Внедрение суиб в эксплуатацию
Датой ввода СУИБ в эксплуатацию явл. дата утверждения высшим руководством Положения о применимости средств управления. Данный док. явл. публичным и декларирует цели и средства, выбранные организацией для управления рисками. Положение включает:
1. Средства управления и контроля, выбранные на этапе обработки рисков
2. Существующие в организации средства управления и контроля
3. Средства, обеспечивающие выполнение требований законодательства и требований регулирующих организаций
4. Средства, обеспечивающие выполнение требований заказчиков
5. Средства, обеспечивающие выполнение общекорпоративных требований
6. Любые другие соответствующие средства управления и контроля
При вводе СУИБ в эксплуатацию задействуются все разработанные процедуры и механизмы, реализующие выбранные цели и средства управления.
Подготовка к сертификационному аудиту
На данном этапе организации рекомендуется пройти предварительный аудит, к-ый поможет оценить готовность к сертификационному аудиту. Предварительный аудит проводится обычно тем же органом по сертификации, в к-м предполагается прохождение сертификационного аудита. По результатам предварительного аудита составляется отчет, в к-ом отмечаются все положительные стороны созданной СУИБ, выявленные несоответствия и рекомендации по их устранению. Для проведения сертификационного аудита рекомендуется, чтобы СУИБ организации функционировала от 3 до 6 мес. Это минимальный период, необходимый для выполнения внутренних аудитов и анализа СУИБ со стороны руководства, а также формирования записей по результатам выполнения всех процедур СУИБ, к-ые анализируются в ходе сертификационного аудита.
Результатом данного этапа явл. СУИБ, готовая к прохождению сертификационного аудита.
12. Классификация субъектов и объектов доступа к зи
Общая классификация субъектов доступа представляет из себя следующую картину:
-
Субъекты доступа
П
ользователиПроцессы
Горизонтальная связь отражает тот факт, что субъекты, пользователи и процессы не могут рассматриваться независимо, т.к. запрос доступа к ресурсу генерирует процесс, запускаемый пользователем.
Объекты доступа |
||||
Файловые объекты (в т.ч. бумажные документы, папки, диски, любые носители) |
Устройства |
Каналы связи |
||
Данные |
Программы |
Реестр ОС |
||
Детальная классификация субъектов
Пользователи ИС |
|||
Реальные |
Виртуальные (на уровне процессов) |
Управление доступом к системному диску |
|
|
|||
Прикладные |
Администраторы |
|
Управление доступом к ресурсам |
Процессы |
Механизмы управления доступом |
||
Санкционированные |
Несанкциониро-ванные |
Обеспечение замкнутости прогр.среды |
|
Прикладные |
Привилегиро-ванные |
|
Управление доступом привилег.проц.к ресурсам |
Идент.по имени |
Скрытые (ВМ) |
|
Управление доступом ВМ |
|
|
|
Управление доступом проц.к ресурсам |
Процессы нужно рассматривать в общем виде (и пожары, и проникновение хакера и т.д.).
Файловые объекты |
(логич.диски, каталоги, файлы, столы, шкафы, папки) |
||
Прикладные |
Системные |
Управление доступом к сист.диску, процессам и реестру |
|
Разделяемые системой и приложениями |
Неразделяемые системой и приложениями |
|
Управление доступом к каталогам, неразделяемым системой |
Локальные файловые объекты |
Сетевые файловые объекты |
|
Управление доступом пользователей и процессов к сетевым ресурсам |
|
|
|
Управление доступом к локальным ресурсам |
Файловые объекты программ. Аналоги программ в бумажном виде – приказ, инструкция. Системные файлы – для всего предприятия в целом.
Файловые объекты программ |
|
Пользовательские |
Системные |
Устройства |
Механизмы |
||
Санкционированные |
Несанкциони-рованные |
1) обеспечения замкнутой прогр.среды 2) упр.доступом польз.и процессов к реестру |
|
Устройства ввода-вывода с отчужденными носителями (флешки, диски) |
Иные устройства (сетевые) |
|
Управление доступом польз. к устройствам |
Локальные устройства ввода-вывода |
Сетевые |
|
Управление доступом к сетевым устройствам |
|
|
|
Управление доступом к локальным устройствам |
Каналы связи |
Механизмы |
||
Определяемые инф. технологиями |
Определяемые адресами хостов |
Управление доступом польз. к хостам по адресам и времени |
|
Определяемые сетевой службой (номером порта) |
Опред. приложениями |
|
1) управление доступом польз. к процессам 2) управление доступом процессов к хостам 3) обеспечение замкнутости программной среды |
|
|
|
Управление доступом польз. к хостам по номерам портов |