Александр Астахов
Десять ключевых средств контроля, пере численные ниже, представляют собой либо обя зательные требования, например, требования действующего законодательства, либо считают ся основными структурными элементами ин формационной безопасности, например, обуче ние правилам безопасности. Эти средства кон троля актуальны для всех организаций и сред функционирования АС и составляют основу си стемы управления информационной безопас ностью. Они служат в качестве основного руководства для организаций, приступающих к реализации средств управления информацион ной безопасностью. Ключевыми являются следующие средства контроля: • Документ о политике информационной безо пасности; • Распределение обязанностей по обеспече нию информационной безопасности; • Обучение и подготовка персонала к поддер жанию режима информационной безопасно сти; • Уведомление о случаях нарушения защиты; • Средства защиты от вирусов; • Планирование бесперебойной работы орга низации; • Контроль над копированием программного обеспечения, защищенного законом об ав торском праве; • Защита документации организации; • Защита данных; • Контроль соответствия политике безопасноти. Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильнос ти их реализации, а также анализ их адекватности рискам, существующим в данной среде функцио нирования. Составной частью работ по аудиту бе зопасности АС также является анализ и управле ние рисками. РД Гостехкомиссии России В общем случае в нашей стране при решении за дач защиты информации должно обеспечиваться соблюдение следующих указов Президента, фе деральных законов, постановлений Правительст ва Российской Федерации, РД Гостехкомиссии России и других нормативных документов: • Доктрина информационной безопасности Российской Федерации; • Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфи
денциального характера»; • Закон Российской Федерации «Об информа ции, информатизации и защите информа ции» от 20.02.95 N 24 ФЗ; • Закон Российской Федерации «О связи» от 16.02.95 N 15 ФЗ; • Закон Российской Федерации «О правовой охране программ для электронных вычисли тельных машин и баз данных» от 23.09.92 N3523 1; • Закон Российской Федерации «Об участии в международном информационном обмене» от 04.07.96 N 85 ФЗ; • Постановление Правительства Российской Федерации «О лицензировании отдельных видов деятельности» от 16.09.98г; • Закон Российской Федерации «О государст венной тайне» от 21 июля 1993 г; • ГОСТ Р 51583 «Защита информации. Поря док создания автоматизированных систем в защищенном исполнении». • Руководящий документ «Положение по атте стации объектов информатизации по требо ваниям безопасности информации» (Утверж дено Председателем Гостехкомиссии России 25.11.1994 г.); • Руководящий документ «Автоматизирован ные системы. Защита от несанкционирован ного доступа к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997); • «Положение о сертификации средств защи ты информации по требованиям безопаснос ти информации» (Постановление Правитель ства РФ № 608, 1995 г.); • Руководящий документ «Средства вычисли тельной техники. Защита от НСД к информа ции. Показатели защищенности от НСД к ин формации» (Гостехкомиссия России, 1992 г.); • Руководящий документ «Концепция защиты средств вычислительной техники от НСД к ин формации» (Гостехкомиссия России, 1992 г.); • Руководящий документ «Защита от НСД к информации. Термины и определения» (Гос техкомиссия России, 1992 г.); • Руководящий документ «Временное поло жение по организации разработки, изготов ления и эксплуатации программных и тех нических средств защиты информации от НСД в АС и СВТ» (Гостехкомиссия России, 1992 г.); • Руководящий документ «Средства вычисли тельной техники. Межсетевые экраны. За щита от НСД к информации. Показатели за
6
Made with FlippingBook - Online Brochure Maker