- •Предесловие:
- •Вопросы гавна.
- •? Этапы выполнения окр, краткая их характеристика.
- •? Разделы технического задания на окр, краткая их характеристика.
- •Содержание задания по безопасности.
- •Оценка достаточности контрмер.
- •Взаимосвязь параметров безопасности.
- •Методы обеспечения безопасности при использовании информационных технологий.
- •Критерии оценки безопасности информационных технологий.
- •Функции государственного заказчика окр.
- •Функции головного исполнителя окр.
- •Функции исполнителя составной части окр.
- •Функции изготовителя опытного образца изделия.
- •Функции нио заказчика.
- •Группы опытно-конструкторских работ.
- •Требования к выполнению окр.
- •Содержание технического предложения.
- •Содержание эскизного проекта.
- •Содержание пояснительной записки эскизного проекта.
- •Содержание технического проекта.
- •Перечень работ, выполняемых при разработке технического проекта.
- •Содержание пояснительной записки технического проекта.
- •Содержание рабочей документации опытного образца.
- •Содержание этапа изготовления опытного образца.
- •Содержание этапа предварительных испытаний опытного образца.
- •Содержание этапа приемочных испытаний.
- •Состав рабочей документации.
- •Силы обеспечения безопасности значимых объектов кии.
- •Требования к силам и средствам обеспечения безопасности значимых объектов кии.
- •Требования к организационно-распорядительным документам по безопасности значимых объектов кии.
- •Требования к организации работ по обеспечению безопасности значимых объектов кии.
- •Требования к обеспечению безопасности в ходе создания, эксплуатации и вывода из эксплуатации значимых объектов кии.
- •Установление требований к обеспечению безопасности значимых объектов кии.
- •Разработка организационных и технических мер по обеспечению безопасности значимого объекта кии.
- •Анализ угроз безопасности информации.
- •Проектирование подсистемы безопасности значимого объекта кии.
- •Внедрение организационных и технических мер по обеспечению безопасности значимого объекта кии и ввод его в действие.
- •Способы выявления уязвимостей при проведении анализа угроз безопасности информации.
- •? Анализ угроз безопасности информации.
- •Способы обеспечения безопасности значимого объекта в ходе его эксплуатации.
- •Способы обеспечения безопасности значимого объекта при выводе его из эксплуатации.
- •Требования к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов.
- •Назначение профилей защиты для продуктов и систем информационных технологий.
- •Содержание профилей защиты для продуктов и систем информационных технологий.
- •Порядок разработки профилей защиты и заданий по безопасности.
- •Порядок выбора мер защиты информации.
- •Классы защищенности информационной системы.
- •Определение угроз безопасности информации в информационной системе.
- •Выбор мер защиты информации.
- •Определение базового набора мер защиты информации, его адаптация и уточнение.
- •Применение компенсирующих мер защиты информации.
- •Содержание, правила выбора и реализации мер защиты информации.
- •Причины возникновения ГосСопка и её назначение.
- •Системы обнаружения атак основанные на технологии ids.
- •Ids, основанные на аномалиях
- •Ids на основе правил
- •Различия типов технологий ids.
- •Принцип работы технологии ids.
- •Систем обнаружения вторжений основанные на технологии ips.
- •Структура системы ГосСопка.
- •Ведомственные и корпоративные сегменты ГосСопка.
- •Порядок взаимодействия главного центра ГосСопка и ведомственного сегмента ГосСопка. Порядок обработки сообщений от главного центра ГосСопка и ведомственного сегмента ГосСопка
- •Порядок предоставления сведений главному центру ГосСопка
- •Обязанности владельца объекта кии по взаимодействию с ГосСопка.
- •Подключение субъекта кии к инфраструктуре ГосСопка.
Применение компенсирующих мер защиты информации.
Сформированный набор мер защиты информации может содержать меры, которые по каким-либо причинам делает невозможным или крайне затруднительным их реализацию в информационной системе в рамках ее системы защиты информации. В таких случаях у заказчика, оператора и проектировщика есть возможность заменить соответствующие меры защиты информации на компенсирующие меры защиты информации.
В качестве исходных данных для разработки компенсирующих мер защиты информации, в первую очередь, необходимо рассматривать:
приложение № 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17;
международные, национальные стандарты, стандарты организаций в области информационной безопасности;
результаты собственных разработок.
При этом должно быть проведено обоснование применения компенсирующих мер защиты информации, включающее:
изложение причин исключения меры (мер) защиты информации; сопоставление исключаемой меры защиты информации с блокируемой угрозой безопасности информации;
описание содержания компенсирующих мер защиты информации;
сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации;
аргументацию, что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование угроз безопасности информации.
Разработанное обоснование должно быть представлено при проведении аттестационных испытаний. При аттестационных испытаниях с учетом представленного обоснования должны быть оценены достаточность и адекватность компенсирующих мер для блокирования угроз безопасности информации.
Содержание, правила выбора и реализации мер защиты информации.
Методический документ детализирует организационные и технические меры защиты информации, принимаемые в государственных информационных системах в соответствии с требованиями о защите информации, не составляющей государственную тайну, а также определяет содержание мер защиты информации и правила их реализации.
применяется для выбора и реализации требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, направленных на обеспечение:
конфиденциальности информации;
целостности информации;
доступности информации.
Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
Общий порядок действий по выбору мер защиты информации для их реализации в информационной системе