Організація розроблення системи захисту інформації

Організація проведення обстеження об’єктів інформаційної діяльності підприємства

Метою обстеження об’єктів ІД підприємства є вивчення його ІД, визначення об`єктів захисту – ІзОД, виявлення загроз, їхній аналіз та формування окремої моделі загроз.

Обстеження повинно бути проведено комісією, склад якої визначається відповідальною за ТЗІ особою і затверджується наказом керівника підприємства.

У ході обстеження необхідно:

· провести аналіз умов функціонування об’єктів інформаційної діяльності (ОІД) підприємства, їх розташування на місцевості (ситуаційного плану) для визначення можливих джерел загроз;

· дослідити засоби забезпечення ІД, радіус дії яких виходить за межі контрольованої території;

· передбачити вивчення схем засобів і систем життєзабезпечення ОІД (електроживлення, заземлення, автоматизації, пожежної та охоронної сигналізації), а також інженерних комунікацій та металоконструкцій;

· дослідити інформаційні потоки, технологічні процеси передавання, одержання, використання, розповсюдження і зберігання інформації та провести необхідні вимірювання;

· визначити наявність та технічний стан засобів ТЗІ;

· перевірити наявність на ОІД нормативних документів, які забезпечують функціонування системи ЗІ, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує ІД;

· виявити наявність транзитних, незадіяних (повітряних, настінних, зовнішніх та закладених у каналізацію) кабелів і провідників;

· визначити технічні засоби і системи, застосування яких не обґрунтовано службовою або виробничою необхідністю і які підлягають демонтуванню;

· визначити технічні засоби, які потребують переобладнання (перемонтування) та встановлення засобів ТЗІ.

За результатами обстеження слід скласти акт, який повинен бути затверджений керівником підприємства.

Матеріали обстеження необхідно використовувати під час розроблення окремої моделі загроз, яка повинна включати:

· генеральний та ситуаційний плани підприємства, схеми розташування засобів і систем забезпечення ІД, а також інженерних комунікацій, які виходять за межі контрольованої території;

· схеми та описи каналів витоку інформації, каналів спеціального впливу і шляхів НСД до ІзОД;

· оцінювання збитків, які передбачаються від реалізування можливих загроз.

На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі ЗІ і скласти технічне завдання (ТЗ) на розроблення системи ЗІ.

Технічне завдання повинно включати такі основні розділи:

· вимоги до системи ЗІ;

· вимоги до складу проектної та експлуатаційної документації;

· етапи виконання робіт;

· порядок внесення змін і доповнень до розділів ТЗ;

· вимоги до порядку проведення випробування системи захисту.

Основою функціонування системи захисту інформації є план ТЗІ, який повинен містити такі документи:

· перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також настанови щодо їхнього застосування;

· настанови про порядок реалізування організаційних, первинних та основних технічних заходів захисту;

· настанови, які встановлюють обов`язки, права та відповідальність персоналу;

· календарний план ТЗІ.

ТЗІ і план з ТЗІ розробляють фахівці з ТЗІ, узгоджують із зацікавленими підрозділами (організаціями). Затверджує їх керівник підприємства.

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Реалізування плану захисту інформації	\|	Первинні технічні заходи захисту інформації

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.003 сек.