2015-05-30
371
4.1. Объекты информатизации, вне зависимости от используемых отечественных или зарубежных технических и программных средств, аттестуются на соответствие требованиям государственных стандартов или иных нормативных документов по безопасности информации, утвержденных Гостехкомиссией России.
4.2. Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от вида и условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту.
4.3. В нормативную документацию включаются только те показатели, характеристики, требования, которые могут быть объективно проверены.
4.4. В нормативной и методической документации на методы испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты.
|
|
|
4.5. Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование. В них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направлений защиты информации.
4.6. Официальным языком системы аттестации является русский язык, на котором оформляются все документы, используемые и выдаваемые в рамках системы аттестации.
32. Построение и организация функционирования комплексных систем защиты информации .
Примерное содержание разделов Концепции:
1. Характеристика предприятия как объекта защиты.
2. Цели КСЗИ
3. Задачи КСЗИ:
• прогнозирование, своевременное выявление и устранение угроз
• отнесение информации к категории ограниченного доступа
• создание механизма и условий оперативного реагирования на угрозы
• эффективное пресечение угроз на основе правовых, организационных и инженерно-технических мер и средств защиты информации;
• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения на достижение стратегических целей пред приятия.
4. Принципы создания и функционирования КСЗИ
5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
|
|
|
-общие внешние и внутренние воздействующие факторы;
-опасные факторы и угрозы на объектах (подсистемах);
-способы и средства реализации угроз;
-модель возможного нарушителя;
-подход к оценке риска.
6. Организация защиты информации на предприятии:
-объекты защиты;
-основные меры и методы (способы, средства) защиты от угроз;
-структура системы защиты информации предприятия;
-особенности защиты сети связи (телекоммуникации);
-содержание мероприятий по защите информации;
-реализация технической политики по защите информации.
[1]
bubuntuclu:
всем привет в чатике
