Комплексная система защиты информации на предприятии

Сведения об объекте защиты:

1.Объекты, подлежащие оснащению комплексом защиты корпоративной сети (наименование, характеристика деятельности).

2.Решаемые комплексом защиты задачи (контроль НСД). Общие данные о функционировании информационной системы.

3.Порядок назначения прав по доступу к критичным ре-

сурсам.

4.Регламент резервирования и восстановления критичной информации.

5.Наличие ответственного администратора сети (безопасности сети).

6.Расположение критичной информации.

7.Информационные потоки критичной информации относительно рабочих станций, серверов, сегментов.

8.Наличие систем электронного документооборота.

9.Наличие критичных для предприятия процессов электронной обработки и передачи данных.

10.Возможность круглосуточной работы.

Информация о топологии сети, сетевых соединениях и уз-

лах:

11. Карта сети:

–количество и тип серверов (платформы, операционные системы, сервисы): Windows 7, Windows 8 standalone, или рrimary/backup controller, или Novell Netware 4.1/4.11/5.0;

–приложения: MS SQL 2012, MS Exchange or Eserv, Print server & File server;

–количество и тип рабочих станций (платформы, операционные системы, приложения, решаемые задачи);

–используемые сетевые протоколы: ТСP/IP, Netbios, IPX.

12.Указание на схеме сегментов и способов их соединения (маршрутизаторы, хабы, мосты и пр.).

13.Указание варианта организации выхода в Интернет:

–подключение выделенного компьютера (способ подключения, авторизации и пр.);

41

elib.pstu.ru

–подключение сети (способ подключения, использование прокси-служб и пр.);

–необходимость контроля трафика и разграничения доступа пользователей;

–наличие внутри предприятия собственных web-, FTPсерверов.

Использование встроенных (приобретенных) средств мониторинга, безопасности и архивации:

14.Защита персональных компьютеров от НСД (аудит, разграничение доступа), защита и разграничение доступа к персональным компьютерам при работе на них нескольких пользователей.

15.Межсетевые экраны – защита от внешних/внутренних

атак.

16.Системы авторизации.

17.Антивирусная защита.

18.Средства архивирования, режим их работы.

19.Системы протоколирования действий пользователей.

20.Криптографическая защита.

21.Средства системного аудита.

22.Системы мониторинга сети.

23.Защита вычислительной техники от взлома, краж.

24.Анализаторы протоколов.

25.Сканеры – сканирование ресурсов сети на возможные уязвимости и выдача рекомендаций для их устранения.

26.Разделение критичных сегментов сети.

27.Системы мониторинга безопасности – проверка правильности настройки корпоративных серверов, мониторинг безопасности корпоративной сети в реальном времени.

Особенности функционирования комплекса:

28.Возможность дальнейшего расширения путем добавления (каких систем, устройств).

29.Необходимость и условия совместимости с существующими (или проектируемыми) системами (элементами) автоматизации учета, технологического процесса на объектах.

42

elib.pstu.ru

30.Необходимость и условия совместимости с существующими (или проектируемыми) системами (элементами) систем безопасности корпоративной сети объекта.

31.Наличие сертификата соответствия Российской Федера-

ции на все применяемое оборудование: классы защищенности АС, СВТ (операционной системы), межсетевых экранов, антивирусных средств, уровень анализа программного обеспечения на недекларированные возможности.

Данный раздел пояснительной записки должен содержать:

–структурную (функциональную) схему сети с указанием элементов комплекса защиты;

–спецификации (технические характеристики) оборудования и программного обеспечения комплекса;

–смету затрат на оснащение объекта комплексом защиты корпоративной сети.

Пример оформления структурной схемы корпоративной сети и политика безопасности локальной вычислительной сети представлены в прил. 8.

Примеры акта классификации автоматизированной системы и технического паспорта на автоматизированную систему представлены в прил. 9, 10.

43

elib.pstu.ru

6.ЗАКЛЮЧЕНИЕ

Взаключении приводится экономическое обоснование проектов защиты – суммарная смета расходов по вариантам (не менее двух), обоснованные по критериям показатели «защищенность – стоимость», а также выводы и рекомендации по выбору варианта комплексной системы защиты информации для внедрения на предприятии.

44

elib.pstu.ru

7. ТРЕБОВАНИЯ К ОФОРМЛЕНИЮ КУРСОВОГО ПРОЕКТА

Оформление курсового проекта состоит из оформления пояснительной записки и подготовки доклада к защите и презентационного материала.

Объем пояснительной записки должен быть не менее 30 страниц печатного текста. В это число не входят приложения, объем которых не регламентируется.

Оформлять пояснительную записку курсовой работы следует в соответствии с требованиями ЕСКД.

Текст и рисунки (структурные и функциональные схемы) выполнять в текстовом редакторе Word, шрифтом Timеs New Roman 12.

Структура пояснительной записки:

–титульный лист;

–содержание;

–введение;

–анализ и описание защищаемого объекта информатиза-

ции;

–разработка нормативно-методического обеспечения (перечня сведений конфиденциального характера, политики информационной безопасности);

–разработка подсистем комплексной СЗИ предприятия (СКУД, системы видеонаблюдения, системы ОПС, системы противодействия утечке информации по техническим каналам, системы защиты корпоративной сети);

–заключение;

–список литературы;

–приложения.

Не менее 30 % объема пояснительной записки должны занимать расчеты. К расчетам относятся: разработка структурных, функциональных, принципиальных, монтажных и общих схем,

45

elib.pstu.ru

расчет характеристик подсистем защиты информации, расчет показателей эффективности и других показателей, расчет конструкций (например, элементов физической защиты), расчет параметров зоны R1 и R2, разработка частных моделей нарушителя, оценка угроз информационной безопасности. К данному объему пояснительной записки также относятся разработанные алгоритмы и программное обеспечение.

В приложениях приводятся:

–спецификации (основные технические характеристики) используемых устройств и систем;

–разработанные документы (перечень сведений конфиденциального характера, частная модель угроз, технический паспорт);

–сведения о сертификации устройств и систем;

–выписки из нормативных документов.

46

elib.pstu.ru

8. ПОРЯДОК ЗАЩИТЫ КУРСОВОГО ПРОЕКТА

Допуск студентов к защите осуществляется преподавателем дисциплины «Комплексная система защиты информации предприятия» на основании представленной студентом (группой студентов) пояснительной записки и готовности презентации. Объем презентации не регламентируется и определяется необходимым количеством графического и иллюстративного материала, необходимого студенту для защиты, проделанной работы.

Защита курсового проекта осуществляется индивидуально, комиссией преподавателей кафедры, в присутствии студентов учебной группы. В случае выполнения коллективных работ оценивается личный вклад каждого студента в предлагаемый проект, при этом защита осуществляется также индивидуально.

Автор проекта в течение отведенных ему 7–10 мин с использованием презентационного материала должен лаконично рассказать о цели проекта, проделанной работе и полученных результатах.

Структура доклада должна содержать задачи проектирования, особенности защищаемого объекта информатизации, перечень разработанных правовых и нормативно-методических документов, особенности спроектированных подсистем комплексной СЗИ, оценку их эффективности и выводы по работе.

После доклада студент в течение 5–7 мин отвечает на поставленные преподавателем и другими студентами вопросы.

Результат защиты курсового проекта оценивается по критериям:

–качество содержания выполненного проекта;

–оформление пояснительной записки (соответствие стандартам);

–защита проекта (качество презентации, доклада студента, ответов на вопросы).

47

elib.pstu.ru

При неудовлетворительной оценке одного из критериев, неподготовленности пояснительной записки или доклада студента защита курсового проекта переносится.

Итоговая оценка курсового проекта определяется комиссией преподавателей кафедры как среднее арифметическое на основании оценок вышеназванных критериев.

48

elib.pstu.ru

СПИСОК ЛИТЕРАТУРЫ

1.Алексеенко В.Н., Древс Ю.Г. Основы построения систем защиты производственных предприятий и банков. – М.: Изд-во МИФИ, 1996. – 68 с.

2.Основы организационного обеспечения информационной безопасности объектов информатизации / Э. Беляков [и др.]. – М.:

Гелиос АРВ, 2005. – C. 192.

3.Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам: учеб. пособие. – М.: Горячая линия-Телеком, 2005. – 414 с.

4.Герасименко В.А., Малюк А.А. Основы защиты информации: учеб. для вузов. – М.: Изд-во МИФИ, 1997. – 537 с.

5.Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. – М.: Академия, 2009.

6.Гришина Н.В. Организация комплексной системы защиты информации. – М.: Гелиос АРВ, 2007. – 255 с.

7.Данилов А.Н., Шабуров А.С. Организационное обеспечение информационной безопасности: учеб. пособие. – Пермь: Изд-во Перм. гос. техн. ун-та, 2007. – 276 с.

8.Данилов А.Н., Полшков А.В., Шабуров А.С. Информационная безопасность: учеб. пособие. – Пермь: Изд-во Перм.

гос. техн. ун-та, 2004. – 150 с.

9.Завгородний В.И. Комплексная защита в компьютерных системах: учеб. пособие. – М.: Логос: ПБОЮЛ Н.А. Егоров, 2001. – 264 с.

10.Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем: учеб. пособие для вузов. – М.: Горячая линия-Телеком, 2000. – 451 с.

11.Обеспечение информационной безопасности машиностроительных предприятий / С.А. Клейменов [и др.]. – Старый Оскол: ТНТ, 2007. – Ч. 1. – 359 с.; Ч. 2. – 429 с.

49

elib.pstu.ru

12.Крысин А.В. Безопасность предпринимательской деятельности. – М.: Финансы и статистика, 1996.

13.Конев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2003. – 733 с.

14.Организация и современные методы защиты информации / под ред. С.А. Диева и А.Г. Шаваева. – М.: Концерн «Банковский деловой центр», 1998.

15.Петраков А.В., Дорошенко П.С., Савлуков Н.В. Охрана

изащита современного предприятия. – М.: Энергоатомиздат, 1999.

16.Позняков Е.Н. Защита объектов: рекомендации для руководителей и сотрудников служб безопасности. – М.: Концерн «Банковский деловой центр», 1997.

17.Информационная безопасность предприятия: учеб. пособие / А.А. Садердинов [и др.]. – М.: Дашков и Кº, 2004. – 336 с.

18.Степанов Е.А. Управление персоналом: Персонал в системе защиты информации: учеб. пособие для сред. проф. образования. – М.: ФОРУМ-ИНФРА-М, 2002. – 287 с.

19.Торокин А.А. Инженерно-техническая защита информации: учеб. пособие для вузов. – М.: Гелиос АРВ, 2005. – 959 с.

20.Ярочкин В.И. Служба безопасности коммерческого предприятия. Организационные вопросы. – М.: Ось, 1995.

21.Ярочкин В.И. Информационная безопасность: учеб. для вузов. – 3-е изд. – М.: Академический проект, 2006. – 543 с.

50

elib.pstu.ru