6.90M
Similar presentations:
Организация комплексной защиты информации на объектах информатизации
Организация комплексной защиты информации на объектах информатизации
Аудит безопасности информационных систем
Аудит безопасности информационных систем
Подразделения ТЗИ и их основные задачи
Подразделения ТЗИ и их основные задачи
Защита информации. Термины, понятия, определения. Тест
Защита информации. Термины, понятия, определения. Тест
Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
Методы обеспечения доверия к информационной безопасности на стадиях жизненного цикла АСУ
Методы обеспечения доверия к информационной безопасности на стадиях жизненного цикла АСУ
Стандарты информационной безопасности иностранных государств
Стандарты информационной безопасности иностранных государств
Методы и стандарты оценки защищенности компьютерных систем
Методы и стандарты оценки защищенности компьютерных систем
Техническая защита информации. Основные термины и определения
Техническая защита информации. Основные термины и определения
Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы

Polozhenie-po-Attestacii-Obuektov-Informatizacii 2 (5)

1.

Положение по Аттестации
Объ ектов Инф орматизации
Данное положение определяет требования и процедуру аттестации
объектов информатизации по требованиям безопасности информации.
Оно направлено на обеспечение надлежащего уровня защищенности
данных и информационных систем от несанкционированного доступа,
модификации, уничтожения или раскрытия.
ВЗ
по Владислава Зюзина

2.

Цели и Задачи Аттестации
1
1. Обеспечение
Безопасности
2
2. Улучшение Защиты
Проверка соответствия
Выявление и устранение
объектов информатизации
уязвимостей, повышение
установленным
устойчивости к угрозам.
требованиям безопасности.
3
3. Снижение Рисков
Создание условий для минимизации рисков, связанных с
информационной безопасностью.

3.

Виды и Содержание Аттестации
Типы Аттестации
Содержание Аттестации
Проверка технической документации, анализ угроз, оценка
Первичная: для новых или модернизированных объектов.
рисков, тестирование защитных механизмов, анализ
Периодическая: регулярная проверка соответствия.
Внеплановая: при внесении существенных изменений.
результатов и выдача заключения.

4.

Процедура Проведения
Аттестации
1
1. Подготовка
Разработка документации, формирование комиссии, определение scope.
2
2. Анализ
Изучение документации, выявление угроз, оценка рисков.
3
3. Тестирование
Проверка защитных механизмов, оценка эффективности мер.
4
4. Оформление Результатов
Составление заключения о соответствии, выдача сертификата.

5.

Требования к
Аттестованны м Объ ектам
Конф иденциальность
Целостность
Обеспечение защиты
Защита от
информации от
несанкционированных
несанкционированного
изменений, поддержание
доступа.
точности данных.
Доступность
Учет
Гарантия бесперебойной
Ведение записей о доступе к
работы и доступности данных.
информации, отслеживание
действий пользователей.

6.

Система Аттестационны х Документов
1. Заявка на Аттестацию
Заявка от организации, владеющей объектом.
2. Документация по Обеспечению Безопасности
Политика безопасности, инструкции, регламенты, схемы сети.
3. Протокол Тестирования
Записи о проведенных тестах, результатах, выявленных уязвимостях.
4. Заключение о Соответствии
Документ, подтверждающий соответствие объекта требованиям безопасности.
5. Сертиф икат
Оф ициальное подтверждение аттестации, выданное уполномоченным органом.

7.

Права, Обязанности и
Ответственность Сторон
Организация
Обеспечить доступ к объекту, предоставить документацию, устранить выявленные
недостатки.
Комиссия
Провести аттестацию, выдать заключение, предоставить рекомендации.
Уполномоченны й Орган
Выдать сертификат, контролировать соответствие объектов.

8.

Порядок Устранения Выявленных Недостатков
1. Выявление
1
Анализ отчетов, тестирования, инспекций.
2. Оценка
2
Определение приоритета и критичности.
3. Планирование
3
Разработка плана мер по устранению.
4. Реализация
4
Внедрение корректирующих действий.
5. Проверка
5
Повторное тестирование и проверка.

9.

Контроль за Состоянием
Аттестованны х Объ ектов
1
Регулярны е Проверки
Проведение периодических проверок.
2
Мониторинг Собы тий
Анализ логов, отслеживание инцидентов.
3
Аудиты
Независимая оценка соответствия требованиям.

10.

Заключение
Данное положение по аттестации объектов информатизации
обеспечивает необходимый уровень безопасности информации,
минимизируя риски и защищая интересы организации. Применение его
положений способствует созданию безопасной и надежной
информационной среды.
English     Русский Rules