Інститут спеціального зв’язку та захисту інформації НТУУ «КПІ»
Спеціальна кафедра№2
Звіт
Про виконання завдання №2
«Впровадження програмного забезпечення інформаційної системи»
Виконав: курсант С-37 взводу
Рядовий ДСЗ Михайлов Ю.А.
Київ-2015
Мета роботи
Закріплення, поглиблення та узагальнення теоретичних знань, набутих курсантами під час лекції «Організація внутрішньооб’єктового режиму на підприємствах» та самостійної роботи, а також розвитку навичок їх практичного застосування, самостійного та комплексного розв’язання конкретних фахових завдань.
Стислі теоретичні відомості
Забезпечення безпеки матеріальних носіїв інформації з обмеженим доступом
Організаційні заходи внутрішньооб’єктового режиму розробляються на підставі технології обробки матеріальних носіїв інформації, аналізу ризиків, сформульованої політики безпеки матеріальних носії інформації з обмеженим доступом. Визначаються основні завдання безпеки, загальні правила обробки матеріальних носії інформації, мету побудови та функціонування комплексної системи безпеки. План забезпечення безпеки матеріальних носіїв інформації з обмеженим доступом має фіксувати на певний момент часу, виконавців які не мають доступу до матеріальних носіїв інформації але беруть участь в обслуговуванні.
На рівні забезпечення безпеки матеріальних носіїв інформації з обмеженим доступом повинні бути відпрацьовані:
– процедура доведення до відома співробітників основних положень концепції безпеки матеріальних носіїв інформації з обмеженим доступом, вимоги по навчанню персоналу правил безпеки матеріальних носіїв інформації з обмеженим доступом;
– систему контролю за реалізацією прийнятих рішень і відповідальності посадових осіб.
На організаційному рівні повинні бути розглянуті:
– організаційна структура служби, яка відповідає за забезпечення режиму безпеки матеріальних носіїв інформації з обмеженим доступом, розподіл обов’язків, комплекс профілактичних мір (попередження появі вірусів, попередження навмисних дій, що ведуть до порушення безпеки матеріальних носіїв інформації з обмеженим доступом);
– організація доступу співробітників сторонніх підприємств до ресурсів інформаційної системи;
– організація доступу користувачів і персоналу до конкретних ресурсів;
– політика по відношенню до окремих аспектам, віддалений доступ до інформаційної системи, використання відкритих ресурсів (наприклад, Інтернету).
Розглянемо програмно-технічні засоби, реалізуючи задані вимоги.
Якщо вимоги формулюються у термінах функцій безпеки, розглядаються механізми безпеки і відповідаючи їм варіанти програмних і апаратних реалізацій.
Якщо вимоги формулюються по підсистемам інформаційної системи, розглядаються варіанти програмно-апаратної реалізації цих підсистем.
При розгляді різних варіантів рекомендується враховувати наступні аспекти:
– управління доступу до матеріальних носіїв інформації, включаючи вимоги до розподілу обов’язків і ресурсів;
– облік значних подій у журналі для цілей посиленого контролю або спеціальних розслідувань;
– перевірка і забезпечення цілісності критично важливих даних на усіх стадіях їх обробки;
– безпека матеріальних носіїв інформації з обмеженим доступом від несанкціонованого доступу, у тому числі використання засобів шифрування;
– резервне копіювання критично важливих даних;
– поновлення роботи інформаційної системи після відказів, особливо для систем із підвищеними вимогами до доступності;
– безпеки від внесення несанкціонованих доповнень і змін;
– забезпечення засобів контролю, наприклад, використання програми для вибіркового контролю і альтернативні варіанти програмного забезпечення для повторення критично важливих розрахунків.
Заходи щодо забезпечення безпеки матеріальних носіїв інформації з обмеженим доступом на всіх етапах їх життєвого циклу повинні регулярно переглядатися та при необхідності змінюватися. Зміни та доповнення до них затверджуються на тому ж рівні та в тому порядку, що і основний документ.
Наведемо варіант форми плану забезпечення безпеки матеріальних носіїв інформації з обмеженим доступом на всіх етапах життєвого циклу об’єкту, а саме запропонуємо варіант форми плану, який наведено нижче.
ПОГОДЖЕНО Генеральний директор ТОВ «Ко-ко-лад» К. Р. Остапенко 25.03.2015 |
|
ЗАТВЕРДЖУЮ Генеральний директор АТ «СпецІнфо» Ю.А. Михайлов 25.03.2015 |
ПЛАН
забезпечення безпеки матеріальних носіїв інформації з обмеженим доступом за темою: «Класифікатор інформації інформаційної системи»
1. Найменування теми «Впровадження програмного забезпечення інформаційної системи» шифр 443916010.
Тема відноситься до організаційно-технічних робіт, технічне завдання та документація до нього, технічні параметри.
Розробляються в підрозділі контролю смаку та якості підприємства АТ «СпецІнфо».
Строк виконання технічної безпеки з 26.03.2015 до 26.04.2017.
Технічна безпека інформації з обмеженим доступом виконується на підставі рішення ради директорів №772 від 23.03.2015.
Примітка. Керівник теми при складанні плану заходів необхідно керуватися стандартом підприємства: 86710:2014.
2. Підприємство-замовник (адреса і найменування) «Ко-ко-лад», м. Київ, вул. Волго-Донська буд. 73
3. Адреса і найменування співвиконавця за темою (характер виконуваної роботи, керівник роботи, найменування посади, інформованість про роботи, що виконуються за темою) виконуючий обов’язки головного менеджера по ІБ – Пархоменко Сергій Вікторович.
4. Виконавці які мають доступ до матеріальних носіїв інформації з обмеженим доступом
Посада |
Прізвище, ініціал(и) |
Місце роботи(відділ, цех, тощо) |
Форма допуску |
Головний інжеренер |
Рикитенко М.П. |
Відділ технічного обслуговування |
1 |
Начальник відділу ІБ |
Рось Б.В. |
Відділ ІБ |
1 |
Системний адміністратор |
Костенко Л.В. |
Відділ технічного обслуговування |
2 |
5. Виконавці які не мають доступу до матеріальних носіїв інформації і беруть участь в технічному обслуговуванні за темою
Посада |
Прізвище, ініціал(и) |
Місце роботи(відділ, цех, тощо) |
Форма допуску |
Сантехнік |
Ступенко Е.А. |
Відділ технічного обслуговування |
|
Прибиральник |
Жилянський Л.К. |
Відділ технічного обслуговування |
|
6. Порядок користування інформації з обмеженим доступом з дозволу керівництва:
-з дозволу канцелярії АТ «СпецІнфо».
7. Порядок ознайомлення з матеріалами розробника:
–через керівника робіт: головний інженер Рикитенко М.П.
8. Порядок листування за темою визначення повних вимог замовника, звіт про перевірку системного забезпечення може відбутися у будь-який зручний час.
9. Порядок проведення нарад (приміщення, № кімнати, об’єм інформації) Головний офіс організації, каб. №271 «АТЕСТОВАНЕ».
10. Перелік матеріальних носіїв інформації з обмеженим доступом, необхідних при виконанні
Назва документу |
Примітка |
Інструкція №3 |
|
Положення №12 |
|
Примітка. Керівник теми при визначенні необхідного виду інформації з обмеженим доступом, в залежності від характеру розробки, необхідно керуватися стандартом підприємства.
11. Порядок опублікування та передачі документів стороннім підприємствам: визначається головним інженером АТ «СпецІнфо».
12. Заходи щодо технічної безпеки початок з 29.03.2015 до 07.04.2017
а) відомості, що підлягають безпеки за допомогою технічних засобів
б) види та засоби технічної безпеки