- •Курсовой проект
- •Задание
- •Глава 1. Описание системы безопасности 5
- •Введение
- •Глава 1. Описание системы безопасности
- •1.1. Характеристика деятельности ооо «RepairTech»
- •1.2. Анализ информационных ресурсов
- •1.3. Анализ информационной среды организации
- •1.4. Модель угроз и модель нарушителя
- •1.5. Класс защищенности информационной системы
- •Глава 2. Правовые основы системы безопасности
- •2.1. Законодательные меры
- •2.2. Административные меры
- •2.2.1. Политика идентификации и аутентификации ис
- •2.2.2. Политика физической защиты ис
- •2.2.3. Политика разграничения доступа
- •2.2.4. Политика антивирусной защиты
- •Глава 3. Выбор оборудования для построения системы защиты информации
- •Глава 4. Выбор программного обеспечения для построеНия системы защиты информации
- •Глава 5. Составление должностной инструкции
- •Глава 6. Построение схемы разработанной системы защиты
- •Глава 7. Экономическое обоснование
- •Заключение
- •Библиографический список
- •Приложение 1. Проверка текста на уникальность
1.5. Класс защищенности информационной системы
Так как информационная система организации предполагает многопользовательский доступ в систему, обеспечивая разные уровни конфиденциальности к получаемой и обрабатываемой информации, и в данной ИС циркулируют активы, преимущественно относящиеся к персональным данным и к коммерческой тайне, поэтому система относится классу защищенности 1Д.
На основе руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» от утвержденного решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. определен базовый набор мер защиты ИС класса защищенности «1Д» (таблица 6).
Таблица 6 – Базовый набор мер защиты системы класса защищенности «1Д»
Элемент подсистемы |
Развернутое требование |
Предлагаемое конкретное решение |
1. Подсистема управления доступом |
||
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему |
Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно–постоянного действия длиной не менее шести буквенно-цифровых символов. |
Авторизация в систему по логину и паролю. Уведомление о смене пароля каждые 90 дней. Длина пароля не менее 8 символов. Пароль должен содержать строчные и прописные латинские буквы, цифры и специальные символы. Использование отечественных систем защиты от несанкционированного доступа. |
2. Подсистема регистрации и учета |
||
2.1. Регистрация и учет: входа (выхода) субъектов доступа в (из) систему (узел сети) |
Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: – дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; – результат попытки входа: успешная или неуспешная (при НСД); – должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку). |
Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: – дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; – результат попытки входа: успешный или неуспешный – несанкционированный; – идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; – код или пароль, предъявленный при неуспешной попытке. |
2.2. Учет носителей информации: |
|
Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки; – учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема); – должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации; – изымание носителей информации при увольнении сотрудника. |
4. Подсистема обеспечения целостности |
||
4.1. Обеспечение целостности программных средств и обрабатываемой информации |
Целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ. Целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации; |
Должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом: – целостность СЗИ НСД проверяется по контрольным суммам всех компонент СЗИ как в процессе загрузки, так и динамически в процессе работы АС; – целостность программной среды обеспечивается качеством приемки программных средств в АС, предназначенных для обработки защищенных файлов; – использование межсетевого экрана, антивирусного программного обеспечения.
|
Физическая охрана средств вычислительной техники и носителей информации |
Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время. |
Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС. |
4.4. Периодическое тестирование средств защиты информации от несанкционированного доступа |
Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест – программ, имитирующих попытки НСД; |
Должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в квартал. |
4.5. Наличие средств восстановления средств защиты информации от несанкционированного доступа |
Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление, и контроль работоспособности. |
Осуществление зеркального резервного копирования программных средств СЗИ НСД на серверах организации и их периодическое обновление, и контроль работоспособности, а также оперативное восстановление функций СЗИ НСД при сбоях. |
Из таблицы 6 видно, что в систему защиты организации должны быть включены следующие системы:
Подсистема управления доступом
Подсистема регистрации и учета
Подсистема обеспечения целостности