;

  • правила использования рабочего стола и персонального компьютера;

  • меры по обеспечению безопасности речевой информации;

  • меры по обеспечению информационной безопасности в ИСиР, включающие, в том числе:

- порядок оформления, категорирования, предоставления доступа к информационным ресурсам ИСиР;

- управление доступом к информационным системам, локальной и корпоративной сетям, приложениям и компьютерам;

- требования по использованию паролей;

- требования по защите оборудования, в том числе оборудования, оставляемого без присмотра;

- требования по обеспечению антивирусной защиты;

- требования к администрированию компьютерных систем и вычислительных сетей

- правила работы с носителями информации и их защиты;

- правила обмена данными и программами;

- правила проведения аудита (контроля) состояния информационной безопасности объектов информатизации;

  • регламенты взаимодействия с компонентами комплексной системы информационной безопасности города Москвы (КСИБ): Системы Удостоверяющих центров, Центра мониторинга событий информационной безопасности города, Защищенного центра хранения и обработки данных и др.;

  • меры по обеспечению физической безопасности оборудования и другие.

Перечисленные требования, нормы и правила должны быть описаны в нормативных документах микроуровня.

Методическое обеспечение ИБ должно предоставлять специалистам, ответственным за решение конкретных задач безопасности, рекомендации по вопросам лицензирован, сертификации, стандартизации, задания и контроля выполнения требований по ИБ, оценки эффективности систем и средств обеспечения информационной безопасности. По каждой из проблем обеспечения ИБ, требующей методической поддержки должен разрабатываться соответствующий документ. Его статус и порядок разработки и введения в действие определяет уполномоченный орган по управлению информатизации города Москвы.

1.2. Техническое обеспечение ИБ

Техническое обеспечение ИБ включает технологии, механизмы и средства, позволяющие реализовать заданный уровень информационной безопасности каждой конкретной информационной системы и ресурса города Москвы и компонентов инфраструктуры КСИБ путем выполнения комплекса организационно-технических мероприятий.

При выполнении мероприятий обеспечения ИБ должны быть реализованы требования ИБ к технологическим процессам обработки информации в ИСиР с учетом специфики отраслей хозяйства города и территориального управления, к технологии создания и применения систем защиты ИСиР (на основе модели жизненного цикла автоматизированной системы), а также требования ИБ к механизмам и средствам защиты (далее - требования ИБ).

Требования ИБ должны определять содержание и цели деятельности организации комплексов городского хозяйства Москвы и территориального управления, включая КСИБ, в рамках процессов управления информационной безопасностью города. В каждой отрасли городского хозяйства (по принадлежности) и территориального управления должны быть определены требования ИБ применительно к специфике отрасли, реализующей в ИСиР следующие технологические процессы:

  • банковских платежей органов власти города Москвы;

  • имущественных отношений собственности города Москвы;

  • земельных отношений собственности города Москвы;

  • проектирования, строительства, реконструкции города Москвы;

  • обеспечения функционирования экологически опасных производств, предприятий энергетики, транспорта и жизнеобеспечения города Москвы;

  • обеспечения функций управления городом Москва;

  • делопроизводства и документооборота органов власти города Москвы;

  • использования ресурсов Интернет.

Система мер и средств обеспечения ИБ технологических процессов отраслей городского хозяйства и территориального управления Москвы должна соответствовать требованиям к видам обеспечения ИБ, приведенных в разделе 1 настоящих Методических рекомендаций и иных нормативных документов по вопросам информационной безопасности, действие которых распространяется на ИСиР и КСИБ в целом. Требующие защиты технологические процессы обработки информации должны быть однозначно определены в нормативно-методических документах организации комплексов городского хозяйства и территориального управления Москвы.

Результаты технологических операций по обработке информации защищаемых технологических процессов должны быть контролируемы (проверены) и удостоверены лицами/автоматизированными процессами. Лица/автоматизированные процессы, осуществляющие обработку критичной информации и контроль (проверку) результатов обработки, должны быть независимы друг от друга.

ИБ ИСиР должна обеспечиваться на всех стадиях жизненного цикла информационных систем, автоматизирующих технологические процессы комплексов городского хозяйства, территориального управления, органов власти и организаций города с учетом всех сторон, вовлеченных в процессы создания и применения АС (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации).

При заказе АС стадии, этапы работ и процессы, относящиеся к жизненным циклам, рекомендуется определять в соответствии с ГОСТ 34 группы и документом /6/. Владелец ИСиР в процессе ее жизненного цикла должен обеспечить выполнение следующих мероприятий в области защиты информации.

На предпроектной стадии создания ИСиР различного уровня и назначения (доработки системы в части обеспечения защиты информации) выполняются следующие работы:

  • обследование ИСиР и построение модели объекта защиты, категорирование информации, циркулирующей в системе; задание уровня информационной безопасности ИСиР;

  • разработка и анализ моделей угроз, уязвимостей ИСиР, способов их нейтрализации;

  • разработка концептуальных (стратегических) подходов к организации защиты объекта применительно к условиям жизнедеятельности данной организации, тактики обеспечения информации безопасности организации (организационных и технических решений по защите объекта, реализующие безопасный режим работы), технических требований к защите информации ИСиР и технических заданий.

На стадии проектирования ИСиР (доработки, модификации) должны быть выполнены следующие работы:

  • разработка (эскизное, техническое и рабочее проектирование) проектных решений по обеспечению защиты информации ИСиР, средств защиты информации, исходя из заданного уровня информационной безопасности ИСиР;

  • реализация системы мероприятий по обнаружению, локализации, нейтрализации воздействия угроз безопасности информации и устранению уязвимостей;

  • реализацию плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению, включая определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, разработку организационно-распорядительных документов, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации.

На стадии ввода в действие ИСиР выполняются следующие работы:

  • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСиР;

  • приемо-сдаточные испытания средств защиты информации;

  • проведение аттестации объектов информатизации (ИСиР) в соответствии с действующими нормативно-техническими документами.

Аттестация АС на соответствие требованиям информационной безопасности проводиться в установленном в организации (предприятии) порядке комиссией с привлечением необходимых специалистов или аккредитованными в установленном порядке органами по аттестации в соответствии с закрепленной "Аттестатом аккредитации" за этим органом области аккредитации.

На стадиях, связанных с разработкой ИСиР (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должны применяться технологии разработки, позволяющие избежать:

  • неверной формулировки требований к АС;

  • выбора неадекватной модели жизненного цикла АС, в том числе неадекватного выбора процессов создания, эксплуатации АС и вовлеченных в них участников;

  • принятия неверных проектных решений;

  • внесения разработчиком дефектов на уровне архитектурных решений;

  • внесения разработчиком недокументированных возможностей в АС;

  • неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к АС;

  • разработки некачественной документации;

  • приемки АС, не отвечающей требованиям заказчика.

На стадии эксплуатации в соответствии с документом ISO TR 13569 должна быть обеспечена защита от следующих угроз:

  • умышленное несанкционированное раскрытие, модификация или уничтожение информации;

  • неумышленная модификация или уничтожение информации;

  • недоставка или ошибочная доставка информации;

  • отказ в обслуживании или ухудшение обслуживания.

Кроме этого, актуальной является угроза отказа от авторства сообщения.

На всех стадиях жизненного цикла АС должно быть организован авторский надзор и сопровождение АС. В процессе сопровождения АС должна быть обеспечена защита от угроз:

  • внесения изменений в АС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;

  • невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния АС, если это не противоречит требованиям системы сертификации.

Эксплуатация ИСиР должна осуществляться в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией. В единой информационной среде и на объектах защиты в процессе эксплуатации необходимо вести мониторинг и контроль состояния защищенности, проводить необходимые доработки и модернизация ИСиР.

На стадии снятия с эксплуатации должно быть обеспечено удаление из всех технических средств (из устройств долговременной памяти) информации, несанкционированное использование которой может нанести ущерб деятельности организации. С внешних носителей информация удаляется в соответствии со сроками ее хранения.

Состав и содержание работ, проектной, проектно-сметной и эксплуатационной документации на каждой из стадий жизненного цикла ИСиР определяются действующими нормативно-техническими документами и договорами на выполнение работ. Требования ИБ должны включаться во все договора и контракты (технические задания) на проведение работ или оказание услуг на всех стадиях жизненного цикла ИСиР.



Скачать документ

Похожие документы:

  1. Мы живем в мире мифов и стереотипов, не замечая подчас, что они уже устарели и стали тормозить развитие той или иной деятельности

    Документ
    Мы живем в мире мифов и стереотипов, не замечая подчас, что они уже устарели и стали тормозить развитие той или иной деятельности. На рубеже ХХ-ХХI веков это произошло с деятельностью по обеспечению информационной безопасности (ДОИБ),
  2. Методические рекомендации по формированию школьных и сетевых образовательных программ г. Томск- 2009

    Методические рекомендации
    6. Приложение 2. Дополнительная образовательная программа раздела внеучебной деятельности «Научно-познавательная деятельность» «Юный исследователь» (для обучающихся в 1-4 классах начальной школы)
  3. Методические рекомендации по организации образовательного процесса в малокомплектных общеобразовательных учреждениях г. Томск 2009

    Методические рекомендации
    1. Шушпанова О.В., Сартакова Е.Е., Н.А.Лахтикова Методические рекомендации по организации образовательного процесса в малокомплектных общеобразовательных учреждениях Томской области на 2009-2010 учебный год
  4. Методические рекомендации для студентов заочного отделения москва 2009

    Методические рекомендации
    Перед вами - методические рекомендации, которые помогут вам освоить курс «Введение в теорию журналистики». Учебный материал курса является базой для успешного овладения вами всех дисциплин учебного плана по специальности «Журналистика»
  5. Методические рекомендации по подготовке к зачету, экзамену и государственному экзамену в Высших учебных заведениях Российской Федерации

    Методические рекомендации
    Государственное управление: понятие, объект и предмет исследования, основные принципы формирования системы государственного управления, перспективы развития.

Другие похожие документы..