- оценка рисков нарушения безопасности ИТКС ФНС России;
- оценка эффективности возможных мер и построения возможных вариантов комплексов мер и мероприятий по защите;
- оценка и сравнение по критерию "эффективность-стоимость" вариантов комплексов мер и мероприятий по защите;
- анализ полноты систем мер и требований по безопасности.
Для проведения внутреннего аудита информационных систем ФНС России необходимо разработать следующие документы:
- Методика проведения внутреннего аудита ИТКС ФНС России;
- Методика оценки и анализа информационных рисков;
- Должностные инструкции сотрудников, ответственных за информационную безопасность (разделы, посвященные проведению внутреннего аудита)
Результаты аудита должны содержать отчеты по обеспечению безопасности информационной системы подразделения в целом или ее логических компонентов. Описания, выявленные факты и рекомендации, полученные в ходе проведения аудита, должны быть использованы для дальнейшей оценки защищенности информационной системы.
Аудит проводятся# независимо от сотрудников, ответственных за функционирование общей системы поддержки. Необходимые проверки могут быть осуществлены как изнутри, так и извне информационной системы.
Комплексные проверки мер по обеспечению информационной безопасности проводятся не реже одного раза в год. Отдельные проверки систем на потенциальные повреждения осуществляются с периодичностью, необходимой для поддержания требуемого уровня оперативности статистических данных.
5.15. Мероприятия по контролю эффективности системы обеспечения безопасности информации ФНС России
Контроль эффективности системы информационной безопасности осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Контроль может проводиться как Управлением информационной безопасности ЦА ФНС России, так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности.
Оценка эффективности системы обеспечения информационной безопасности проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
Соответствие системы требованиям по безопасности необходимо проводить по следующим направлениям:
- соответствие требованиям Российского законодательства в области защиты информации;
- соответствие положениям настоящей Концепции информационной безопасности ФНС России;
- соответствие ведомственным организационным и техническим требованиям (стандартам безопасности) к системе информационной безопасности.
Для оценки эффективности системы информационной безопасности, обеспечения гарантий достоверности выполнения установленных требований по информационной безопасности необходимо внедрить подсистему контроля выполнения требований безопасности. Такая система позволит оценить адекватность существующей системы информационной безопасности требованиям ФНС России, предложить технические и организационные меры повышения уровня защищенности с оценкой их эффективности, контролировать выполнение всеми сотрудниками принятой политики информационной безопасности.
Функции, выполняемые подсистемой контроля выполнения требований безопасности:
- качественная и количественная оценка информационных рисков, включая идентификацию и оценку существующих угроз и уязвимостей информационной системы, определение вероятности их реализации, а также оценку стоимости каждого информационного ресурса
- определение необходимого минимального уровня защищенности информационно-телекоммуникационной системы ФНС России
- создание оптимальных требований к информационной безопасности ФНС России, обеспечивающих поддержание минимально допустимого уровня защищенности информационной системы
- определение комплекса необходимых технических и организационных мероприятий для поддержания заданного уровня безопасности
- оценка рисков невыполнения требований по безопасности
- автоматическое построение профилей защиты данной информационной системы
- постоянный контроль выполнения установленных требований к системе информационной безопасности на организационном, техническом и экономическом уровнях
- регулируемое управление изменениями в системе информационной безопасности, включая контроль за всеми изменениями в настройках программных и аппаратных средств
- автоматизация процесса принятия решений в области управления доступом к информационным ресурсам,
- автоматизация формирования политик информационной безопасности по управлению доступом и подробных инструкций на их основе
- контроль организационной и сетевой инфраструктуры ФНС России, в том числе: учет программных и аппаратных средств системы информационной безопасности, проверка соответствия изменений принятой политике ИБ и другим организационно-распорядительным документам ФНС России.
5.16. Мероприятия по централизованному управлению информационной безопасностью
Система Централизованного управления информационной безопасностью корпоративной информационно-телекоммуникационной системы (ЦУИБ ИТКС) предназначена для обеспечения эффективного контроля за состоянием информационной безопасности, обобщенного анализа поступающих данных от средств защиты информации и своевременного адекватного реагирования на изменение ситуации.
Система ЦУИБ ИТКС обеспечивает функции контроля работоспособности и производительности всех подсистем ИБ, управления их конфигурацией, анализа функционирования и генерации отчетов о состоянии используемых решений. Использование данной системы позволяет организовать центральную точку сбора всей регистрируемой информации и предоставить единую консоль управления функционированием используемых программных и аппаратных продуктов.
Основными задачами ЦУИБ ИТКС является:
- предоставление единого центра управления средствами защиты информации и сервисами автоматизированной системы;
- сбор информации от всех компонент системы;
- обеспечение централизованной обработки регистрируемой информации и предоставление единой точки хранения данных;
- разделение этапов и стадий обработки поступающих данных для обеспечения максимально эффективного и оперативного их анализа;
- ведение архива событий безопасности;
- интеллектуальная обработка последовательности событий с последующей выработкой решения;
- предоставление возможности масштабируемости всех подсистем, включая саму подсистему управления;
- интеграция продуктов различных производителей для максимально эффективного совместного функционирования;
- отслеживание и предотвращение возможных неполадок в работе компонент.
Система ЦУИБ ИТКС должна выполнять следующие функции:
- сбор информации от конечных устройств (сетевого оборудования, средств защиты информации и т.п.);
- обработка событий с последующим преобразованием и анализом данных;
- корреляция событий с последующим принятием решения;
- обеспечение централизованного управления безопасностью в соответствии с установленной политикой, в том числе аутентификацией и авторизацией доступа пользователей к корпоративным информационным ресурсам.