《信息安全体系定级指南精编版》由会员分享,可在线阅读,更多相关《信息安全体系定级指南精编版(69页珍藏版)》请在金锄头文库上搜索。
1、信息安全体系定级指南,等级确定的依据 等级确定方法 定级报告 定级举例,信息系统安全保护等级的依据,开展安全等级保护定级工作依据的政策和法律依据 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号) 关于信息安全等级保护工作的实施意见(公通字200466号) 信息安全等级保护管理办法(公通字200743号) 关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号),信息系统安全保护等级的依据,开展安全等级保护定级工作的技术依据 基础标准:计算机信息系统安全等级保护划分准则(GB17859) 基线标准:信息系统安全等级保护基本要求 辅助标准:定级指南、实施
2、指南、测评要求 目标标准: 信息系统通用安全技术要求(GB/T20271) 网络基础安全技术要求(GB/T20270) 操作系统安全技术要求(GB/T20272) 数据库管理系统安全技术要求(GB/T20273) 终端计算机系统安全等级技术要求(GA/T671) 信息系统安全管理要求(GB/T20269) 信息系统安全工程管理要求(GB/T20282) 产品标准:防火墙、入侵检测、终端设备隔离部件等,信息系统安全保护等级的依据,信息系统安全保护等级的依据,等级确定原则和要求 “自主定级、自主保护”与国家监管相统一原则 “谁主管谁负责,谁运营谁负责”的原则 定级工作的要求 加强领导,落实保障 明
3、确责任,密切配合 动员部署,开展培训 及时总结,提出建议,信息系统安全保护等级的依据,定级要素与安全保护等级的关系,内容简介,等级确定的依据 等级确定方法 定级报告 定级举例,信息系统安全保护等级的确定,定级工作的主要步骤 第一步,摸底调查,掌握信息系统底数 第二步,确定定级对象 第三步,初步确定信息系统等级 第四步,信息系统等级评审 第五步,信息系统等级的最终确定与审批,信息系统安全保护等级的确定,第一步,摸底调查,掌握信息系统底数1 按照定级工作通知确定定级范围 掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况 为下一步明确要求、落实责任奠定基础。,信息系统安全保
4、护等级的确定,第一步,摸底调查,掌握信息系统底数2 识别单位基本信息 识别管理框架 识别业务种类、流程和服务 识别信息 识别网络结构和边界 识别主要的软硬件设备 识别用户类型和分布,信息系统安全保护等级的确定,摸底调查1)识别单位基本信息 调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所属行业、业务范围、地理位置等基本情况 具有上级主管机构(如果有)的信息 作用:有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位,信息系统安全保护等级的确定,摸底调查2)识别管理框架 调查了解定级对象信息系统所在单位的组织管理结构、管理策略、部门设
5、置和部门在业务运行中的作用、岗位职责 了解信息系统的管理、使用、运维的责任部门 当单位的信息系统存在分布于不同的物理区域的情况时,应了解不同区域系统运行的安全管理责任 安全管理的责任单位就是等级保护备案工作的责任单位 作用:有利于将来对整个单位制定等级保护管理框架及单个定级对象等级管理策略。,信息系统安全保护等级的确定,摸底调查3)识别业务种类、流程和服务 调查了解定级对象信息系统内部处理多少种业务,各项业务具体要完成的工作内容、服务目标和业务流程等,不同信息系统之间的业务关系 了解这些业务与单位职能的关联,单位对定级对象信息系统完成业务使命的期待和依赖程度,由此判断该信息系统在单位的作用和影
6、响程度。 应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面 作用:这些具体数据即可以为主管部门制定定级指导意见提供参照,也可以作为主管部门审批定级结果的重要依据,信息系统安全保护等级的确定,摸底调查4)识别信息 调查了解定级对象信息系统所处理的信息,及对信息的三个安全属性的需求 了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化 根据系统不同业务数据可能是用户数据、业
7、务处理数据、业务过程记录(流水)数据、系统控制数据或文件等 了解数据信息还应关注信息系统的数据流,以及不同信息系统之间的数据交换或共享关系,信息系统安全保护等级的确定,摸底调查5)识别网络结构和边界 调查了解定级对象信息系统所在单位的整体网络状况和安全防护情况,包括 网络覆盖范围(全国、全省或本地区) 网络的构成(广域网、城域网或局域网等) 内部网段/VLAN划分,网段/VLAN划分与系统的关系 与上级单位、下级单位、外部用户、合作单位等的网络连接方式 与互联网的连接方式 作用:了解定级对象信息系统自身网络在单位整个网络中的位置,该信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的
8、网络安全保护与单位内部网络环境的安全保护的关系,信息系统安全保护等级的确定,摸底调查6)识别主要的软硬件设备 调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等 设备所在网段,在系统中的功能和作用 信息系统定级本应仅与信息系统有关,但由于在划分信息系统时,不可避免地会涉及到设备共用问题 调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度,信息系统安全保护等级的确定,摸底调查7)识别用户类型和分布 调查了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型 了解用户或用户群的数量分布,各类用户可访问的数据信息类型和操作权限 作用:了
9、解用户类型和数量,有助于判断系统服务中断或系统信息被破坏可能影响的范围和程度,信息系统安全保护等级的确定,第二步,确定定级对象1 应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件 起传输作用的基础网络要作为单独的定级对象 确认负责定级的单位是否对所定级系统具有控制、管理等责任,对信息系统所承载的业务有主管责任 具有信息系统的基本要素,信息系统安全保护等级的确定,第二步,确定定级对象2 定级对象的三个条件 承载相对独立或单一业务应用的信息系统 信息系统的信息安全由本单位主管 具有信息系统的基本要素(计算机及其相关配套设备、实施构成的人机系统)
10、 只有同时满足上述三个条件,才可由本单位对其进行定级 起支撑作用的网络可以作为定级对象 应用类的信息系统以应用种类划分定级对象,信息系统安全保护等级的确定,第二步,确定定级对象3 定级对象识别 安全责任单位:依据安全责任单位的不同,划分信息系统 业务类型和业务重要性:根据业务的类型、功能、阶段的不同,对信息系统进行划分 分析物理位置的差异:根据物理位置的不同,对信息系统进行划分,信息系统安全保护等级的确定,第二步,确定定级对象4 确定定级对象信息系统边界和边界设备 确定定级对象信息系统的边界和边界设备 服务器共用的系统一般归入同一个信息系统 不同信息系统的共用设备一般是网络/边界设备或终端设备
11、 两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较高者确定 信息系统的管理终端与相应被管理的服务器、网络设备及安全设备等同属于一个系统 处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端,信息系统安全保护等级的确定,第三步,初步确定信息系统等级-1 信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级 既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低 信息网络
12、的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准,决定等级的主要因素分析,划分等级时应考虑以下因素: 系统所属类型,即信息系统的安全利益主体。 信息系统主要处理的业务信息类别。 系统服务范围,包括服务对象和服务网络覆盖范围。 业务依赖程度,或以手工作业替代信息系统处理业务的程度。 其中第1、2个要素决定信息系统内信息资产的重要性,第3、4个要素决定信息系统所提供服务的重要性,而信息资产及信息系统服务的重要性决定了信息系统的重要性。,决定等级的主要因素分析,系统所属类型,业务信息类别,系统服务范围,
13、业务依赖程度,业务信息安全性,业务服务保证性,决定等级的主要因素分析,业务信息安全性,业务服务保证性,信息系统安全保护等级,信息系统安全保护等级的确定,第三步,初步确定信息系统等级-2 信息系统跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级 由各行业统一规划、统一建设、统一安全保护策略的信息系统,应由各部委统一确定一个级别 由各部委统一规划、分级建设、运行的信息系统,应由部、省、地市分别确定系统等级,但各行业应对该类系统提出定级意见,避免出现同类系统定级出现较大偏差问题,信息系统安全保护等级的确定,第三步,初步确定信息系统等级-3,1、确定定级对象,3、综合评定对客体的
14、侵害程度,2、确定业务信息安全受到破坏时所侵害的客体,4、业务信息安全等级,6、综合评定对客体的侵害程度,5、确定系统服务安全受到破坏时所侵害的客体,7、系统服务安全等级,8、定级对象的安全保护等级,信息系统安全保护等级的确定,第三步,初步确定信息系统等级-4 确定受侵害客体 定级对象受到破坏时所侵害的客体包括: 国家安全 社会秩序、公众利益 公民、法人和其他组织的合法权益 确定侵害客体时从定级对象的两方面进行考虑: 业务信息安全被破坏时所侵害的客体 系统服务安全被破坏时所侵害的客体,信息系统安全保护等级的依据,确定受侵害客体1)国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控
15、制系统等属于影响国家政权稳固和国防实力的信息系统; 广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件; 处理国家对外活动信息的信息系统; 处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统; 尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统; 电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。,信息系统安全保护等级的依据,确定受侵害客体1)国家安全 侵害国家安全的事项包括以下方面: 影响国家政权稳固和国防实力; 影响国家统一、民族团结和社会安定; 影响国家对外活动中的政治、
16、经济利益; 影响国家重要的安全保卫工作; 影响国家经济竞争力和科技实力; 其他影响国家安全的事项。,信息系统安全保护等级的依据,确定受侵害客体2)社会秩序 财政、金融、工商、税务、公检法、海关、社保等的信息系统; 教育、科研机构的工作系统; 所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统 侵害社会秩序的事项包括以下方面: 影响国家机关社会管理和公共服务的工作秩序; 影响各种类型的经济活动秩序; 影响各行业的科研、生产秩序; 影响公众在法律约束和道德规范下的正常生活秩序等; 其他影响社会秩序的事项。,信息系统安全保护等级的依据,确定受侵害客体3)公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面 如公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等 影响公共利益的事项包括以下方面: 影响社会成员使用公共设施; 影响社会成员获取公开信息资源; 影响社会成员接受公共服务等方面; 其他影响公共利益的事项。,信息系统安全保护等级的依据,确定受侵害客体-4)公民、法人和其他组
