Оценка защищенности государственных информационных систем

При создании любой информационной системы (ИС) неизбежно возникает вопрос о защищенности этой системы от угроз безопасности информации и принятии решения по устранению этих угроз. Но прежде чем решить, как и от кого защищать информацию, необходимо понять реальное положение в области обеспечения безопасности информации и оценить степень защищенности государственных информационных ресурсов. Для этого проводится обследование защищенности ИС, результаты которого, основанные на выявленных угрозах безопасности информации и оценке рисков нанесения возможного ущерба, позволят оценить необходимость и достаточность принятых мер защиты информации, правильно выбрать степень защищенности ИС, обрабатывающей государственные и муниципальные информационные ресурсы, выработать требования к мерам и средствам защиты информации, добиться максимальной отдачи от инвестиций в создание и обслуживание системы защиты информации ИС.

Под термином обследование защищенности ИС понимается системный процесс получения и оценки объективных данных о текущем состоянии обеспечения безопасности информации. Нельзя путать понятия обследование защищенности ИС и обследование ИС. Если последнее ставит своей целью изучение движения информационных потоков, определения оптимальной инфраструктуры информационной системы, разработку информационной и функциональной модели информационной системы, удовлетворяющей потребностям бизнес-процессов, то обследование защищенности ИС нацелено на изучение процессов обеспечения безопасности информации при выполнении ИС своего главного предназначения – информационного обеспечения пользователей. В этом случае должный эффект может дать только комплексный подход, то есть не только оценка достаточности принятых программно-аппаратных и технических мер защиты информации, но и оценка достаточности организационных мер.

НТЦ «Вулкан» в интересах заказчика выполняет работы по обследованию защищенности информационных систем, обрабатывающих государственные и муниципальные информационные ресурсы.

Состав работ

  • Сбор необходимых исходных данных и их предварительный анализ.
  • Оценка соответствия состояния защищенности ИС предъявляемым требованиям.
  • Выработка рекомендаций по повышению безопасности информации в ИС.

Работы по обследованию защищенности ИС осуществляется на основе исходных данных. Сбор исходных данных проводится с целью получения первичной (исходной) информации по обследуемому объекту. При сборе исходных данных используются методы:

  • Запрос необходимых документов.
  • Анкетирование сотрудников (интервьюирование).
  • Агрегирования и инференции исходных данных.

Как правило, заказчиком, по запросу исполнителя, предоставляются исходные данные, однако, для получения более полного объема исходных данных может быть применен метод анкетирования (интервьюирования) персонала объекта, пользователей ИС по опросным листам. В ходе интервьюирования удается собрать до 70% всего объема информации, необходимой для анализа.

На разных этапах обследования используются различные методы: технические, аналитические, экспертные, расчетные. При этом, результаты, полученные одними методами, могут дублироваться (дополняться) результатами, полученными другими методами. Совокупность всех применяемых методов позволяет дать объективную оценку состояния обеспечения безопасности информации на обследуемом объекте.

При необходимости, для объективного подтверждения реального состояния безопасности информации и возможности причинения ущерба интересам заказчика при активизации возможных уязвимостей, проводится инструментальный анализ защищенности ИС.

Анализ и оценка соответствия состояния защищенности ИС основывается на выработке несколькими экспертами согласованного мнения о реальном состоянии обеспечения безопасности информации на основании:

  • Оценки полноты и уровня разработки организационно-распорядительной документации.
  • Анализа технологического процесса обработки, передачи и хранения информации.
  • Оценки выполнения организационно-технических требований по защите информации.
  • Оценки уровня подготовки (переподготовки) персонала.
  • Оценки правильности распределения ответственности за выполнение требований по защите информации.
  • Оценки результатов инструментального анализа защищенности ИС.

На этапе разработки предложений на основании проведенных оценок составляется перечень реализованных мер защиты информации. Полученный перечень сопоставляется с требуемыми мерам и делается вывод о необходимых для обеспечения требуемого уровня защищенности объекта, мерах.

Преимущества

Оценка позволяет определить оптимальные направления работ по повышению уровня соответствия установленным требованиям и эффективной подготовке объекта заказчика к проведению обязательной аттестации, а также служит исходными данными для разработки Модели угроз и Модели нарушителя для ИС, обрабатывающих государственные и муниципальные информационные ресурсы, и формирования требований к защите информации, содержащейся в ИС.