528
.pdf3. АНАЛИЗ И ОПИСАНИЕ ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Анализ и описание защищаемого ОИ заключаются в изучении и изложении факторов, влияющих на организацию СЗИ. Данные факторы представляют собой необходимые исходные данные для принятия правовых, организационных и технических мер при проектировании комплексной СЗИ предприятия.
К основным факторам, влияющим на разработку комплексной СЗИ предприятия, относятся:
–форма собственности предприятия;
–организационно-правовая форма предприятия;
–характер основной деятельности предприятия;
–состав, объекты и степень конфиденциальности защищаемой информации;
–структура и территориальное расположение предприятия;
–режим функционирования предприятия;
–конструктивные особенности предприятия;
–количественные и качественные показатели ресурсообеспечения;
–степень автоматизации основных процедур обработки защищаемой информации.
Кроме того, при изучении объекта необходимо оформить соответствующие схемы территории и периметра предприятия, зданий и расположения помещений, конфигурации линий питания, заземления, каналов связи, вычислительных сетей и т.п.
Вкачестве примеров оформления графических материалов рекомендуется использовать схемы объектов, разработанных в ходе выполнения курсовых проектов по другим дисциплинам («Технические средства охраны», «Инженерно-техническая защита информации» и т.д.).
Изучение факторов, влияющих на организацию комплексной СЗИ предприятия, позволит обосновать состав организационных мероприятий по защите информации и сформировать необходимый перечень нормативно-методических документов.
11
elib.pstu.ru
4. РАЗРАБОТКА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ И НОРМАТИВНОЙ ДОКУМЕНТАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ
4.1. Разработка перечня сведений конфиденциального характера
Перечень разрабатывается в соответствии с требованиями ФСТЭК России и включает перечисление сведений, которые в рамках данного предприятия имеют конфиденциальный характер (составляют служебную, профессиональную или коммерческую тайну, персональные данные), а также названия документов и электронных информационных ресурсов, содержащих такие сведения.
Конфиденциальные сведения в перечне группируются по видам конфиденциальной информации и ответственным за ее обработку подразделениям организации (отделам, службам) или должностным лицам.
Определение осуществляется в соответствии с федеральным законодательством, исходя из следующих критериев:
–информация не является общеизвестной;
–информация не запрещена к отнесению к коммерческой
тайне;
–информация получена правомерно;
–информация имеет действительную или потенциальную ценность (позволяет получить или увеличить доход, избежать убытков, сохранить положение на рынке, избежать конкуренции);
–средства, необходимые на защиту информации, не превышают реально возможного дохода.
12
elib.pstu.ru
Примерные разделы перечня информации, составляющей коммерческую тайну предприятия, должны содержать следующие виды информации:
–производственно-техническую и технологическую;
–информацию о научно-исследовательской и опытноконструкторской деятельности;
–планово-организационную и управленческую;
–финансовую;
–информацию о системе, применяемых методах и средствах защиты коммерческой тайны;
–информацию об организации хранения и доставки финансовых и материальных средств;
–информацию о системе коммуникаций предприятия;
–информацию о детективной и охранной деятельности предприятия.
Кроме того, в перечне может указываться возможный ущерб в результате несанкционированного распространения сведений, включенных в него, преимущества ограничения доступа рассматриваемых сведений по сравнению с открытым, а также может осуществляться предварительная оценка затрат на защиту рассматриваемых сведений.
Примерный перечень сведений конфиденциального характера представлен в прил. 1.
4.2. Разработка политики информационной безопасности предприятия
Политика информационной безопасности с одной стороны представляет собой набор формальных правил, а с другой – комплекс документов, отражающих все основные требования к обеспечению защиты информации на предприятии.
Целями разработки официальной политики предприятия в области информационной безопасности являются определение
13
elib.pstu.ru
правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности.
Построение политики безопасности предприятия предусматривает выделение трех ее основных уровней: верхнего, среднего и нижнего.
Верхний уровень политики информационной безопасности предприятия служит для формулирования и демонстрации отношения руководства предприятия к вопросам информационной безопасности и отражения общих целей всего предприятия в этой области.
Политики информационной безопасности среднего уровня определяют отношение предприятия (руководства предприятия)
копределенным аспектам его деятельности и функционированию информационных систем (финансовой информации, технологиям, базам данных и т.д.).
Политики безопасности на самом низком уровне относятся
котдельным элементам информационных систем и участкам обработки и хранения информации и описывают конкретные процедуры и документы, связанные с обеспечением информационной безопасности.
В общем случае документ должен содержать:
–основные положения, касающиеся информационной безопасности предприятия;
–перечень наиболее характерных угроз;
–модели нарушителя информационной безопасности;
–приоритетные мероприятия по реализации политики информационной безопасности, включая перечень необходимых средств защиты информации;
–административные аспекты обеспечения безопасности (порядок назначения ответственных лиц, учет распределения
14
elib.pstu.ru
паролей идентификаторов, действия администрации при попытках несанкционированного доступа и т.д.).
При разработке политик безопасности всех уровней необходимо придерживаться следующих основных правил:
–политики безопасности на более низких уровнях должны полностью подчиняться соответствующей политике верхнего уровня, а также действующему законодательству и требованиям государственных органов;
–текст политики безопасности должен содержать только четкие и однозначные формулировки, не допускающие двойного толкования;
–текст политики безопасности должен быть доступен для понимания тех сотрудников, которым он адресован.
Политика информационной безопасности предприятия структурно может включать частные модели угроз информационной безопасности, положения и инструкции по коммерческой (служебной) тайне, инструкции по охране и режиму и др.
Разработанная политика информационной безпасности предприятия является основой для реализации комплекса мер по применению техники защиты информации, в виде подсистем комплексной СЗИ предприятия.
Варианты политики иформационной безопасности верхнего уровня и частной модели угроз информационной безопасности представлены в прил. 2, 3.
15
elib.pstu.ru
5. РАЗРАБОТКА ПОДСИСТЕМ КОМПЛЕКСНОЙ СЗИ ПРЕДПРИЯТИЯ
5.1. Общие требования по проектированию систем безопасности
Проектирование – обязательная часть создания систем безопасности объекта. В соответствии с действующими правилами и нормами проектирование выполняется для различных объектов любого назначения. Благодаря оптимальному расчету проекта затраты на расходные материалы, оборудование и работы сводятся к минимуму. Грамотно разработанная проектная документация значительно сокращает сроки монтажа оборудования и пуско-наладочных работ, экономит человеческие и материальные ресурсы, способствует повышению качества результатов работы.
В целом проектирование системы безопасности включает следующие этапы:
–предпроектное обследование ОИ;
–формулирование технического задания (ТЗ);
–разработку эскизного проекта (ЭП);
–разработку технического проекта (ТП);
–разработку рабочей и эксплуатационной документации
(РД, ЭД).
Предпроектное обследование предполагает изучение точ-
ных параметров объекта с целью определения комплекса мероприятий и разработки технических предложений с учетом сформированных типовых решений по защите информации и безопасности объекта. По результатам обследования проектировщик совместно с заказчиком разрабатывают ТЗ на проектирование комплекса технических средств.
16
elib.pstu.ru
Формулирование ТЗ заключается в разработке и оформлении технических требований заказчика. Кроме технических требований на первых этапах работы по проектированию в качестве исходной информации используются сведения, полученные в процессе предпроектного обследования объекта. На основе технического задания создается эскизный проект.
Разработка ЭП заключается в выполнении предварительных проектных решений и технического предложения. Документация на данном этапе имеет общий характер и небольшой объем. Как правило, в результате эскизного проекта заказчик получает комплект документов, состоящий из предварительной сметы на оборудование, материалы и работы.
Разработка ТП заключается в детальной проработке и обосновании проектных решений по системе в целом и по ее отдельным частям. На этом этапе проектирования прорабатываются основные принципы работы системы, а также решения конкретных задач и пожеланий заказчика для каждой из систем для каждого конкретного объекта.
Разработка РД заключается в подготовке чертежных и графических материалов, которыми будут руководствоваться монтажники при проведении работ по созданию системы. РД обеспечивает детальную привязку компонентов системы к объекту и содержит чертежи, схемы, таблицы соединений и подключений, планы расположения оборудования и проводок и другие документы.
Таким образом, проектирование реальной системы защиты информации – процесс многоэтапный, трудоемкий и длительный, охватывающий широкий круг разнообразных задач и требующий привлечения значительного числа специалистов. В связи с этим в данном курсовом проекте рекомендуется не детализировать отдельные этапы проектирования и ограничить разработку подсистем комплексной СЗИ выполнением соответствующих работ по анализу информации и расчету параметров подсистем в соответствии с требованиями, представленными ниже.
17
elib.pstu.ru
5.2.Разработка подсистемы контроля
иуправления доступом
Вданном разделе пояснительной записки должны содержаться следующие сведения о необходимости оснащения системой контроля управления доступом одного из объектов защиты (территории, здания, защищаемого помещения):
Структура защищаемого объекта информатизации:
1.Структура расположения защищаемых блоков, помещений или зон, размещения проходных, помещений для расположения элементов системы управления.
2.Наименование объектов, подлежащих оснащению системой контроля и управления доступом (административные, производственные, складские, бытовые помещения, производственные площадки или внутренние территории с КПП).
3.Структура защищаемой части (блока) объекта информатизации. Количество оснащаемых отдельных объектов (перечень защищаемых объектов, отдельных зданий, выделенных этажей, групп помещений).
4.Указание задач, решаемых системой. Например:
–контроль и управление доступом сотрудников и посетителей на территорию объекта;
–контроль и управление доступом сотрудников и посетителей в одно или ряд зданий, помещений;
–контроль и управление въездом (выездом) транспорта (авто, железнодорожного, специального) через КПП объекта;
–автоматическое ведение баз данных доступа в пределах защищаемого объекта.
5.При необходимости учет климатических условий в районе расположения объекта: температурный режим, глубину промерзания грунта, сейсмичность и т.п.
Пользователи системы:
6.Общее количество пользователей системы. Предполагае-
мое максимальное количество сотрудников, посетителей, единиц транспорта.
18
elib.pstu.ru
7.Тип идентификаторов пользователей – пропуска: магнитные карты, дистанционные (proximity) или контактные (touch memory).
8.Необходимость размещения на идентификационном удостоверении фотографии сотрудника, логотипа компании и т.п.
9.Необходимость в оснащении бюро пропусков комплексом для оперативного изготовления идентификационных удостоверений с фотографиями пользователей, другим специальным оборудованием.
Проходные объекта:
10.Общее количество проходных и контрольно-пропуск- ных пунктов (КПП) для транспорта, включаемых в состав СКУД.
11.Максимальная нагрузка на каждую проходную – чел/ч (необходима для расчета количества турникетов или других средств управления доступом).
Корпоративная сеть и АРМ службы охраны объекта:
12.Количество и расположение автоматизированных рабочих мест (АРМ) для управления СКУД (АРМ администраторов безопасности, АРМ службы охраны, АРМ бюро пропусков, АРМ службы персонала, другие АРМ).
13.Необходимость взаимодействия АРМ управления различных объектов.
14.Наличие корпоративной сети, связывающей объекты (АРМ системы управления доступом должны располагаться в пределах ЛВС).
15.Структура корпоративной сети, наличие выделенных каналов передачи данных, телефонной сети в интересах СКУД.
16.Защита АРМ СКУД от несанкционированного доступа.
17.С какими АРМ необходимо обеспечить взаимодействие
вреальном масштабе времени (перечень взаимодействующих АРМ).
19
elib.pstu.ru
Возможность интеграции с другими системами:
18.Возможность интеграции системы со средствами обеспечения безопасности компьютерных систем: на каких компьютерах, АРМ, серверах, СВТ.
19.Взаимодействие СКУД со средствами видеонаблюдения
ивидеорегистрации, с системами охранной сигнализации.
20.Требования по совместимости и условия совместимости
сисполнительными устройствами (турникетами, тамбур-шлю- зами в виде дверей, шлюзовыми кабинами автоматическими, полуавтоматическими), системами видеонаблюдения, охраннопожарной сигнализации, системой оповещения и др.
21.Требования по совместимости с используемым технологическим оборудованием. Необходимость и условия совместимости с существующими системами (элементами) технологического процесса на объектах.
Описание работы системы:
22.Краткое описание технологии работы системы (описание общей тактики прохода, структуры и приоритетности защищаемых зон, прав и обязанностей охранников и контроллеров КПП). Возможность дальнейшего расширения системы. Добавление новых точек контроля и новых автоматизированных рабочих мест.
23.Краткое описание функциональных возможностей системы контроля и управления доступом, как правило, включающих:
–регистрацию и протоколирование тревожных и текущих событий;
–приоритетное отображение тревожных событий;
–управление работой преграждающих устройств в точках доступа по командам оператора;
–задание временных режимов действия идентификаторов в точках доступа «окна времени» и уровней доступа;
20
elib.pstu.ru