Билет 1 Ақпараттық қауіпсіздік ұғымы
Билет 14 1. Ақпаратты қорғау жүйесін құру кезеңдері
жүктеу/скачать 159,51 Kb.
|
| Билет 14
1. Ақпаратты қорғау жүйесін құру кезеңдері Ақпаратты қорғау жүйесі – ұйымдастыру шараларының, ақпаратты қорғаудың техникалық, бағдарламалық және бағдарламалы-аппараттық құралдары және ақпаратты қорғау тиімділігін бақылау нысандарының жиынтығы. Ақпаратты қорғау жүйесін құру кезеңдері 1-кезең. Ақпаратты қорғау жүйесіне қойылатын талаптарды қалыптастыру (жобалаудан бұрынғы кезең). 2-кезең. Ақпаратты қорғау жүйесін әзірлеу (жобалау кезеңі). 3-кезең. Ақпаратты қорғау жүйесін енгізу (орнату, конфигурациялау, тестілеу кезеңі). 4-кезең. Ақпараттық қауіпсіздік жүйесінің сәйкестігін растау (бағалау кезеңі). 1-кезеңді ақпарат иесі (тапсырыс беруші) жүзеге асырады. 1 кезеңдегі жұмыстар тізімі: 1. Өңделген ақпаратты қорғау қажеттілігі туралы шешім қабылдау. 2. Ақпаратты қорғау талаптары бойынша объектінің классификациясы (өңделген ақпараттың қауіпсіздік деңгейін белгілеу). 3. Іске асыру өңделетін ақпараттың қауіпсіздігін бұзуға әкеп соғуы мүмкін ақпараттық қауіпсіздік қатерлерін анықтау. 4. Ақпаратты қорғау жүйесіне қойылатын талаптарды анықтау. Ақпараттық қауіпсіздік жүйесін құру қажеттілігі туралы шешім алға қойылған міндеттерді, өңделетін ақпаратты және нормативтік құқықтық базаны талдау негізінде қабылданады. Талдау кезінде объектінің құрылымдық-функционалдық сипаттамалары және ақпаратты өңдеу режимі анықталады. 2-кезең – ақпараттық қауіпсіздік жүйесін әзірлеу – ақпарат иесі (тапсырыс беруші) ұйымдастырады. 2 кезеңдегі жұмыстар тізімі: 1. Ақпаратты қорғау жүйесін жобалау. 2.Ақпаратты қорғау жүйесінің эксплуатациялау құжаттамасын әзірлеу. Ақпаратты қорғау жүйесін жобалау кезеңінде әзірленген эксплуатациялау құжаттамасының құрамы: 1. Оның аппараттық және бағдарламалық құралдарының құрамы мен орнату орындары көрсетілген техникалық паспорт. 2. Ақпаратты өңдеудің технологиялық процесінің сипаттамасы. 3. Ақпаратты қорғау құралдарын орнату параметрлері мен тәртібінің сипаттамасы. 4. Ақпаратты қорғау жүйесінің элементтерінің функционалдық міндеттерін көрсете отырып, ұйымдық құрылымын сипаттау. 5. Қолданылған машиналық сақтау құралдарының мәлімдемесі және тізімі. 6. Ақпаратты қорғау жүйесінің эксплуатациялау ережелері. 3-кезең – Ақпараттық қауіпсіздік жүйесін енгізу – оператордың қатысуымен ақпарат иесі (тапсырыс беруші) ұйымдастырады. 3 кезеңдегі жұмыстар тізімі: 1. Ақпаратты қорғау құралдарын орнату және конфигурациялау. 2. Объектіні эксплуатациялау кезінде ақпаратты қорғауды қамтамасыз ету үшін оператор жүзеге асыратын ережелер мен процесстерді анықтайтын құжаттарды әзірлеуді қоса алғанда, ақпаратты қорғау бойынша ұйымдастыру шараларын жүзеге асыру. 3. Бағдарламалық және техникалық құралдардың осал тұстарын анықтау және талдау, оларды жою бойынша шаралар қабылдау; 4. Ақпараттық қауіпсіздік жүйесін сынақтан өткізу және тәжірибелік эксплуатация. 4-кезең – ақпаратты қорғау жүйесінің сәйкестігін растау – ақпарат иесі (тапсырыс беруші) немесе оператор ұйымдастырады. 4-кезеңдегі жұмыстардың тізбесі Бағдарламада және олар басталғанға дейін әзірленген сертификаттау сынақтарының әдістерінде айқындалады. Құжатты мердігер қалыптастырады және өтініш берушімен келіседі. Іске асырылуы ақпаратты техникалық арналар арқылы ағып кетуден, рұқсат етілмеген қол жеткізуден және арнайы әсерлерден қорғауға мүмкіндік беретін ақпараттық қауіпсіздік талаптарына сәйкестігіне сертификаттау сынақтарының әдістері мен бағдарламаларының құрылымы мен мазмұнына қойылатын жалпы талаптар ұлттық стандартпен айқындалады. ГОСТ РО 0043-004-2013 «Ақпараттық қауіпсіздік. Ақпараттандыру объектілерін аттестаттау. Сертификаттау сынақтарының бағдарламасы мен әдістері. Сертификаттау – нәтижесінде ақпараттандыру объектісінің (ақпараттық жүйенің) ақпаратты қорғау жүйесінің ақпараттық қауіпсіздік талаптарына сәйкестігі расталатын ұйымдастырушылық-техникалық іс-шаралар кешені. Ақпараттандыру объектілерін аттестаттау міндетті және ерікті болып бөлінеді. Міндетті аттестаттау объектінің ақпаратты қорғау жүйесінің тек федералдық нормативтік құқықтық актілерде белгіленген талаптарға сәйкестігін анықтау үшін заңмен қабылданған жағдайларда жүзеге асырылады. Ерікті сертификаттау нысанның ақпараттық қауіпсіздік жүйесінің ұлттық стандарттарда белгіленген талаптарға сәйкестігін анықтау үшін өтініш берушінің, ақпарат иесінің немесе объекті иесінің қалауы бойынша жүзеге асырылады. Қолжетiмдiлiгi шектелген ақпаратты қамтитын мемлекеттiк ақпараттық жүйелер мiндеттi сертификаттауға, ал қалған барлық ақпараттық жүйелер ерiктi сертификаттауға жатады. Ақпараттық қауіпсіздік талаптары бойынша ақпараттық жүйелерді сертификаттау тәртібі: 1. Сертификаттауға өтініш беру. 2. Сертификатталған объектімен алдын ала танысу. 3. Сертификаттау сынақтарының бағдарламасы мен әдістемесін әзірлеу. 4. Объектінің аттестаттау сынақтарын жүргізу. 5. Сәйкестік сертификатын тіркеу және беру. жүктеу/скачать 159,51 Kb. Достарыңызбен бөлісу:
|