Основные мероприятия по ЗИ от несанкционированного доступа и неправомерных действий при её обработке в автоматизированных системах: краткая характеристика.
Вообще все мероприятия по ЗИ от несанкционированного доступа и неправомерных действий при их обработке в автоматизированных системах включают:
– управление доступом;– регистрацию и учет;– обеспечение целостности;– контроль отсутствия недекларированных возможностей;
– антивирусную защиту;– обеспечение безопасного межсетевого взаимодействия АС;
– анализ защищенности;– обнаружение вторжений.
1)Анализ сетевого трафика. Применение надёжной аутентификации, например, использование одноразовых паролей. Анти-снифферы – аппаратные или программные средства, способные выявить работу сниффера в сегменте сети. Применение коммутируемой инфраструктуры сети (множество сегментов сети -коммутаторы и маршрутизаторы). Применение криптографических методов. 2) Сканирование сети - использовании системы обнаружения вторжений. 3)Выявление пароля - надёжные пароли длина 8 и более символов. 4)IP-spoofing или подмена доверенного объекта сети - контроль доступа, фильтрация внедрение дополнительных методов аутентификации 5)Отказ в обслуживании - Функции анти-спуфинга, функции анти-DoS - правильная конфигурация на маршрутизаторах и межсетевых экранах. Ограничение объема трафика 6)Атаки на уровне приложений - чтение и анализ системных и сетевых журналов (логов) на предмет подозрительных проявлений, отслеживание уязвимостей в новом программном обеспечении с помощью специализированных сайтов
19. Понятие аттестации объекта информатизации. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации. Регламентирующие документы.
Согласно СТР-К объекты информатизации должны быть аттестованы на
соответствие требованиям по ЗИ.
Аттестация – комплекс организационно-технических мероприятий, в результате которых посредством специального документа – "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Аттестация обязательна, если это предусмотрено нормативно-правовыми актами (ФЗ, Указами, Постановлениями, приказами, зарегистрированными в Минюсте).
Пример: все объекты информатизации, обрабатывающие ГТ, все ГИС обрабатывающие ИОД.
Аттестат выдается на срок до 3-х лет.
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации определяется следующими документами:
– «Специальные требования и рекомендации по ЗИ,
составляющей государственную тайну, от утечки по техническим каналам»,
Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282;
– «Положение по аттестации объектов информатизации по требованиям
безопасности информации», утв Председателем Гостехкомиссии России 25 ноября 1994;
– «Методические рекомендации управлениям ФСТЭК России по федеральным округам об организации работ по аттестации объектов информатизации по требованиям безопасности информации, приказ Директора ФСТЭК России от 21 апреля 2006 года № 126.
ГОСТ РО 0043-003-2012 ЗИ. Аттестация объектов инф. Общие положения;
ГОСТ РО 0043-004-2013 ЗИ. Аттестация объектов инф. Программа и методики Ат. испытаний.
Порядок:
1) Подача заявки на аттестацию объекта информатизации.
2) Рассмотрение заявки на аттестацию, принятие решения на ее проведение, доведение решения до заявителя и органа по аттестации объектов информатизации.
3) Разработка программы и методики аттестационных испытаний.
4) Заключение договора на проведение аттестации объектов информатизации.
5) Проведение аттестационных испытаний объекта информатизации,
оформление материалов аттестационных испытаний.
6) Оформление, регистрация и выдача аттестата соответствия.
7) Осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных
объектов информатизации.