Методичні вказівки до лабораторних занять з дисципліни "Стандартизація та сертифікація в галузі захисту інформації", страница 16

2.2 Методичні вказівки з організації самостійної роботи студентів

Під час підготовки та проведення лабораторної роботи  студенти мають:

-  повторити матеріал щодо вимог стандарту NIST SP 800-26 та ідеології проведення самооцінки згідно нього;

-  ознайомитися з моделлю зрілості процесів по забезпеченню безпеки інформації;

-  розглянути основні положення суб’єктивної логіки;

-  розглянути оператори суб’єктивної логіки;

-  ознайомитися з поняттям зон базових думок;

-  вивчити документацію на систему експертної оцінки „Радник”;

-  підготувати бланк звіту;

-  підготувати відповідь на контрольні запитання.

2.3 Основні теоретичні положення

2.3.1 Характеристика підходу до оцінки захищеності Національного інституту по стандартизації та технологіям США (NIST SP 800-26)

Забезпечення безпеки інформації в інформаційно-телекомунікаційних системах (ІТС) пов'язано з виконанням досить великого комплексу різних заходів, упровадженням спеціальних засобів захисту інформації. Адміністратори безпеки і керівники служби захисту інформації зустрічаються із труднощами при здійсненні реальної оцінки рівня захищеності ІТС, планування комплексу робіт із захисту інформації. Одним зі шляхів рішення цих задач є проведення періодичних атестацій системи захисту інформації на ступінь відповідності вимогам безпеки.

У 2001 році NIST розробив рекомендації SP 800-26, що містять методику самооцінки безпеки ІТС. Відповідно до рекомендацій, задачі забезпечення безпеки здійснюються на адміністративному, процедурному і програмно-технічному рівнях.

На адміністративному рівні реалізуються заходи загального характеру, що здійснюється керівництвом підрозділу.

На процедурному рівні запроваджуються заходи безпеки, що реалізуються технічним персоналом та особовим складом.

На програмно-технічному рівні впроваджуються конкретні технічні, фізичні та програмно-апаратні засоби захисту інформації.

Усі заходи щодо забезпечення безпеки інформації в ІТС розподілені на 17 областей (таблиця 2.1), які у свою чергу містять Критичні елементи (сукупність визначених практичних задач) (Рис. 2.1).

Таблиця  2.1  Контрольні області згідно NIST SP 800-26

Назва рівнів

Назва контрольних областей

1.   

Адміністративний

Управління ризиками.

2.   

Аналіз заходів щодо забезпечення безпеки інформації.

3.   

Підтримка життєвого циклу.

4.   

Сертифікація, атестація  та акредитація.

5.   

Розробка плану захисту.

6.   

Процедурний

Захист від персоналу.

7.   

Фізичний захист.

8.   

Управління виробництвом і вхідний/вихідний              контроль.

9.   

Планування безперебійної  роботи .

10.   

Експлуатація апаратного і системного програмного забезпечення.

11.   

Цілісність даних.

12.   

Документація.

13.   

Навчання, тренування, інформування.

14.   

Реагування на інциденти.

15.   

Програмно-технічний

Ідентифікація та автентифікація.

16.   

Управління доступом.

17.   

Протоколювання та аудит.

Рисунок 2.1 – Структура вимог безпеки NIST SP 800-26

Оцінка Критичного елемента здійснюється шляхом оцінки ступеня виконання кожної з задач наданням на запитання відповідей (Так/Ні). Критичний елемент може бути оцінений по одному з п'яти рівнів.

Рівень 1. Задокументовано у політиці безпеки

На цьому рівні передбачається, що: