- •Введение
- •1 Анализ современных отечественных и зарубежных технологий защиты информации
- •2 Аналитическая часть
- •2.1 Исследование объекта защиты
- •2.1.1 Общая характеристика органа муниципального управления
- •2.1.2 Организационная структура
- •2.1.3 Анализ существующей информационной системы
- •2.2 Основные угрозы информационной безопасности
- •2.2.1 Классификация угроз информационной безопасности
- •2.2.2 Неформальная модель нарушителя
- •2.2.3 Описание модели угроз
- •2.2.4 Оценка рисков
- •2.3 Нормативно-правовая база организации защиты информации
- •3 Конструкторская часть
- •3.1 Общие принципы построения комплексной системы защиты информации
- •3.2 Организационные меры защиты
- •3.3 Физические меры защиты
- •З.4 Аппаратно-программные средства защиты
- •3.4.1 Средства защиты информации от несанкционированного доступа
- •3.4.2 Средства криптографической защиты информации
- •3.4.3 Антивирусное программное обеспечение
- •3.4.4 Межсетевое экранирование
- •3.4.5 Резервирование информации
- •3.4.6 Обеспечение целостности данных при отключении электроэнергии
- •4 Организационно-экономическая часть
- •4.1 Расчет стоимости проекта
- •4.2 План организационных мероприятий по внедрению разработанной системы
- •4.3 Описание эффекта от внедрения разработанной системы
- •5 Безопасность жизнедеятельности
- •5.1 Введение в безопасность жизнедеятельности
- •5.2 Условия трудовой деятельности инженера
- •5.3 Требования к помещению
- •5.3.1 Требования к освещению
- •5.3.2 Требования по шуму и вибрации
- •5.3.3 Требования по электромагнитному излучению
- •5.3.4 Требования по микроклимату
- •5.3.5 Требования по окраске помещений
- •5.3.6 Требования к режиму труда
- •5.3.7 Требования к эргономике рабочего места
- •5.3.8 Требования по пожаробезопасности
- •5.3.9 Требования по электробезопасности
- •5.3.10 Выводы по разделу
- •Список литературы
- •Приложение в
- •Приложение г
- •Приложение д
- •Приложение е
- •Приложение ж
- •II. Взаимоотношения и связи
- •III. Должностные обязанности
- •IV. Права
- •V. Ответственность:
- •2. Порядок пропуска в административное здание и проезд транспортных средств на прилегающую к зданию территорию
- •3. Оформление и выдача постоянных электронных пропусков
- •5. Оформление и выдача разовых электронных пропусков
- •6. Соблюдение внутриобъектового режима
- •7. Контроль за соблюдением пропускного и внутриобъектового режима
- •Приложение к
- •I.Общие положения
- •II. Цели и задачи отдела
- •III. Структура
- •IV. Руководство
- •V.Деятельность
- •VI. Права и ответственность отдела по защите информации.
- •VII. Взаимодействие отдела с другими структурными подразделениями.
- •VIII. Заключительные положения
3.2 Организационные меры защиты
Организационные (административные) меры защиты – это меры, регламентирующие процессы функционирования автоматизированной системы, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.
Комплекс организационных мероприятий включает разработку следующей необходимой документации:
- должностные инструкции;
- положения об обработке персональных данных;
- приказы;
- журналы:
журнал регистрации выявленных нарушений;
журнал регистрации используемого программного обеспечения;
журнал по учету носителей информации, содержащих персональные данные;
журнал учета обращений граждан (субъектов персональных данных);
- обязательства сотрудников органа муниципального управления о неразглашении данных;
- регламенты взаимодействия между подразделениями органа муниципального управления;
- регламенты использования программного обеспечения;
- регламенты использования ресурсов сети Интернет;
- требования к профессиональной подготовке персонала.
При организации рабочих процессов в местной администрации необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к защищаемым персональным данным. Руководитель администрации должен утвердить перечень должностных лиц, допущенных к обработке персональных данных в информационной системе. Порядок их доступа к конфиденциальным сведениям и персональным данным, хранящимся в базах данных информационной системы, должен определяться соответствующими регламентами и должностными инструкциями.
К организационным мероприятиям по защите ценной информации можно отнести следующие меры:
1. Чёткое разделение персонала с выделением помещений или расположением подразделений компактными группами на некотором удалении друг от друга.
2. Ограничение доступа в помещения посторонних лиц или сотрудников других подразделений.
3. Жёсткое ограничение круга лиц, имеющих доступ к каждому компьютеру. Выполнение данного требования является самым трудным, поскольку довольно часто нет средств на покупку ПК для каждого сотрудника.
4. Требование от сотрудников в перерывах выключать компьютер или использовать специальные программы – хранители экранов, которые позволяют стереть информацию с экрана монитора и закрыть паролем возможность снятия режима хранителя экрана.
Главная цель организационных мер, предпринимаемых на высшем управленческом уровне, – сформировать политику в области обеспечения безопасности информации и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Под политикой информационной безопасности органа муниципального управления понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика должна четко очертить сферу влияния и ограничения при определении целей безопасности информации, определить, какими ресурсами (материальные, персонал) они будут достигнуты, найти разумный компромисс между приемлемым уровнем безопасности и функциональностью автоматизированной системы, определить процедуры и правила достижения целей и решения задач безопасности информации и детализировать (регламентировать) эти правила.
Элементами осуществления политики безопасности информации являются:
1. Принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности информации, определение лиц, ответственных за ее реализацию.
2. Определение области применения политики безопасности информации;
3. Формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации.
4. Принятие решений по вопросам реализации программы безопасности.
5. Обеспечение нормативной правовой базы вопросов безопасности.
6. Определение роли и обязанности должностных лиц, отвечающих за проведение политики безопасности информации.
7. Определение и разграничение прав доступа и регламента обращения к защищаемой информации.
8. Выбор программно-математических и технических (аппаратных) средств криптографической защиты, противодействия несанкционированным действиям, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.
Организационные меры, реализующие правовой режим, предусматривают создание и поддержание правовой базы защиты информации и разработку (введение в действие) следующих организационно-распорядительных документов:
1. Положение о сохранности служебной информации ограниченного распространения.
Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность работников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) организациям.
2. Перечень сведений, отнесенных к категории конфиденциальных (служебная информация ограниченного распространения, коммерческая тайна, банковская тайна, персональные данные), уровня и сроков обеспечения ограничений по доступу к защищаемой информации.
3. Приказы и распоряжения по установлению режима защиты информации: о создании комиссии по формированию Перечня сведений ограниченного распространения, о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации, о вводе в эксплуатацию объектов информатизации, о назначении выделенных помещений, о допуске работников к работе со служебной информацией ограниченного распространения, о назначении лиц, ответственных за обеспечение сохранности служебной информации ограниченного распространения в автоматизированной системе.
4. Инструкции и функциональные обязанности работников по организации охранно-пропускного режима, делопроизводства, работы со служебной информацией ограниченного распространения в электронной форме, по допуску сторонних организаций и учреждений к информационным ресурсам предприятия, по защите служебной информации ограниченного распространения, по организации модификаций аппаратно-программных конфигураций.
5. другие нормативные правовые акты.