Загрузил elvinaiskuzhina4782

Требование и оформление проектной документации по иб

реклама
Искужина Эльвина
БИТ-3ОЗИ212С
Лабораторное занятие № 5-6. Требования к оформлению проектной документации по информационной
безопасности (4 часа)
Цель: практическое освоение методов и практик составления документации с учетом требования
регуляторов по информационной безопасности и других нормативных документов.
Содержание:
А) выполнение задания следует начинать после ознакомления с материалами лекции 12. Сначала
надо сделать 2-часовое задание №1.
Б) На следующем практическом занятии рекомендуется сделать задание 2
А) 1. ГОСТ 34.602 устанавливает правила и методы проведения инспекций защиты информации. Он
описывает процедуры, порядок проведения инспекций, определяет взаимодействие субъектов
инспекций, основные требования к инспекторам и другие аспекты, связанные с обеспечением
безопасности информации при проведении инспекций.
2. ГОСТ Р 51583 и ГОСТ Р 51624 устанавливают требования к информационным технологиям и
системам, обеспечивающим защиту информации и информационной безопасности. ГОСТ Р 51583
определяет основные термины и определения в области информационной безопасности, а ГОСТ Р
51624 содержит методы и требования к обеспечению защиты информации в информационнотелекоммуникационных системах.
3. Процесс создания и внедрения системы защиты на компонентах информационной инфраструктуры
организации отражается в следующих документах:
- ГОСТ Р 51624 "Информационная технология. Комплексные защитные меры для обеспечения
информационной безопасности. Основные положения" - описывает общие требования к
обеспечению информационной безопасности.
- ГОСТ 34.201-2020 "Информационная технология. Информационная безопасность. Идентификация
и аутентификация. Общие принципы и требования к организации" - устанавливает требования к
идентификации и аутентификации в системах информационной безопасности.
4. Требования к оформлению технического задания на разработку системы защиты информационной
системы можно найти в ГОСТ Р ИСО/МЭК 15408-1, который регламентирует процедуру сертификации
средств информационной безопасности.
5. Подобное техническое задание обычно состоит из следующих разделов:
- Цели и задачи проекта
- Описание системы защиты информации
- Требования к функциональности
- Требования к безопасности
- Требования к производительности
- План работ
- Критерии успешного завершения проекта
6. При внедрении системы защиты информации в информационную систему организация/компания
должна разрабатывать следующие организационно-распорядительные документы:
- Политику информационной безопасности
- Положение об информационной безопасности
- Правила пользования информационными ресурсами
- Инструкции по обработке конфиденциальной информации
- Документацию по управлению доступом и аудиту информационной безопасности
- Процедуры и инструкции по обеспечению безопасности информации, включая системы
электронного документооборота, обработку коммерческой тайны и персональных данных
сотрудников и клиентов.
Б) Нормативные документы по информационной безопасности
1. Организационные меры по информационной безопасности
1.1 Общие положения
1.1.1 Отдел информационной безопасности ответственен за разработку, внедрение и соблюдение политики
информационной безопасности в организации.
1.1.2 Сотрудники обязаны проходить обучение по вопросам информационной безопасности и выполнять все
предписания по обеспечению безопасности информации.
1.2 Политика паролей
1.2.1 Сотрудники обязаны регулярно менять пароли к учетным записям, использовать сложные пароли и не
передавать их третьим лицам.
1.2.2 Организация предоставляет средства для хранения паролей сотрудников в безопасном виде.
1.3 Управление доступом
1.3.1 Управление доступом к информационным ресурсам осуществляется на основе принципа минимальных
привилегий.
1.3.2 Администраторы информационных систем обязаны регулярно проводить аудит доступа к данным.
2. Архитектура локальной сети
ГОСТ 34.602-89
3. Перечень объектов схемы
Объект
Описание
Сервер
Центральный вычислительный узел сети
Клиентские ПК
Персональные компьютеры сотрудников
Маршрутизатор
Устройство для маршрутизации сетевого трафика
Коммутатор
Устройство для передачи данных в локальной сети
Использованные нормативные документы и источники
1. ГОСТ 34.602-89 "Информационная технология. Автоматизированные системы. Общие требования по
защите информации от несанкционированного доступа"
2. Положение о безопасности информации в организации
Библиографические ссылки
1. ГОСТ 34.602-89 "Информационная технология. Автоматизированные системы. Общие требования по
защите информации от несанкционированного доступа"
2. Положение о безопасности информации в организации
Сноски
1. ГОСТ 34.602-89 https://www.gost.ru/wps/wcm/connect/rosstandard_ru/gost_rossii/standarts/catalog/catalog/perechen_t
r_by_docinfo?srv=cmpnt&cmpntname=standard_auto_document&parentnav=resurscenter&standart_id=4
288
2. Положение о безопасности информации в организации - интерно
Скачать