Опубликован: 23.02.2018 | Доступ: свободный | Студентов: 1958 / 619 | Длительность: 13:24:00
Лекция 18:

Ввод в действие и эксплуатация аттестованных по требованиям безопасности информации объектов информатизации

< Лекция 17 || Лекция 18: 12 || Лекция 19 >
Аннотация: Порядок ввода и вывода из эксплуатации объекта информатизации, поддержание заданного уровня безопасности в ходе эксплуатации объекта информатизации, проведение планирования работ по защите информации и периодического контроля состояния защищенности аттестованного объекта информатизации.

Цель: формирование навыков поддержания заданного уровня безопасности аттестованного объекта информатизации в ходе его эксплуатации.

Ввод объекта информатизации в эксплуатацию производится на основании приказа руководителя организации только после получения "Аттестата соответствия…" на объект информатизации. Эксплуатация объекта информатизации должна осуществляться в строгом соответствии с предписаниями и эксплуатационной документацией в течение срока действия "Аттестата соответствия…".

Эксплуатация должна осуществляться в соответствии с установленным в организации порядком обработки информации ограниченного доступа, руководствуясь при этом разработанными в процессе аттестации инструкциями, положениями и документально установленными требованиями по защите информации.

Для поддержания в процессе эксплуатации объекта информатизации заданного уровня безопасности информации необходимо предусматривать соблюдение следующих основных положений и требований:

  • осуществлять допуск пользователей объекта информатизации к защищаемой информации в соответствии с порядком, установленным разрешительной системой допуска;
  • контролировать отсутствие посторонних лиц в момент обработки (обсуждения) защищаемой информации на объекте информатизации. При необходимости проведения уборки помещения, ремонтных и иных работ – они осуществляются с санкции руководителя в соответствии с установленным графиком и в обязательном присутствии сотрудника, ответственного за объект информатизации;
  • обеспечить отсутствие возможности несанкционированного (случайного) просмотра средств отображения информации сотрудниками, работающими в том же помещении, где размещен объект информатизации и не допущенными к обрабатываемой на нем информации;
  • установка новых программ на объекте информатизации, а также замена комплектующих средств вычислительной техники, входящих в состав объекта информатизации осуществляется совместно с администратором безопасности с разрешения органа по аттестации, проводившего аттестацию этого объекта информатизации;
  • ремонт технических средств, входящих в состав объекта информатизации должен осуществляться только в присутствии должностного лица, ответственного за объект информатизации, передача носителей, содержащих защищаемую информацию в ремонтную организацию не допускается. Рекомендуется осуществлять резервное копирование информации с целью возможности ее восстановления в случае выхода из строя накопителей;
  • осуществлять учет носителей защищаемой информации, с отметками о выдаче и сдаче на хранение в установленном порядке;
  • осуществлять периодическую проверку рабочих мест пользователей на предмет наличия в открытом доступе паролей на доступ к объекту информатизации;
  • при увольнении или переводе администратора безопасности на другую должность, принять меры по смене всех паролей, идентификаторов на объектах информатизации, обрабатывающих информацию ограниченного доступа.

На основании приказа "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" от 11.02.2013 № 17, в ходе эксплуатации объекта информатизацииобеспечение защиты информации включает в себя:

  1. Управление (администрирование) системой защиты информации объекта информатизации. В ходе управления (администрирования) системой защиты информации осуществляются:
    • заведение и удаление учетных записей пользователей, управление полномочиями пользователей и поддержание правил разграничения доступа;
    • управление средствами защиты информации объекта информатизации, в том числе параметрами настроек программного обеспечения, включая программное обеспечение средств защиты информации, восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;
    • установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации, выпускаемых разработчиками (производителями) средств защиты информации или по их поручению;
    • регистрация и анализ событий, связанных с защитой информации;
    • информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации и отдельных средств защиты информации, а также их обучение;
    • сопровождение функционирования системы защиты информации в ходе ее эксплуатации, включая корректировку эксплуатационной документации на нее и организационно-распорядительных документов по защите информации.
  2. Выявление инцидентов и реагирование на них. В соответствии с ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения", инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. В ходе выявления инцидентов и реагирования на них осуществляются:
    • определение лиц, ответственных за выявление инцидентов и реагирование на них;
    • обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
    • своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов пользователями и администраторами;
    • анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
    • планирование и принятие мер по устранению инцидентов, в том числе по восстановлению работоспособности объекта информатизации в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
    • планирование и принятие мер по предотвращению повторного возникновения инцидентов.
  3. Управление конфигурацией аттестованного объекта информатизации и его системы защиты информации. В ходе управления конфигурацией аттестованного объекта информатизации и ее системы защиты информации осуществляются:
    • поддержание конфигурации объекта информатизации и его системы защиты информации (структуры системы защиты информации, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты информации;
    • определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию объекта информатизации и его системы защиты информации;
    • управление изменениями базовой конфигурации объекта информатизации и его системы защиты информации, в том числе определение типов возможных изменений базовой конфигурации, санкционирование внесения изменений в базовую конфигурацию, документирование действий по внесению изменений в базовую конфигурацию, сохранение данных об изменениях базовой конфигурации, контроль действий по внесению изменений в базовую конфигурацию;
    • анализ потенциального воздействия планируемых изменений в базовой конфигурации на обеспечение защиты информации, возникновение дополнительных угроз безопасности информации;
    • определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию;
    • внесение информации (данных) об изменениях в базовой конфигурации в эксплуатационную документацию на систему защиты информации объекта информатизации;
    • принятие решения по результатам управления конфигурацией о повторной аттестации объекта информатизации или проведении дополнительных аттестационных испытаний.
  4. Контроль (мониторинг) за обеспечением уровня защищенности информации, обрабатываемой объектом информатизации. В ходе контроля (мониторинга) за обеспечением уровня защищенности информации осуществляются:
    • контроль за событиями безопасности и действиями пользователей при обработке информации;
    • контроль (анализ) защищенности информации, обрабатываемой на объекте информатизации;
    • анализ и оценка функционирования системы защиты информации объекта информатизации, включая выявление, анализ и устранение недостатков в функционировании системы защиты информации;
    • периодический анализ изменения угроз безопасности информации, возникающих в ходе эксплуатации объекта информатизации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;
    • документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности информации;
    • принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности информации о доработке (модернизации) системы защиты информации объекта информатизации о повторной аттестации ОИ или проведении дополнительных аттестационных испытаний.
< Лекция 17 || Лекция 18: 12 || Лекция 19 >
Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

Оксана Беляева
Оксана Беляева

Добрый день!

Подскажите, почему после прохождения теста, не могу увидеть свои варианты ответов. в некоторых случаях возникает спорная ситауция и не понятно  - это неточность вопроса или моя опечатка.