- •Введение
- •1 Анализ современных отечественных и зарубежных технологий защиты информации
- •2 Аналитическая часть
- •2.1 Исследование объекта защиты
- •2.1.1 Общая характеристика органа муниципального управления
- •2.1.2 Организационная структура
- •2.1.3 Анализ существующей информационной системы
- •2.2 Основные угрозы информационной безопасности
- •2.2.1 Классификация угроз информационной безопасности
- •2.2.2 Неформальная модель нарушителя
- •2.2.3 Описание модели угроз
- •2.2.4 Оценка рисков
- •2.3 Нормативно-правовая база организации защиты информации
- •3 Конструкторская часть
- •3.1 Общие принципы построения комплексной системы защиты информации
- •3.2 Организационные меры защиты
- •3.3 Физические меры защиты
- •З.4 Аппаратно-программные средства защиты
- •3.4.1 Средства защиты информации от несанкционированного доступа
- •3.4.2 Средства криптографической защиты информации
- •3.4.3 Антивирусное программное обеспечение
- •3.4.4 Межсетевое экранирование
- •3.4.5 Резервирование информации
- •3.4.6 Обеспечение целостности данных при отключении электроэнергии
- •4 Организационно-экономическая часть
- •4.1 Расчет стоимости проекта
- •4.2 План организационных мероприятий по внедрению разработанной системы
- •4.3 Описание эффекта от внедрения разработанной системы
- •5 Безопасность жизнедеятельности
- •5.1 Введение в безопасность жизнедеятельности
- •5.2 Условия трудовой деятельности инженера
- •5.3 Требования к помещению
- •5.3.1 Требования к освещению
- •5.3.2 Требования по шуму и вибрации
- •5.3.3 Требования по электромагнитному излучению
- •5.3.4 Требования по микроклимату
- •5.3.5 Требования по окраске помещений
- •5.3.6 Требования к режиму труда
- •5.3.7 Требования к эргономике рабочего места
- •5.3.8 Требования по пожаробезопасности
- •5.3.9 Требования по электробезопасности
- •5.3.10 Выводы по разделу
- •Список литературы
- •Приложение в
- •Приложение г
- •Приложение д
- •Приложение е
- •Приложение ж
- •II. Взаимоотношения и связи
- •III. Должностные обязанности
- •IV. Права
- •V. Ответственность:
- •2. Порядок пропуска в административное здание и проезд транспортных средств на прилегающую к зданию территорию
- •3. Оформление и выдача постоянных электронных пропусков
- •5. Оформление и выдача разовых электронных пропусков
- •6. Соблюдение внутриобъектового режима
- •7. Контроль за соблюдением пропускного и внутриобъектового режима
- •Приложение к
- •I.Общие положения
- •II. Цели и задачи отдела
- •III. Структура
- •IV. Руководство
- •V.Деятельность
- •VI. Права и ответственность отдела по защите информации.
- •VII. Взаимодействие отдела с другими структурными подразделениями.
- •VIII. Заключительные положения
4.2 План организационных мероприятий по внедрению разработанной системы
Согласно ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» стадия ввода системы защиты информации (СЗИ) в действие включает в себя следующие этапы:
Подготовка СЗИ к вводу в действие.
Подготовка персонала.
Комплектация автоматизированной системы поставляемыми изделиями (программными и техническими средствами).
Строительно-монтажные работы.
Пуско-наладочные работы.
Проведение предварительных испытаний.
Проведение опытной эксплуатации.
Разработка, внедрение и эксплуатация автоматизированной системы осуществляется в отрасли или на отдельном предприятии в соответствии с организационно-распорядительной и проектной документацией, учитывающей конкретные условия функционирования АС:
Положение о порядке организации и проведения в отрасли (на предприятии) работ по защите информации в АС.
Инструкция по защите информации, обрабатываемой в АС отрасли (на предприятии или в подразделениях предприятия).
Раздел «Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии», определяющий особенности системы допуска в процессе разработки и функционирования.
Приказы, указания, решения о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий:
- о назначении лиц, ответственных за эксплуатацию вычислительной системы, баз данных АСЗИ;
- о назначении уполномоченных службы безопасности и т.д..
Проектная документация различных стадий создания СЗИ.
Для подготовки СЗИ к вводу в действие проводятся такие мероприятия, как:
Разработка требований к организационным мерам по защите информации.
Реализация проектных решений по организационной структуре СЗИ на АС и процесса.
Разработка требований к организационным мерам по защите информации.
Реализация проектных решений по организационной структуре системы защиты информации АС и процесса включает в себя:
Организацию охраны и физической защиты помещений АС.
Организация охраны должны исключать НСД к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
Разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой на АС информации;
Выполнение других мероприятий, специфичных для конкретной АС и конкретных направлений защиты информации.
Для проведения этих мероприятий оформляется эксплуатационная документация, такая как:
план организационно-технических мероприятий по подготовке АС к внедрению средств и мер защиты информации.
приказы, указания и решения:
- на проектирование АС,
- о назначении ответственных исполнителей,
- на проведение работ по защите информации.
4.3 Описание эффекта от внедрения разработанной системы
Для каждого типа угроз может быть предпринята одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации зашиты.
Мера противодействия будет приемлема с экономической точки зрения, если ее эффективность, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию.
Говоря об эффективности системы защиты информации, необходимо понимать, что ни одна такая система в принципе не может гарантировать полной информационной безопасности. По этой причине для оценки качества внедряемых средств защиты и организационных предприятий применяют анализ рисков. В качестве основного критерия в данном случае является интегральный показатель рисков.
Ниже приведена таблица рисков для системы обработки информации органа муниципального управления до внедрения системы защиты информации и после него.
Таблица 10 - Риски до и после внедрения системы защиты информации
Описание угрозы |
Риск до внедрения системы |
Риск после внедрения системы |
Кража (копирование) программного обеспечения |
0 |
0 |
Подмена (несанкционированный ввод) информации |
4 |
1 |
Уничтожение (разрушение) данных на носителях информации |
4 |
1 |
Нарушение нормальной работы (прерывание) в результате вирусных атак |
2 |
1 |
Модификация (изменение) данных на носителях информации |
4 |
2 |
Перехват (несанкционированный съем) информации |
0 |
1 |
Кража (несанкционированное копирование) ресурсов |
1 |
0 |
Нарушение нормальной работы (перегрузка) каналов связи |
1 |
1 |
Непредсказуемые потери |
0 |
0 |
Суммарный риск |
16 |
7 |
продолжение
Таблицы 10.