- •Содержание
- •Частьi. Разработка проекта подсистемы защиты информации от несанкционированного доступа………5
- •Часть II. Формулирование политики безопасности подразделений и информационных служб………………...33
- •Введение
- •Часть I. Разработка проекта подсистемы защиты информации от несанкционированного доступа
- •1. Определение перечня защищаемых ресурсов и их критичности
- •2. Определение категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности
- •3. Определение особенностей расположения, функционирования и построения средств компьютерной системы. Определение угроз безопасности информации и класса защищенности ас
- •3.1. Анализ информационной архитектуры системы
- •3.1.1. Определение информационных потребностей должностных лиц подразделений
- •3.1.2. Формирование (определение) перечня информационных услуг (информационных служб, функциональных компонент), предоставляемых информационной системой пользователям
- •3.2. Определение класса защищенности ас
- •3.2.1. Определение уровня защищенности испДн
- •4. Формирование требований к построению сзи
- •5. Определение уязвимостей ис и выбор средств защиты информации. Разработка модели угроз
- •5.1. Модель угроз
- •5.2. Модель нарушителя
- •6. Выбор механизмов и средств защиты информации от нсд
- •Часть II. Формулирование политики безопасности подразделений и информационных служб
- •1. Определение способов реализации правил разграничения доступа пользователей к информационным ресурсам
- •2. Формирование исчерпывающего набора правил разграничения доступа конкретных пользователей к конкретным службы.
- •Заключение
- •Список источников
- •Прииложение а
- •Приложение б
2. Определение категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности
На основе анализа особенностей информационных ресурсов организации и штатного состава подразделений определяются:
необходимость работы некоторых штатных категорий должностных лиц с различными информационными компонентами, содержащими защищаемую информацию;
должностные лица, ответственные за поддержание актуальности различных разделов информационной базы;
перечень типов операций с различными категориями документов (чтение, изменение, уничтожение, создание и т.п.) для отдельных категорий пользователей.
На основе этих данных разрабатывается таблица прав доступа персонала к внутренним и внешним ресурсам.
Таблица 2 – Таблица прав доступа персонала к внутренним и внешним ресурсам
№ п/п |
Должностные лица, допущенные к защищаемым ресурсам ОВТ |
Защищаемые ресурсы | |||||
Полное наименование ресурса |
Условное наименование ресурса |
Разрешенные виды доступа | |||||
Чтение |
Запись/ Изменение |
Удаление |
Запуск | ||||
1 |
Начальник администрации |
Папка «Документы нач. администрации» |
ДНО |
+ |
+ |
+ |
+ |
Папка «Документы замнач. администрации» |
ДЗНО |
+ |
+ |
- |
+ | ||
Папки «Документы специалиста администрации» |
ДСО |
+ |
+ |
- |
+ | ||
Папка «Общие документы администрации» |
ОД |
+ |
+ |
+ |
+ | ||
2 |
Заместитель начальника администрации |
Папка «Документы замнач. администрации» |
ДЗНО |
+ |
+ |
+ |
+ |
Папки «Документы специалиста администрации» |
ДСО |
+ |
+ |
- |
+ | ||
Папка «Общие документы администрации» |
ОД |
+ |
+ |
+ |
+ | ||
3 |
Специалист администрации |
Папки «Документы специалиста администрации» |
ДСО |
+ |
+ |
+ |
+ |
Папка «Общие документы администрации» |
ОД |
+ |
+ |
- |
+ |
3. Определение особенностей расположения, функционирования и построения средств компьютерной системы. Определение угроз безопасности информации и класса защищенности ас
3.1. Анализ информационной архитектуры системы
3.1.1. Определение информационных потребностей должностных лиц подразделений
Обмен файлами. Реализуется встроенными средствами операционной системы Windows посредством распределённой вычислительной сети. Сетевые папки пользователей хранятся на сервере.
Обмен сообщениями в реальном масштабе времени. Реализуется по средствам передачи через сеть Internetлибо с помощью программы Chat For Local Net.
Доступ в БД. Реализуется встроенными средствами операционной системы Windows посредством распределённой вычислительной сети. Сетевые папки пользователей хранятся на сервере.
Передача голосовых сообщения. Реализуется посредством установки Microsoft LyncServer 2011
3.1.2. Формирование (определение) перечня информационных услуг (информационных служб, функциональных компонент), предоставляемых информационной системой пользователям
совместная обработка информации;
совместная передача данных;
совместная передача и получение мгновенных и e-mail-сообщений через сеть Internet;
доступ к внешним информационным ресурсам;
обмен голосовыми сообщениями и посредством применения Microsoft LyncServer 2011
3.1.3. Определение особенностей размещения основных систем и служб ИС, а также прокладки и использования кабельной системы, линий и каналов связи, особенностей расположения и использования элементов систем коммуникаций и жизнеобеспечения
Распределенная вычислительная сеть учреждения, построенная на базе нескольких ЛВС, располагается в нескольких контролируемых зонах. Не исключается возможность непосредственного физического подключения внешнего злоумышленника к информационной системе. Кабель связи проходит как внутри помещений контролируемой зоны (доступ в эти помещения для лиц, не работающих на предприятии, запрещен, либо существенно затруднен), так и за её пределами, где возможен съем информации. Кабель связи распределённой вычислительной сети расположен в специальных металлических коробах, для того чтобы значительно уменьшить электромагнитное излучение проводов, коммутаторы, маршрутизаторы и сервера находятся в стойках в специальных помещениях с ограниченным доступом. Каждый отдел расположен в закрытом помещении внутри контролируемого помещения.
В здании предусмотрены следующие системы коммуникаций и жизнеобеспечения:
источники бесперебойного питания на всех АРМ и серверах, а также для сетевого оборудования;
система пожарной сигнализации;
система автоматического пожаротушения;
система кондиционирования в серверных помещениях.