Студопедия

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника



Методы оценки информационной безопасности АС




Читайте также:
  1. CAPM (Модель оценки капитальных активов)
  2. CASE -технологии, как новые средства для проектирования ИС. CASE - пакет фирмы PLATINUM, его состав и назначение. Критерии оценки и выбора CASE - средств.
  3. Cоциологический анализ электорального процесса: проблемы и методы исследования, сферы применения результатов
  4. I. Декларация-заявка на проведение сертификации системы качества II. Исходные данные для предварительной оценки состояния производства
  5. I. Невербальные методы оценки.
  6. II. Слагаемые понятия безопасности
  7. II. Состав, порядок определения баллов оценки качественных критериев и оценки эффективности на основе качественных критериев
  8. III. Состав, порядок определения баллов оценки и весовых коэффициентов количественных критериев и оценки эффективности на основе количественных критериев
  9. V (пятая) группа по электробезопасности
  10. V. Результаты проведения специальной оценки условий труда

Аудит информационной безопасности – процесс сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников.

В число задач, решаемых при проведении аудита информационной безопасности АС, входят:

· Сбор и анализ исходных данных об организационной и функциональной структуре АС, необходимых для оценки состояния информационной безопасности.

· Анализ существующей политики обеспечения информационной безопасности на предмет полноты и эффективности.

· Построение модели нарушителей информационной безопасности.

· Построение модели угроз информационной безопасности по отношению к ресурсам АС, а также уязвимостей в существующей системе защиты, делающих возможным реализацию угроз информационной безопасности в АС.

· Анализ информационных и технологических рисков связанных с осуществлением угроз информационной безопасности.

· Осуществление тестовых попыток несанкционированного доступа к критически важным узлам ИС и определение уязвимостей в установках защиты данных узлов.

· Формирование рекомендаций по разработке (или доработке) Политики обеспечения информационной безопасности на основании анализа существующего режима информационной безопасности.

· Формирование предложений по использованию существующих и установке дополнительных средств защиты информации для повышения уровня надежности и информационной безопасности АС.

Проведение независимого аудита позволяет своевременно выявить существующие бреши и объективно оценить соответствие параметров, характеризующих режим информационной безопасности (ИБ), необходимому уровню. Для решения этих задач создаются специальные организации аудиторов в области информационной безопасности. Они ставят своей целью проведение экспертизы соответствия системы информационной безопасности определенным требованиям, оценки системы управления безопасностью, повышения квалификации специалистов в области информационной безопасности. Такие организации могут быть как государственными, так и иметь статус независимых, негосударственных.

Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.



Основными направлениями деятельности в области аудита безопасности информации являются

1 Аттестация объектов информатизации по требованиям безопасности информации

a. аттестация автоматизированных систем, средств связи, обработки и передачи информации,

b. аттестация помещений, предназначенных для ведения конфиденциальных переговоров,

c. аттестация технических средств, установленных в выделенных помещениях

2 Контроль защищенности информации ограниченного доступа

a. выявление технических каналов утечки информации и способов несанкционированного доступа к ней,

b. контроль эффективности применяемых средств защиты информации

3 Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН)



a. персональные ЭВМ, средства связи и обработки информации;

b. локальные вычислительные системы;

c. оформления результатов исследований в соответствии с требованиями Гостехкомиссии России.

4 Проектирование объектов в защищенном исполнении.

a. разработка концепции информационной безопасности (первая глава учебника);

b. проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;

c. проектирование помещений, предназначенных для ведения конфиденциальных переговоров.

Методы аудита информационной безопасности:

- Экспертно-аналитические методы - проверка соответствия обследуемого объекта установленным требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер ЗИ, а также соответствия реальных условий эксплуатации оборудования предъявляемым требованиям по размещению, монтажу и эксплуатации технических и программных средств.

- Экспертно-инструментальные методы - проведение проверки функций или комплекса функций ЗИ с помощью специального инструментария (тестирующих средств) и средств мониторинга, а также путем пробного запуска средств ЗИ и наблюдения реакции за их выполнением.

- Моделирование действий злоумышленника («дружественный взлом» системы ЗИ) применяются после анализа результатов, полученных в ходе использования первых двух групп методов, - они необходимы как для контроля данных результатов, а также для подтверждения реальных возможностей потенциальных злоумышленников (как внутренних, легально допущенных к работе с тем или иным уровнем привилегий в ИС, так и внешних – в случае подключения ИС к глобальным информационным сетям).



Каждый из вышеперечисленных методов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить. В качестве объекта аудита может выступать как АС в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.

Аудит безопасности состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач:

1. Разработка регламента проведения аудита

2. сбор исходных данных

3. анализ исходных данных с целью оценки текущего уровня безопасности

4. разработка рекомендаций по повышению уровня защиты АС.


Дата добавления: 2015-04-18; просмотров: 35; Нарушение авторских прав







lektsii.com - Лекции.Ком - 2014-2021 год. (0.015 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты