2.2 Методичні вказівки з організації самостійної роботи студентів
Під час підготовки та проведення лабораторної роботи студенти мають:
- повторити матеріал щодо вимог стандарту NIST SP 800-26 та ідеології проведення самооцінки згідно нього;
- ознайомитися з моделлю зрілості процесів по забезпеченню безпеки інформації;
- розглянути основні положення суб’єктивної логіки;
- розглянути оператори суб’єктивної логіки;
- ознайомитися з поняттям зон базових думок;
- вивчити документацію на систему експертної оцінки „Радник”;
- підготувати бланк звіту;
- підготувати відповідь на контрольні запитання.
2.3 Основні теоретичні положення
2.3.1 Характеристика підходу до оцінки захищеності Національного інституту по стандартизації та технологіям США (NIST SP 800-26)
Забезпечення безпеки інформації в інформаційно-телекомунікаційних системах (ІТС) пов'язано з виконанням досить великого комплексу різних заходів, упровадженням спеціальних засобів захисту інформації. Адміністратори безпеки і керівники служби захисту інформації зустрічаються із труднощами при здійсненні реальної оцінки рівня захищеності ІТС, планування комплексу робіт із захисту інформації. Одним зі шляхів рішення цих задач є проведення періодичних атестацій системи захисту інформації на ступінь відповідності вимогам безпеки.
У 2001 році NIST розробив рекомендації SP 800-26, що містять методику самооцінки безпеки ІТС. Відповідно до рекомендацій, задачі забезпечення безпеки здійснюються на адміністративному, процедурному і програмно-технічному рівнях.
На адміністративному рівні реалізуються заходи загального характеру, що здійснюється керівництвом підрозділу.
На процедурному рівні запроваджуються заходи безпеки, що реалізуються технічним персоналом та особовим складом.
На програмно-технічному рівні впроваджуються конкретні технічні, фізичні та програмно-апаратні засоби захисту інформації.
Усі заходи щодо забезпечення безпеки інформації в ІТС розподілені на 17 областей (таблиця 2.1), які у свою чергу містять Критичні елементи (сукупність визначених практичних задач) (Рис. 2.1).
Таблиця 2.1 Контрольні області згідно NIST SP 800-26
|
№ |
Назва рівнів |
Назва контрольних областей |
|
1. |
Адміністративний |
Управління ризиками. |
|
2. |
Аналіз заходів щодо забезпечення безпеки інформації. |
|
|
3. |
Підтримка життєвого циклу. |
|
|
4. |
Сертифікація, атестація та акредитація. |
|
|
5. |
Розробка плану захисту. |
|
|
6. |
Процедурний |
Захист від персоналу. |
|
7. |
Фізичний захист. |
|
|
8. |
Управління виробництвом і вхідний/вихідний контроль. |
|
|
9. |
Планування безперебійної роботи . |
|
|
10. |
Експлуатація апаратного і системного програмного забезпечення. |
|
|
11. |
Цілісність даних. |
|
|
12. |
Документація. |
|
|
13. |
Навчання, тренування, інформування. |
|
|
14. |
Реагування на інциденти. |
|
|
15. |
Програмно-технічний |
Ідентифікація та автентифікація. |
|
16. |
Управління доступом. |
|
|
17. |
Протоколювання та аудит. |
Рисунок 2.1 – Структура вимог безпеки NIST SP 800-26
Оцінка Критичного елемента здійснюється шляхом оцінки ступеня виконання кожної з задач наданням на запитання відповідей (Так/Ні). Критичний елемент може бути оцінений по одному з п'яти рівнів.
Рівень 1. Задокументовано у політиці безпеки
На цьому рівні передбачається, що:
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.