- •Курсовой проект
- •Задание
- •Глава 1. Описание системы безопасности 5
- •Введение
- •Глава 1. Описание системы безопасности
- •1.1. Характеристика деятельности ооо «RepairTech»
- •1.2. Анализ информационных ресурсов
- •1.3. Анализ информационной среды организации
- •1.4. Модель угроз и модель нарушителя
- •1.5. Класс защищенности информационной системы
- •Глава 2. Правовые основы системы безопасности
- •2.1. Законодательные меры
- •2.2. Административные меры
- •2.2.1. Политика идентификации и аутентификации ис
- •2.2.2. Политика физической защиты ис
- •2.2.3. Политика разграничения доступа
- •2.2.4. Политика антивирусной защиты
- •Глава 3. Выбор оборудования для построения системы защиты информации
- •Глава 4. Выбор программного обеспечения для построеНия системы защиты информации
- •Глава 5. Составление должностной инструкции
- •Глава 6. Построение схемы разработанной системы защиты
- •Глава 7. Экономическое обоснование
- •Заключение
- •Библиографический список
- •Приложение 1. Проверка текста на уникальность
Глава 2. Правовые основы системы безопасности
2.1. Законодательные меры
В соответствии с Законом «Об информации» основными принципами обеспечения безопасности в Российской Федерации являются:
соблюдение и защита прав и свобод человека и гражданина;
законность;
системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов РФ, другими государственными органами, органами местного самоуправления политических, организационных, социально-экономических, информационных, правовых и иных мер обеспечения безопасности;
приоритет предупредительных мер в целях обеспечения безопасности;
взаимодействие федеральных органов государственной власти, органов государственной власти субъектов РФ, других государственных органов с общественными объединениями, международными организациями и гражданами в целях обеспечения безопасности.
Ст. 16 Закона об информации посвящена защите информации:
на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
соблюдение конфиденциальности информации ограниченного доступа;
реализацию права на доступ к информации.
Основными документами по обеспечению информационной безопасности в Российской Федерации является Конституция Российской Федерации и Доктрина информационной безопасности Российской Федерации:
ГОСТ Р ИСО/МЭК 27001 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности»;
РС БР ИББС-2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности…»;
РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности»;
РС БР ИББС-2.5-2014 «Менеджмент инцидентов информационной безопасности»;
– Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ;
Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ.
2.2. Административные меры
В организации действуют следующие регламенты и приказы:
регламент работы сотрудников с программным обеспечением;
положение об обработке персональных данных;
политика безопасности организации;
договор о неразглашении корпоративной тайны.
Для улучшения защиты работы с персональными данными, предотвращения утечек информации и защиты от внешних и внутренних угроз, необходимо разработать «Политику разграничения доступа к данным», «Политику идентификации и аутентификации ИС», «Политику физической защиты информационной системы», «Политику целостности информации информационной системы» и «Политику антивирусной защиты».
2.2.1. Политика идентификации и аутентификации ис
Настоящая политика устанавливает требования к порядку выбора, хранения, использования, периодичности смены и другим вопросам, связанным с применением механизмов парольной аутентификации информационной системе организации.
Политика обязательна для всего персонала, имеющего свою учетную запись или ответственного за в любой системе, находящейся в организации, имеющей доступ к интрасети организации или хранящей любую информацию организации, предназначенную не для всеобщего доступа.
Основные требования:
Новый сотрудник получает логин и пароль и рабочую почту у администратора.
Пароль должен содержать спецсимволы, заглавные и строчные буквы как латинского, так и русского алфавита, и цифры. Минимальное число символов в пароле должно составлять 8.
Пароль должен меняться раз в месяц.
Компьютеры должны блокироваться при отсутствии активности более чем 30 минут и требовать ввода логина и пароля для продолжения работы.
Компьютер должен блокироваться при 5 неудачных попытках входа в систему и сообщать о данном происшествии администратору
Учетные записи уволенных сотрудников должны удалятся
Использование учетной записи несколькими сотрудниками недопустимо.
Ответственность несет любой сотрудник, нарушивший политику, и может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.