- •Постановка задачі
- •Характеристика підприємства
- •Категоріювання та обстеження об’єкту інформаційної діяльності
- •1.2 Обґрунтування необхідності створення ксзі
- •1.3 Обчислювальна система «ра «Кентаур»
- •Модель загроз, модель порушника та вразливості оід
- •Модель порушника
- •Продовження таблиці 1.10
- •В таблиці 1.11, за результатами моделей загроз та порушника, виділено найбільш значущі джерела загроз іб.
- •Продовження таблиці 1.11
- •Вразливості можуть розрізнятися:
- •Дестабілізуючі фактори можуть розрізнятися:
- •1.5 Профіль захищеності для тов «ра «Кентаур»
- •1.5.1 Позначення профілю
- •1.6 Завдання на створення ксзі
- •2 Спеціальна частина
- •2.1 Профіль захищеності. Його реалізація
- •Конфіденційність при обміні
- •2.2 Задоволення вимог профілю. Ефективне програмне забезпечення
- •Продовження таблиці 2.3
- •Продовження таблиці 2.3
- •Продовження таблиці 2.3
- •За результатами аналізу був обраний програмний продукт Acronis True Image 2013 16 Build 6514.
- •Потім потрібно підтврдити Ліцензійну згоду про використання Acronis True Image і натиснути «Далее»;
- •Налаштування Windows Server 2003
- •2.3 Документи підприємства з питань інформаційної безпеки
- •2.3.1 Посадова інструкція системного адміністратора
- •2.3.2 Посадова інструкція адміністратора безпеки (менеджера з інформаційної безпеки)
- •2.3.3 Інструкція щодо користування антивірусними програмами для користувачів
- •2.3.4 Положення щодо забезпечення безпеки оід
- •2.3.5 Положення щодо забезпечення доступу до сервера підприємства
- •2.3.6 Положення щодо забезпечення безпеки персональних комп'ютерів підприємства
- •2.3.7 Положення щодо користування електронною поштою
- •2.3.8 Положення щодо користування сховищами для збереження інформації з обмеженим доступом
- •2.3.9 Положення про врятування документів з інформацією з обмеженим доступом та майна, в якому вони зберігаються в разі виникнення пожежі, аварійної ситуації тощо.
- •2.4 Висновок
- •Перелік посилань
1.2 Обґрунтування необхідності створення ксзі
Згідно Закону України «Про захист інформації» в ІТС ТОВ «РА «Кентаур» оброблюється і зберігається інформація з обмеженим доступом.
Згідно Законів України «Про захист інформації в інформаційно-телекомунікаційних системах» та «Про захист персональних даних» порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації. Власник інформації та інформаційної системи сам може визначити необхідність створення КСЗІ та КЗЗ, якщо це не суперечить чинному законодавству.
Створення КСЗІ включає в себе створення КТЗІ та КЗЗ. Під час аналізу стану захищеності ТОВ «РА «Кентаур» КТЗІ відповів всім вимогам (на вході в приміщення, встановлені сигналізація та домофон; стіни, вікна та двері екрановані тощо). А при аналізі КЗЗ, були виявленні недоліки – КЗЗ не задовольнив вимоги обраного стандартного профілю захищеності. Тому в дипломному проекті увага буде приділена КЗЗ, як частині побудови КСЗІ.
Згідно з НД ТЗІ 2.5-005-99 «Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу» у ТОВ «РА «Кентаур» АС відносяться до третього класу, оскільки представляє собою розподілений багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних категорій конфіденційності. Передача інформації здійснюється через незахищене середовище.[8]
Комплексна система захисту інформації (КСЗІ) – це сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС [2].
Комплекс технічного захисту інформації (КТЗІ) – сукупність організаційних, інженерних і технічних заходів та засобів, призначених для захисту від витоку ІзОД технічними каналами на об’єктах інформаційної діяльності [3].
Для забезпечення безпеки інформації під час її обробки в АС створюється КСЗІ, процес управління якою повинен підтримуватись протягом всього життєвого циклу АС.
Комплекс засобів захисту (КЗЗ) – сукупність всіх програмно-апаратних засобів, задіяних під час реалізації політики безпеки [2].
Політика безпеки (ПБ) – набір законів, правил, обмежень, рекомендацій тощо, які регламентують порядок обробки інформації [2].
Згідно з Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» на ТОВ «РА«Кентаур» циркулює інформація таємна (персональні данні персоналу та клієнтів), вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю та конфіденційна інформація вимога щодо захисту якої встановлюється її власником. Така інформація повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством [6]. Тобто, перед створенням КСЗІ, треба визначити чи є на підприємстві інформація, яка підлягає захисту.
До організаційних заходів КСЗІ можна віднести:
Складання посадових інструкцій для користувачів та обслуговуючого персоналу;
Створення правил адміністрування системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікація користувачів;
Розробка порядку дій у випадках виявлення спроб НСД до ІС або виходу з ладу засобів захисту інформації;
Навчання користувачів правилам інформаційної безпеки.
Вибір інженерно – технічних заходів КСЗІ залежить від рівня захисту інформації. До них можна віднести:
Програмно-апаратні засоби захисту;
Розмежування потоків інформації між сегментами мережі;
Засоби шифрування і захисту від НСД;
СКУД та охоронно-пожежна сигналізація.
Процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів, спрямованих на розроблення і впровадження інформаційної технології, яка забезпечує обробку інформації в ІТС згідно з вимогами, встановленими нормативно-правовими актами та НД у сфері захисту інформації.
Додатки:
Наказ на створення служби захисту інформації (СЗІ) (Додаток А);
Наказ на створення комплексної системи захисту інформації (КСЗІ) (Додаток Б).