Составители:
Рубрика:
426
возникает необходимость проверки системы защиты информации. Такая про-
верка называется «тестирование на проникновение». Цель – предоставление га-
рантий того, что для неавторизованного пользователя не существует простых
путей обойти механизмы защиты.
Один из возможных способов аттестации безопасности системы – пригла-
шение хакеров для взлома без предварительного уведомления персонала сети.
Для этого выделяется группа
из двух-трех человек, имеющих высокую профес-
сиональную подготовку. Хакерам предоставляется в распоряжение автоматизи-
рованная система в защищенном исполнении, и группа в течение 1–3 месяцев
пытается найти уязвимые места и разработать на их основе тестовые средства
для обхода механизмов защиты. Наемные хакеры представляют конфиденци-
альный доклад по результатам работы с оценкой уровня
доступности информа-
ции и рекомендациями по улучшению защиты.
Наряду с таким способом используются программные средства тестирова-
ния.
Составление плана зашиты. На этом этапе в соответствии с выбранной
политикой безопасности разрабатывается план ее реализации. План защиты яв-
ляется документом, вводящим в действие систему защиты информации, кото-
рый утверждается руководителем предприятия (организации
).
Планирование связано не только с наилучшим использованием всех воз-
можностей, которыми располагает фирма, в том числе выделенных ресурсов,
но и с предотвращением ошибочных действий, могущих привести к снижению
эффективности предпринятых мер по защите информации.
План защиты информации на объекте должен включать:
описание защищаемой системы (основные характеристики защищаемого
объекта: назначение
объекта, перечень решаемых задач, конфигурация, харак-
теристики и размещение технических средств и программного обеспечения, пе-
речень категорий информации (пакетов, файлов, наборов и баз данных, в кото-
рых они содержатся), подлежащих защите, и требований по обеспечению дос-
тупа, конфиденциальности, целостности этих категорий информации, список
пользователей и их полномочий по доступу к ресурсам
системы и т. п.);
цель защиты системы и пути обеспечения безопасности автоматизирован-
ной системы и циркулирующей в ней информации;
перечень значимых угроз безопасности автоматизированной системы, от
которых требуется зашита, и наиболее вероятных путей нанесения ущерба;
политику информационной безопасности;
план размещения средств и функциональную схему системы защиты ин-
формации на объекте;
спецификацию средств зашиты информации и смету затрат на их внедре-
ние;
календарный план проведения организационных и технических мероприя-
тий по защите информации, порядок ввода в действие средств защиты;
основные правила, регламентирующие деятельность персонала по вопросам
обеспечения информационной безопасности объекта (особые обязанности
должностных лиц, обслуживающих автоматизированную систему);
Страницы
- « первая
- ‹ предыдущая
- …
- 413
- 414
- 415
- 416
- 417
- …
- следующая ›
- последняя »
