• обоснование показателей надежности подсистемы обеспечения безопасности информации, подсистемы связи и передачи данных, в том числе их основных компонент, в условиях возможного компьютерного нападения или вирусного заражения, а также определение путей их повышения; анализ влияния надежности программно-технических средств и технологии функционирования составных частей АС субъекта РФ на показатели надежности подсистемы обеспечения безопасности информации;
• описание комплекса мероприятий по обоснованию достоверности получаемой с помощью АС субъекта РФ информации;
• анализ имеющихся лицензий и сертификатов на все программно-технические средства АС субъекта РФ, выданных органами по сертификации и лицензированию, на предмет их достаточности и соответствия модели нарушителя;
• требования к безопасности информации в АС субъекта РФ, включающие в себя требования к уровню защиты от несанкционированного доступа;
• распределение задач (функций) между встроенными средствами защиты информации операционной системы, СУБД, прикладными программами и специальными средствами защиты информации при их взаимодействии по обеспечению безопасности информации, а также их достаточности и непротиворечивости;
• описание основных путей и этапов реализации Концепции;
• технико-экономическую оценку работ по реализации Концепции;
• описание состава подсистем, обеспечивающих защиту информации от нарушения ее целостности и достоверности, а также штатное функционирование программно-технических средств сбора, обработки, накопления, хранения, поиска и передачи информации в АС субъекта РФ;
• требования по исключению влияния внешней среды на защищаемые ресурсы АС субъекта РФ.
1.6. Российская специфика разработки политик безопасности
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса о разработке политики информационной безопасности на современном предприятии связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого в дополнение к требованиям и рекомендациям стандартов [1] , Конституции и федеральным законам [2] , руководящим документам Гостехкомиссии (ФСТЭК) России приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике в соответствии с рекомендациями Федерального закона № 184-ФЗ «О техническом регулировании» методики международных стандартов, таких, как ISO 17799 (BS 7799), ISO 9001, ISO 15408, ISO 13335, BSI, CobiT, ITIL [3] и др., а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия.
