Cайт Координационного Совета по развитию компьютеризации и информационно-коммуникационных технологий

ДРУГИЕ ДОКУМЕНТЫ

Инструкция по методике экспертизы на соответствие требованиям информационной безопасности информационных систем органов государственного управления и власти

25.03.2008 / прочитана 460 раз

Muvofiqlаshtiruvchi kengаshning 2008 yil 18 mаrtdаgi 21-son Bаyonigа 2-ilovа

ИНСТРУКЦИЯ
ПО МЕТОДИКЕ ЭКСПЕРТИЗЫ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ОРГАНОВ ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ И ВЛАСТИ

I.Общие положения

1. В соответствии с Постановлением Президента Республики Узбекистан №167 «О дополнительных мерах по обеспечению компьютерной безопасности национальных информационно-коммуникационных систем» от 5 сентября 2005 года, также протокольным решением №14 Координационного совета по развитию компьютеризации и информационно-коммуникационных технологий № 08-12-28 от 27.03.2006г. проведение оценки информационных систем органов государственного управления и власти (далее - ИС) возложено на Службу реагирования на компьютерные инциденты UZ-CERT при Центре развития и внедрения компьютерных и информационных технологий UZINFOCOM.

2. Настоящий документ разработан в целях регламентации оценки ИС на предмет соответствия техническим требованиям и соответствия требованиям информационной безопасности корпоративных сетей и определяет правила её осуществления и выдачи рекомендаций.

II. Нормативные ссылки

В настоящем документе использованы ссылки на следующие нормативные документы:

T 45-175:2004 «Рекомендации по разработке политики безопасности объектов информатизации»
RH 45-185:2006 «Типовая программа обеспечения информационной безопасности органов государственной власти и управления»
RH 45-169:2004 «Основные требования к организации межведомственной компьютерной сети»
RH 45-170:2004 «Основные технические требования по созданию локальных и корпоративных ведомственных компьютерных сетей»
RH 45-193:2007 «Порядок определения уровня обеспечения информационной безопасности серверов провайдеров и технических площадок для размещения сайтов государственных органов»
N 163:2007 «Положение о необходимой квалификации системных администраторов, обслуживающих сервера и веб-сайты государственных органов»
N 160:2007 «Положение об аттестации компьютерных сетей органов государственной власти и управления»
Т 45-194:2007 «Рекомендации по применению программно-аппаратных средств, обеспечивающих предотвращение актов незаконного проникновения в информационные системы»
RH 45-066:2007 «Положение о сборе и анализе информации о взаимодействии угроз информационной безопасности в сфере связи и информатизации»

III. Система проведения оценки корпоративной сети

1. В рамках рассмотрения ИС оценки делятся на 4 группы критериев, в состав которых входят 4 аспекта: организационные, технические, программное обеспечение по защите информации и оценка персонала.

Максимальная оценка по организационным аспектам составляет 30 баллов, по техническим аспектам – 21 балл, по программному обеспечению – 21 балл, по оценке персонала – 12 баллов.

По каждой группе критериев мнением экспертов Службы ставится оценка исходя из соответствия требованиям.

Максимальная оценка по общему мнению экспертов Службы по всем группам критериев составляет 16 баллов.

2. Рейтинговая система формируется по одному единому итоговому баллу (проценту соответствия). В каждой части 4 группы соответствия требованиям:

80-100%      - «Отлично»
60-79,9%     - «Хорошо»
40-59,9%     - «Плохо»
0-39,9%        - «Неудовлетворительно»

3. Экспертиза корпоративной сети осуществляется по бальной системе в зависимости от параметров определенных в нижеследующей таблице:

№	Наименования группы критериев	Баллы	Комментарий
I.	*Организационные*	30	В группе организационных вопросов рассматриваются следующие критерии: наличие нормативно-правовых документов, документов, регламентирующих действия пользователей и администраторов, руководства, справочная документация. Вопросы организационного характера, абстрагированные от программно-аппаратной части и персонала.
1.	Наличие корпоративной политики информационной безопасности	8	Наличие корпоративной политики информационной безопасности, разработанной непосредственно для нужд определенной организации
2.	Наличие средств для обеспечения поддержки пользователей ИС	6	Наличие технических (программно-аппаратных) средств для обеспечения поддержки пользователей ИС
3.	Наличие необходимой информации по информационной безопасности	4	Наличие нормативно-правовых документов, рекомендаций, руководящих документов, государственных, межгосударственных, международных и отраслевых стандартов в сфере информационной безопасности.
4.	Проведение мониторинга по повышению информационной безопасности	12	Проведение мероприятий направленных на улучшение существующего уровня информационной безопасности.
II.	*Технические*	21	К техническим критериям относятся вопросы программно-аппаратной части ИС, её эксплуатации, обслуживания и защиты.
1.	Осуществление контроля целостности и работоспособности ИС	3	Постоянный мониторинг ИС на предмет работоспособности, отказоустойчивости и восстановления.
2.	Обеспечение конфиденциальности информации, циркулирующей в ИС	5	Разграничение информации по степени конфиденциальности и применение средств для обеспечения её защиты от утечки.
3.	Осуществление разграничений прав доступа пользователей ИС	2	Использование штатных программно-аппаратных средств для разграничения прав доступа пользователей при работе в ИС.
4.	Использование методов шифрования	6	Использование методов шифрования при передачи данных.
5.	Меры для защиты от несанкционированных действий	2	Использование дополнительных средств для обеспечения защиты от несанкционированных действий, направленных на ИС и её штатные части.
6.	Технические характеристики серверов	3	Конфигурация и количество серверов
*III.*	*Программное обеспечение по информационной безопасности*	21	В данной категории рассматриваются наличие и использование программного обеспечения в части информационной безопасности.
1.	Наличие межсетевых экранов на серверах	4	Использование межсетевых экранов на серверах.
2.	Наличие межсетевых экранов на рабочих станциях	2	Использование межсетевых экранов на рабочих станциях.
3.	Наличие системы обнаружения вторжения на серверах	3	Внедрение и использование систем обнаружения вторжений на серверах.
4.	Использование механизма резервного копирования данных ИС	4	Регламентированное постоянное резервное копирование важной информации, баз данных, системных конфигураций серверов и рабочих станций.
5.	Использование других мер повышения защиты ИС	2	Использование мер по повышению защиты ИС средствами, не входящими в состав операционных систем и не являющимися интегральной частью ИС по умолчанию.
6.	Регулярные обновления программного обеспечения и операционных систем	3	Обновление программного обеспечения, операционных систем, антивирусного программного обеспечения и пр.
7.	Наличие антивирусов, антитроянов, антишпионов и др.	3	Использование антивирусного программного обеспечения на серверах и рабочих станциях.
*IV.*	*Персонал*	12	По данной категории рассматриваются вопросы наличия отдела по обеспечению информационной безопасности, системных администраторов, администраторов по безопасности или лиц, исполняющих их обязанности.
1.	Наличие ответственного по информационной безопасности	3	Наличие администратора по безопасности или лица, исполняющего обязанности администратора по безопасности.
2.	Наличие отдела по информационной безопасности	4	Наличие отдела обеспечения информационной безопасности со штатом, установленным согласно требованиями внутреннего распорядка организации.
3.	Количество администраторов	2	Наличие необходимого количества квалифицированных системных администраторов, обслуживающих ИС организации.
4.	Наличие персонала для обеспечения поддержки пользователей ИС	3	Наличие квалифицированных специалистов, необходимых для обеспечения поддержки пользователей ИС.
V.	*Общее мнение специалистов*	16	Оценка специалистов Службы UZ-CERT по всем вышеуказанным критериям оценки корпоративной сети на соответствие требованиям.
1	Организационные	5	Оценка специалистов Службы UZ-CERT на основании полученных баллов по организационным вопросам.
2	Технические	3	Оценка специалистов Службы UZ-CERT на основании полученных баллов по техническим вопросам.
3	Программное обеспечение по информационной безопасности	5	Оценка специалистов Службы UZ-CERT на основании полученных баллов по вопросам программного обеспечения, направленного на поддержку соответствующего уровня информационной безопасности.
4	Персонал	3	Оценка специалистов Службы UZ-CERT на основании полученных баллов по вопросам персонала, обслуживающих ИС (системные администраторы и администраторы по безопасности).
	*Максимальное количество баллов*	*100*

IV. Методика оценки сайтов

В соответствии с установленным максимальным балломпо каждому критерию выставляется оценка:

«Неудовлетворительно» - 0% от максимального балла (выставляется в случае отсутствия данных по затребованному критерию или в случае абсолютного несоответствия критерия минимальным требованиям)

«Плохо» - 1/3 от максимального балла (выставляется в случае не соответствия минимальным требованиям)

«Хорошо» - 2/3 от максимального балла (выставляется в случае соответствия требованиям)

«Отлично» - 100% от максимального балла (выставляется в случае абсолютного соответствия требованиям)

V. Подготовка заключений и предоставление к заказчику

1. По результатампроведеннойэкспертизыИССлужба UZ-CERT подготавливает соответствующеезаключение и в случае необходимости выдает рекомендации.

2. Экспертное заключение ИС выдается его владельцу в соответствии с Формой №1. (приложение)

Приложение
Форма №1

ЭКСПЕРТНОЕ ЗАКЛЮЧЕНИЕ

Наименование организации ______________________________________________________

№ n/n	Наименования критериев	Результаты (баллы)	Примечания
1.
2.
…
20.

Суммарная оценка (max-100) --- баллов

Процент соответствия ---% соответствие