Комплексная система защиты информации на предприятии
..pdfМинистерство образования и науки Российской Федерации
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Пермский национальный исследовательский политехнический университет»
Кафедра «Автоматика и телемеханика»
КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ
Методические указания
Издательство Пермского национального исследовательского
политехнического университета
2013
elib.pstu.ru
Составители: А.В. Полшков, А.С. Шабуров УДК 004.056.5(0765)
К63
Рецензенты:
доктор технических наук, профессор С.Ф. Тюрин (Пермский национальный исследовательский политехнический университет);
кандидат технических наук, доцент, декан факультета бизнес-информатики А.И. Дерябин (НИУ «Высшая школа экономики»)
К63 Комплексная система защиты информации на предприятии : метод. указания / сост. А.В. Полшков, А.С. Шабуров. – Пермь : Изд-во Перм. нац. исслед. политехн. ун-
та, 2013. – 96 с.
Изложены требования к содержанию, объему и оформлению курсового проекта по дисциплине «Комплексная система защиты информации на предприятии», даны рекомендации по разработке и выполнению задач проектирования, подготовке отчета и защите курсового проекта.
Предназначены для студентов, обучающихся по направлению «Информационная безопасность».
УДК 004.056.5(0765)
♥ ПНИПУ, 2013
2
elib.pstu.ru
|
ОГЛАВЛЕНИЕ |
|
Введение............................................................................................ |
4 |
|
1. |
Постановка задачи........................................................................ |
7 |
2. |
Этапы выполнения курсового проекта..................................... |
10 |
3. |
Анализ и описание объекта информатизации.......................... |
11 |
4. |
Разработка организационно-распорядительной |
|
|
и нормативной документации по защите информации .......... |
12 |
|
4.1. Разработка перечня сведений конфиденциального |
|
|
характера............................................................................... |
12 |
|
4.2. Разработка политики информационной |
|
|
безопасности предприятия.................................................. |
13 |
5. |
Разработка подсистем комплексной СЗИ предприятия......... |
16 |
|
5.1. Общие требования по проектированию |
|
|
систем безопасности............................................................ |
16 |
|
5.2. Разработка подсистемы контроля |
|
|
и управления доступом........................................................ |
18 |
|
5.3. Разработка подсистемы видеонаблюдения ....................... |
23 |
|
5.4. Разработка подсистемы охранно-пожарной |
|
|
сигнализации........................................................................ |
28 |
|
5.5. Разработка системы противодействия утечке |
|
|
информации по техническим каналам............................... |
32 |
|
5.6. Разработка комплекса защиты корпоративной сети ....... |
40 |
6. |
Заключение.................................................................................. |
44 |
7. |
Требования к оформлению курсового проекта ...................... |
45 |
8. |
Порядок защиты курсового проекта......................................... |
47 |
Список литературы......................................................................... |
49 |
|
Приложение 1 ................................................................................. |
51 |
|
Приложение 2 ................................................................................. |
53 |
|
Приложение 3 ................................................................................. |
58 |
|
Приложение 4 ................................................................................. |
68 |
|
Приложение 5 ................................................................................. |
69 |
|
Приложение 6 ................................................................................. |
74 |
|
Приложение 7 ................................................................................. |
76 |
|
Приложение 8 ................................................................................. |
79 |
|
Приложение 9 ................................................................................. |
89 |
|
Приложение 10 ............................................................................... |
90 |
|
3
elib.pstu.ru
ВВЕДЕНИЕ
Подготовка специалистов по защите информации является одной из актуальных проблем обеспечения информационной безопасности. Современный специалист по защите информации должен быть готов к самостоятельному решению сложных на- учно-технических задач, связанных с поддержанием в работоспособном состоянии и развитием комплексных систем защиты информации на предприятиях и в организациях различных форм собственности.
Курсовой проект по дисциплине «Комплексная система защиты информации на предприятии» имеет целью развитие профессиональных компетенций выпускника – специалиста по защите информации в различных видах деятельности:
1. В общепрофессиональной деятельности:
–способность формировать комплекс мер по информационной безопасности с учетом его правовой обоснованности, ад- министративно-управленческой и технической реализуемости и экономической целесообразности;
–способность определять виды и формы информации, подверженной угрозам; виды и возможные методы и пути реализации угроз на основе анализа структуры и содержания информационных процессов предприятия, целей и задач деятельности предприятия.
2. В проектно-технологической деятельности:
–способность проводить предварительный техникоэкономический анализ и обоснование проектных решений по обеспечению информационной безопасности;
–способность оформлять рабочую техническую документацию с учетом действующих нормативных и методических документов в области информационной безопасности;
4
elib.pstu.ru
–способность собирать и проводить анализ исходных данных для проектирования подсистем и средств обеспечения информационной безопасности.
3. В экспериментально-исследовательской деятельности:
–способность проводить анализ информационной безопасности объектов и систем с использованием отечественных и зарубежных стандартов;
–способность принимать участие в проведении экспери- ментально-исследовательских работ системы защиты информации с учетом требований по обеспечению информационной безопасности;
–способность осуществлять подбор, изучение и обобщение научно-технической литературы, нормативных и методических материалов по вопросам обеспечения информационной безопасности.
4. В организационно-управленческой деятельности:
–способность разрабатывать предложения по совершенствованию системы управления информационной безопасностью;
–способность изучать и обобщать опыт работы других учреждений, организаций и предприятий в области повышения эффективности защиты информации;
–способность применять комплексный подход к обеспечению информационной безопасности в различных сферах деятельности;
–способность организовать технологический процесс защиты информации в соответствии с правовыми нормативными актами и нормативными методическими документами Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю.
Курсовое проектирование по дисциплине «Комплексная система защиты информации на предприятии» способствует систематизации знаний и умений студентов, полученных при изучении дисциплин: «Введение в специальность», «Защита и обработка конфиденциальных документов», «Структура и осно-
5
elib.pstu.ru
вы деятельности предприятий различных форм собственности», «Правовое обеспечение информационной безопасности», «Технические средства защиты информации», «Технические средства охраны», «Организационное обеспечение информационной безопасности», «Организация и управление службой защиты информации на предприятии» и др.
Выполнение курсового проекта готовит к самостоятельному решению задач, связанных с созданием, исследованием и эксплуатацией комплексной системы защиты информации на предприятии. Одновременно с этим самостоятельное выполнение задания курсового проектирования позволит оценить уровень овладения студентом профессиональными компетенциями, а также проверить его методическую подготовленность к выполнению выпускной квалификационной работы по направлению подготовки «Информационная безопасность».
6
elib.pstu.ru
1. ПОСТАНОВКА ЗАДАЧИ
Достижение цели курсового проектирования осуществляется за счет решения необходимых задач по разработке комплексной системы защиты информации предприятия.
Комплексной системой защиты информации (КСЗИ) является совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая на предприятии по правилам, установленным соответствующими правовыми, организа- ционно-распорядительными и нормативными документами в области защиты информации.
Комплексность СЗИ предприятия заключается в применении системного подхода, использовании полного арсенала взаимосвязанных методов и средств защиты информации на всех этапах жизнедеятельности предприятия.
Основной задачей курсового проектирования является ос-
воение принципов, методики и основных подходов к разработке комплексной СЗИ предприятия.
Сложность и многогранность задачи построения КСЗИ требует декомпозиции на частные задачи, выполняемые во взаимосвязанной последовательности:
–анализ и описание предприятия как объекта информатизации (ОИ), подготовка необходимых исходных данных для построения комплексной системы защиты информации предприятия;
–разработка необходимой организационно-распоряди- тельной и нормативной документации в области защиты информации на предприятии;
–разработка комплекса мер по применению техники защиты информации в соответствии с принятыми на предприятии правовыми и организационными мерами.
7
elib.pstu.ru
Анализ и описание предприятия как ОИ, подготовка необходимых исходных данных имеют целью сбор, систематизацию и анализ необходимой и существенной информации, факторов, влияющих на организацию защиты информации на предприятии.
Разработка необходимой организационно-распоряди- тельной и нормативной документации в области информационной безопасности имеет целью регламентацию деятельности по защите информации внутри предприятия на нормативноправовой основе.
Нормативно-правовое обоснование деятельности предприятия по защите информации должно соответствовать прикладному назначению ОИ и в общем включать основные нормативные документы:
–Перечень сведений конфиденциального характера;
–Политику информационной безопасности;
–Частную модель угроз информационной безопасности;
–Положение о коммерческой (служебной) тайне;
–Инструкции по охране и режиму и др.
На основании принятых организационно-правовых документов осуществляется разработка комплекса мер по применению техники защиты информации, что является наиболее трудоемкой частной задачей работы.
Разработка комплекса мер по применению техники защиты информации в составе комплексной СЗИ предприятия включает разработку следующих подсистем:
–контроля и управления доступом на объект (СКУД);
–видеонаблюдения (видеонаблюдение);
–охранно-пожарной сигнализации (ОПС);
–противодействия утечке информации по техническим ка-
налам;
–защиты корпоративной сети (автоматизированной системы в защищенном исполнении).
8
elib.pstu.ru
Всвязи с разнообразием ОИ по степени сложности при решении частных задач построения комплексной СЗИ предприятия предполагается выполнение частных задач проектирования по вариантам (прил. 1). При этом номер варианта задания для проектирования выбирается студентом в соответствии с номером в журнале учебной группы.
При решении частных задач проектирования исходя из прикладного назначения ОИ, вида обрабатываемой конфиденциальной информации и частной модели угроз следует обоснованно выбрать (рекомендовать к применению):
–класс защищенности автоматизированной системы (АС) для обработки и хранения конфиденциальной информации на ОИ;
–класс защищенности средств вычислительной техники (СВТ), составляющих аппаратно-программную поддержку автоматизированной системы;
–класс межсетевых экранов (МЭ) по уровню защищенности от НСД, реализующих защиту внутренней вычислительной сети ОИ;
–класс применяемых на ОИ антивирусных средств;
–класс защиты информационной системы персональных данных (ИСПДн);
–уровень контроля программного обеспечения средств защиты информации.
Входе проектирования комплексной СЗИ предприятия следует использовать сертифицированные средства и системы защиты информации, прошедшие сертификацию во ФСТЭК и ФСБ России не ниже выбранных классов.
9
elib.pstu.ru
2. ЭТАПЫ ВЫПОЛНЕНИЯ КУРСОВОГО ПРОЕКТА
На выполнение курсового проекта в соответствии с учебным планом и рабочей программой дисциплины «Комплексная система защиты информации на предприятии» отводится 34 часа учебного времени.
Этапы курсового проекта рекомендуется выполнять последовательно, в течение семестра, одновременно с изучением теоретической части дисциплины, на протяжении 10 учебных недель.
Ориентировочное распределение учебного времени и рекомендуемая последовательность выполняемых работ, необходимых для выполнения проекта и его защиты, представлены в таблице.
№ |
Этап выполнения работы |
Срок |
|
п/п |
выполнения |
||
|
|||
1 |
Выдача задания и постановка задачи |
1-я неделя |
|
|
на курсовое проектирование |
(2 часа) |
|
|
Анализ и описание предприятия, |
2-я неделя |
|
2 |
подготовка необходимых исходных |
||
|
данных для построения комплексной |
(2 часа) |
|
|
СЗИ предприятия |
|
|
3 |
Разработка организационно-распорядительной |
3-, 4-я недели |
|
и нормативной документации по защите |
(4 часа) |
||
|
информации |
||
|
|
||
4 |
Разработка подсистем комплексной СЗИ |
5-, 7-я недели |
|
|
предприятия |
(15 часов) |
|
5 |
Оформление пояснительной записки |
8-, 9-я недели |
|
|
и подготовка презентации |
(10 часов) |
|
6 |
Отчет о проделанной работе, |
10 неделя |
|
|
защита курсового проекта |
(1 час) |
10
elib.pstu.ru