Главная страница

Все самое интересное теперь тут zashitapd.blogspot.com

ссылка на мой блог   тут

Тестирование проводиться с целью объективного подтверждения реального состояния безопасности информации на объекте.

Методы тестирования:

- обследование реальных условий размещения и использования оборудования;

- испытание функций защиты от НСД с помощью тестовых средств.

- тестовый запуск средств защиты;

- изменение и оценка физических параметров технических средств;

- моделирование действий злоумышленника.

Определение следующих параметров:

-реальный состав и расположение объектов испытаний;

-реальный размер контролируемой зоны;

-реальные условия размещения и использования средств обработки и защиты информации;

-использующиеся механизмы защиты общесистемного программного обеспечения;

-минимальные значения расстояний от источников сигнала до границы контролируемой зоны.

Обследование реальных условий размещения и использования оборудова ... Читать дальше »

Оценка исходных данных.

 Осуществляется изучение  и анализ обстановки и выявление актуальных угроз безопасности. На данном этапе формируется модель угроз. Для этого могут использоваться следующие документы: ГОСТ ИСО/МЭК "Критерии оценки безопасности информационных технологий" также и международные стандарты BS 7799 и ISO/IEC  17799-00.

Результат данного этапа "Модель актуальных угроз" 

Структура документа:

1. Введение

1.1. Обозначения и сокращения.

1.2. Законодательная, нормативная и методическая база.

1.3. Термины и определения.

2. Описание информационной системы

2.1. Общие сведения.

... Читать дальше »

1. Важным этапом в проведении аудита считается сбор исходных данных.

Методы сбора исходных данных:

- Запрос необходимых документов;

- Анкетирование сотрудников;

- Анализ исходных данных (агрегирование и инференция).

Общие исходные данные:

- Полное,точное наименование системы и ее назначение;

- Схема организационной структуры пользователей;

- Общая функциональная схема;

- Техническое задание на создание системы;

- Перечень технических средств, входящих в информационную систему;

- Перечень программного обеспечения с разделением на общесистемное и прикладное ПО;

- Описание технических процессов;

- Перечень помещений в которых размещается информационная система;

- План размещения ОТСС и ВТСС;

- Схема с границей КЗ;

- Схемы коммуникаций ( электропитание, передача данных,заземления,иные коммуникации);

- Сведения о система ... Читать дальше »

Рассмотрим этапы Аудита .

1. Планирование.

Сбор исходных данных, определение степени детализации.

2. Оценка исходных данных.

Формирование угроз, и уязвимостей.

3.Обследование техническими средствами.

Проверка исходных данных с помощью технических программ.

4.Анализ.

Определение требований к системе.

5.Разработка системы защиты

Проработка практической реализации требований предъявляемых к системе.

6. Документирование.

Оформление полученных результатов.

В следующих статьях на тему "делимся опытом" буду рассказывать о всех основных этапах аудита.

Лицензирование. ФСТЭК информирует

ФСТЭК опубликовала требования к соискателям лицензий на ТЗКИ и производство СЗИ, разъясняющие положения нового 79 ПП по лицензированию:

Перечень обо ... Читать дальше »