Примерное содержание отчета, составляемого по результатам исследования состояния защищенности автоматизированной системы предприятия
Аннотация
Основные термины и определения
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Модель защиты автоматизированной системы предприятия.
1.2. Методология поиска уязвимостей автоматизированной системы, построения модели нарушителя, анализа угроз безопасности и риска потерь.
1.3. Рекомендации по использованию отчета.
1.4. Содержание.
2. ОПИСАНИЕ ФАКТИЧЕСКОГО СОСТОЯНИЯ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ
2.1. Состояние организационно-правового обеспечения безопасности автоматизированной системы предприятия.
2.2. Состояние перечня и содержания документов регламентирующих порядок создания, функционирования и модернизации системы безопасности автоматизированной системы предприятия.
2.3. Состояние кадрового обеспеченья безопасности автоматизированной системы предприятия, степень готовности персонала к решению задач защиты информации.
2.4. Состояние режима сохранности информации конфиденциального характера в автоматизированной системе и на машинных носителях.
2.5. Состояние программно-аппаратного обеспечения автоматизированной системы предприятия и системы защиты информации.
2.5.1. Структура и топология сети ЭВМ предприятия, установленные средства защиты.
2.5.2. Аппаратное обеспечение автоматизированной системы предприятия и системы защиты информации, состав, порядок использования и режимы работы.
2.5.3. Программное обеспечение автоматизированной системы предприятия и системы защиты информации, сервисы и службы сети ЭВМ.
2.5.4. Порядок и правила доступа к Internet .
2.6. Состав и структура потоков конфиденциальной информации и информации общего доступа циркулирующих в автоматизированной системе предприятия.
3. ТРЕБОВАНИЯ К ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ
3.1. Требования к организационно-методическому обеспечению.
3.1. Требования к кадровому обеспечению.
3.1. Требования к программно-аппаратному обеспечению.
4. УЯЗВИМОСТИ И НЕДОСТАТКИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
4.1. Уязвимости программно-аппаратного обеспечения автоматизированной системы предприятия и системы защиты информации.
4.1.1. Уязвимости сети ЭВМ предприятия, служб, сервисов и активного сетевого оборудования.
4.1.2. Уязвимости общего и специального программного обеспечения серверов автоматизированной системы предприятия.
4.1.2. Уязвимости общего и специального программного обеспечения типовых рабочих станций автоматизированной системы предприятия.
4.2. Уязвимости системы хранения информации на машинных носителях.
4.3. Уязвимости системы обеспечения доступа в Internet.
4.4. Недостатки технологии формирования информационных потоков
4.5. Недостатки организационно-правового обеспечения безопасности автоматизированной системы предприятия.
4.5.1. Недостатки состава и содержания документов, регламентирующих порядок создания, функционирования и модернизации системы безопасности автоматизированной системы предприятия.
4.5.2. Недостатки организационно-методических мер по обеспечению информационной безопасности.
4.6. Недостатки кадрового обеспеченья безопасности автоматизированной системы предприятия.
4.7. Недостатки режима сохранности информации конфиденциального характера в автоматизированной системе и на машинных носителях.
5. АНАЛИЗ УГРОЗ И РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
5.1. Требования уровню рисков в автоматизированных системах.
5.2. Модель потенциального нарушителя информационной безопасности.
5.2.1. Социолого-психологические характеристики модели нарушителя.
5.2.2. Квалификационные характеристики модели нарушителя.
5.2.3. Ресурсные характеристики модели нарушителя.
5.3. Построение инфологической модели системы обработки информации.
5.4. Характеристика угроз безопасности информации в рассматриваемой автоматизированной системе.
4.2.1 Характеристика непреднамеренных угроз.
4.2.2 Характеристика преднамеренных угроз.
5.5. Оценка риска информационной безопасности в рассматриваемой автоматизированной системе.