Алексей ХалинОпределение необходимости и периодичности проведения работ по оценке защищенности
Алексей ХалинАлексей ХалинАлексей ХалинДля того чтобы понять, требуется ли проводить оценку защищенности ваших систем, необходимо определить тип и этап жизненного цикла этих систем.
Системы подразделяются на следующие типы:
Информационные системы, в свою очередь, подразделяются на два типа:
Если информационная система обрабатывает информацию ограниченного доступа (информацию, доступ к которой ограничен федеральными законами), то на нее могут распространяться обязательные требования по защите информации. Например, к таким системам могут относиться:
Если информационная система не обрабатывает информацию ограниченного доступа, то требования по защите информации устанавливаются владельцем информации. К таким системам могут относиться корпоративные системы и сети.
Для оценки защищенности программного обеспечения (ПО) и программно-аппаратных комплексов (ПАК) необходимо определить этап их жизненного цикла. На этапе разработки или модернизации ПО и ПАК может проводиться анализ их защищенности. На этапе эксплуатации, помимо анализа защищенности, может проводиться аудит информационной безопасности. Кроме того, для ПО и ПАК, которые выполняют функции информационной безопасности, может применяться оценка соответствия в форме оценки эффективности или сертификации. Состав и периодичность проведения работ по оценке защищенности определяется владельцем ПО или ПАК. Оценка защищенности проводится для выявления недостатков в коде, конфигурации или функционировании ПО и ПАК с целью их устранения и повышения защищенности. Оценку защищенности для ПО или ПАК следует проводить, если вы хотите выполнить одну из следующих задач:
Если ПО или ПАК являются средствами защиты информации или выполняют функции безопасности, то для их применения в государственных информационных системах, а также для защиты информации ограниченного доступа в соответствии с действующим законодательством Российской Федерации необходимо провести их сертификацию.
Для оценки защищенности информационных систем, так же как и для ПО и ПАК, необходимо определить этап их жизненного цикла. Необходимо учитывать, что тестирование на проникновение может проводиться только для информационных систем, в которых уже внедрена система защиты информации. Остальные виды работ могут проводиться вне зависимости от этапа жизненного цикла системы.
Для информационных систем, которые обрабатывают информацию ограниченного доступа, состав и периодичность работ по оценке защищенности устанавливаются регуляторами. Например, для государственных информационных систем заданы следующие условия проведения работ:
Для информационных систем, которые не обрабатывают информацию ограниченного доступа, состав и периодичность работ по оценке защищенности устанавливается владельцем системы с учетом значимости выполняемых процессов. Оценка защищенности проводится в ходе создания, конфигурирования или функционирования систем с целью выявления и устранения недостатков и повышения защищенности. Оценку защищенности для таких информационных систем следует проводить, если вы хотите выполнить одну из следующих задач:
После того как вы определили тип вашей системы, этап ее жизненного цикла и задачи, которые вы хотите решить с помощью оценки защищенности, можете переходить к выбору конкретного вида оценки защищенности.