- •Содержание
- •Частьi. Разработка проекта подсистемы защиты информации от несанкционированного доступа………5
- •Часть II. Формулирование политики безопасности подразделений и информационных служб………………...37
- •Введение
- •Часть I. Разработка проекта подсистемы защиты информации от несанкционированного доступа
- •1. Определение перечня защищаемых ресурсов и их критичности
- •2. Определение категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности
- •3. Определение особенностей расположения, функционирования и построения средств компьютерной системы. Определение угроз безопасности информации и класса защищенности ас
- •3.1. Анализ информационной архитектуры системы
- •3.1.1. Определение информационных потребностей должностных лиц подразделений
- •3.1.2. Формирование (определение) перечня информационных услуг (информационных служб, функциональных компонент), предоставляемых информационной системой пользователям
- •3.2. Определение класса защищенности ас
- •3.2.1. Определение уровня защищенности испДн
- •4. Формирование требований к построению сзи
- •5. Определение уязвимостей ис и выбор средств защиты информации. Разработка модели угроз
- •5.1. Модель угроз
- •5.2. Модель нарушителя
- •6. Выбор механизмов и средств защиты информации от нсд
- •XSpider
- •Часть II. Формулирование политики безопасности подразделений и информационных служб
- •1. Определение способов реализации правил разграничения доступа пользователей к информационным ресурсам
- •2. Формирование исчерпывающего набора правил разграничения доступа конкретных пользователей к конкретным службы.
- •Заключение
- •Список источников
- •Прииложение а
- •Приложение б
3.2. Определение класса защищенности ас
Формирование требований по безопасности АС основывается на определении класса защищенности АС согласно руководящему документу Гостехкомиссии «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации». Для проведения классификации обратимся к ранее разработанным для Предприятия документам:
перечень защищаемых ресурсов АС и их уровней конфиденциальности;
перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
матрицы доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
режимов обработки данных в АС.
Исходя из вышеизложенных документов, все пользователи имеют одинаковые уровни допуска (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях одного уровня конфиденциальности, но имеют только один гриф - секретная, присвоим АС класс 1В.
Также необходимо обратить внимание что обрабатываются персональные данные, следовательно необходимо определить и уровень защищенности ИСПДн.
Определение класса защищенности АС позволяет сформировать набор требований по безопасности, которые предъявляются к этому классу систем. Эти требования изложены в РД Гостехкомиссии «Средства вычислительной техники. Защита от НСД. Показатели защищенности от несанкционированного доступа к информации». Кроме того, на основе класса защищаемой АС выбираются средства вычислительной техники (СВТ), которые должны иметь соответствующий класс защищенности СВТ. Для класса 1В и максимального уровня конфиденциальности «секретно» класс защищенности СВТ –не ниже 4 класса защищенности.
3.2.1. Определение уровня защищенности испДн
Уровень защищенности определяется согласно требований Постановлению Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Определим ПДн, которые обрабатываются в ИСПДн:
Фамилия, имя, отчество (ФИО);
Паспортные данные;
Данные о регистрации и месте проживания;
Дата рождения;
Должность и з/п;
ИНН.
Учитывая ограничения курсового проекта, объем обрабатываемых ПДн - от 1000 до 100000 субъектов, администрация района относится к органам государственной власти.
Для информационной системы будут актуальны угрозы 3-го типа, так как для АС учреждении администрации района актуальны угрозы, которые не связаны с наличием недокументированных (недекларированных) возможностей как в системном так и в прикладном программном обеспечении. Исходя из вышеперечисленного определяем, что для информационной системы для нашего учреждении администрации края необходимо и достаточно обеспечить 3-й уровень защищенности, а именно:
организовать режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
обеспечить сохранность носителей персональных данных;
утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
использовать средства защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
назначить должностных лиц, ответственных за обеспечение безопасности персональных данных в информационной системе.