- •Введение
- •1 Анализ современных отечественных и зарубежных технологий защиты информации
- •2 Аналитическая часть
- •2.1 Исследование объекта защиты
- •2.1.1 Общая характеристика органа муниципального управления
- •2.1.2 Организационная структура
- •2.1.3 Анализ существующей информационной системы
- •2.2 Основные угрозы информационной безопасности
- •2.2.1 Классификация угроз информационной безопасности
- •2.2.2 Неформальная модель нарушителя
- •2.2.3 Описание модели угроз
- •2.2.4 Оценка рисков
- •2.3 Нормативно-правовая база организации защиты информации
- •3 Конструкторская часть
- •3.1 Общие принципы построения комплексной системы защиты информации
- •3.2 Организационные меры защиты
- •3.3 Физические меры защиты
- •З.4 Аппаратно-программные средства защиты
- •3.4.1 Средства защиты информации от несанкционированного доступа
- •3.4.2 Средства криптографической защиты информации
- •3.4.3 Антивирусное программное обеспечение
- •3.4.4 Межсетевое экранирование
- •3.4.5 Резервирование информации
- •3.4.6 Обеспечение целостности данных при отключении электроэнергии
- •4 Организационно-экономическая часть
- •4.1 Расчет стоимости проекта
- •4.2 План организационных мероприятий по внедрению разработанной системы
- •4.3 Описание эффекта от внедрения разработанной системы
- •5 Безопасность жизнедеятельности
- •5.1 Введение в безопасность жизнедеятельности
- •5.2 Условия трудовой деятельности инженера
- •5.3 Требования к помещению
- •5.3.1 Требования к освещению
- •5.3.2 Требования по шуму и вибрации
- •5.3.3 Требования по электромагнитному излучению
- •5.3.4 Требования по микроклимату
- •5.3.5 Требования по окраске помещений
- •5.3.6 Требования к режиму труда
- •5.3.7 Требования к эргономике рабочего места
- •5.3.8 Требования по пожаробезопасности
- •5.3.9 Требования по электробезопасности
- •5.3.10 Выводы по разделу
- •Список литературы
- •Приложение в
- •Приложение г
- •Приложение д
- •Приложение е
- •Приложение ж
- •II. Взаимоотношения и связи
- •III. Должностные обязанности
- •IV. Права
- •V. Ответственность:
- •2. Порядок пропуска в административное здание и проезд транспортных средств на прилегающую к зданию территорию
- •3. Оформление и выдача постоянных электронных пропусков
- •5. Оформление и выдача разовых электронных пропусков
- •6. Соблюдение внутриобъектового режима
- •7. Контроль за соблюдением пропускного и внутриобъектового режима
- •Приложение к
- •I.Общие положения
- •II. Цели и задачи отдела
- •III. Структура
- •IV. Руководство
- •V.Деятельность
- •VI. Права и ответственность отдела по защите информации.
- •VII. Взаимодействие отдела с другими структурными подразделениями.
- •VIII. Заключительные положения
3 Конструкторская часть
3.1 Общие принципы построения комплексной системы защиты информации
Органы муниципального управления являются операторами персональных данных. Их информационные системы обрабатывают демографическую, финансовую и медицинскую информацию, к защите которой предъявляются очень высокие требования. Субъекты персональных данных, передавая сведения о себе, имеют право рассчитывать на соблюдение конфиденциальности при использовании данной информации. Для выполнения этого условия необходимо не только применение технических средств защиты (специальные сертифицированные программные и аппаратные средства защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным.
Защите подлежит следующая информация:
1. Основные направления деятельности муниципального образования:
1.1 Стратегические и тактические планы деятельности муниципального образования;
1.2 Сведения о специальных фондах;
1.3 Результаты проводимых научно-технических исследований и внедрения новых технологий, финансируемых из источников муниципального образования.
2. Информация о муниципальном образовании:
2.1 Управление муниципальным образованием, планы, совещания, финансы, переговоры, контракты и т.д.;
2.2 Штатное расписание, приказы по основной деятельности и по личному составу;
2.3 Данные о счетах, убытках, планируемых и получаемых средствах;
2.4 Сводный баланс муниципального образования;
2.5 Годовой отчет по валютному плану;
2.6 Бухгалтерские книги, сметы расходов, прочие бухгалтерские документы.
3. Собственная безопасность муниципального образования:
3.1 Сведения, раскрывающие систему, конфиденциальной информации в муниципальном образовании;
3.2 Специализированные компьютерные программы;
3.3 Сведения по системе охраны;
3.4 Изменение условий защиты сведений.
Объектами, подлежащими защите на объектах информатизации (ОИ), являются технические средства обработки информации и их элементы (включая программное обеспечение), а также вспомогательные технические средства и оборудование.
Основными классами технических средств обработки информации, подлежащими защите, являются:
1. Средства обработки изображений и знаковой информации.
2. Средства вычислительной техники.
3. Средства изготовления и размножения документов.
4. Средства обработки речевой информации.
Вспомогательные технические средства и оборудование включают:
1. Средства пожарной сигнализации;
2. Средства электропитания;
3. Средства сигнализации;
4. Средства освещения.
Организация обеспечения информационной безопасности в ИС и ее функционирование должны осуществляться в соответствии со следующими основными принципами (рисунок 8):
1. Системность и комплексность – предполагают обеспечение защиты ИС комплексом программных, технических средств и поддерживающих их организационных мер на всех этапах обработки и использования информации и способность системы к развитию и совершенствованию в соответствии с возможными изменениями условий функционирования.
Рисунок 8 - Основные принципы построения системы защиты информации
2. Своевременность.
Упреждающий характер мер обеспечения информационной безопасности - предполагает постановку задач по комплексной защите информации и реализацию мер обеспечения информационной безопасности на ранних стадиях разработки ИС в целом и ее системы защиты информации, в частности, на основе анализа и прогнозирования состояния мирового рынка технических и программных средств и информационных технологий, угроз информационной безопасности, а также разработку эффективных мер предупреждения посягательств на законные интересы государства, общества и личности.
3. Законность - разработка системы защиты информации в ИС на основе Федерального законодательства в области информации, информатизации и защиты информации, деятельности органов государственной власти, других нормативных актов по безопасности информации, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.
4. Научно-техническая обоснованность и реализуемость
Предлагаемые технические и программные средства, информационные технологии, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно-технически обоснованы с точки зрения достижения заданного уровня информационной безопасности и должны соответствовать установленным нормам и требованиям по безопасности информации.
5. Экономическая целесообразность.
Сопоставимость возможного ущерба и затрат - предполагает адекватность уровня затрат на обеспечение информационной безопасности ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения.
Помимо этого, требуется соблюдение таких принципов, как:
1. Специализация и профессионализм – привлечение к разработке и внедрению мер и средств защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области;
2. Взаимодействие и координация – предполагают осуществление мер обеспечения информационной безопасности на основе взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при разработке и функционировании ИС и ее системы защиты информации, подразделений и специалистов органов государственной власти, специализированных предприятий и организаций в области защиты информации, привлеченных для разработки системы защиты информации в ИС, координации их усилий для достижения поставленных целей Гостехкомиссией России (на этапе разработки и внедрения ИС) и службами безопасности органов государственной власти (на этапе функционирования системы).
3. Обязательность и эффективность контроля – обязательность и своевременность выявления и пресечения попыток нарушения системы обеспечения информационной безопасности на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
4. Преемственность и непрерывность совершенствования – постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового аппарата, анализа функционирования ИС и ее системы защиты информации с учетом изменений в методах и средствах перехвата информации, нормативных требований по ее защите, достигнутого отечественного и зарубежного опыта в этой области.
Кроме того, необходимо выполнение следующих условий:
1. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики ИС (надежность, быстродействие, возможность изменения конфигурации ИС).
2. Использование стандартизованных методических, программных и аппаратных продуктов, технологий и коммуникационной среды.
3. Ориентация на имеющиеся передовые, серийно выпускаемые виды технологии и техники, возможность межплатформенной интеграции
4. Анализ и использование международного опыта.