- •Министерство образования и науки рф
- •Аттестат соответствия
- •Требованиям по безопасности информации
- •2011 Г.
- •1. Требования при эксплуатации
- •2. Контроль соблюдения требований предписания
- •1. Объект контроля
- •2. Назначение объектов и их краткое описание
- •3. Контролируемая зона
- •4. Виды разведок, контролируемые каналы и возможные направления
- •5. Описание применяемых мер и средств защиты
- •6. Перечень измерительной аппаратуры
- •7. Метод проведения измерений
- •8. Результаты измерений и расчётов
- •9. Заключение
- •8. Заключение
- •Министерство образования и науки рф
- •3. Характеристика информационной системы объекта защиты
- •Анализ угроз и уязвимостей
- •Выбор методов и средств нейтрализации угроз
- •11Пример: Методы предотвращения угроз
- •Порядок выполнения работы
- •Форма и содержание отчёта
3. Характеристика информационной системы объекта защиты
Схема локально-вычислительной сети (с описанием условиях доступа и функциональными возможностями и принципами работы)
Основные компоненты. ЛВС
Описание программного комплекса вычислительной сети перечень элементов, назначения и функции. Принцип работы, внутреннее и внешнее взаимодействия элементов программного комплекса.
Перечень информационных объектов как потенциальные источники утечки информации. Описание значения объектов и их значимость по отношению к общей структуре.
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ
ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ – УЧЕБНО-НАУЧНО-ПРОИЗВОДСТВЕННЫЙ КОМПЛЕКС
Кафедра
"Электроника, вычислительная техника и информационная безопасность"
Практическая работа №5
«Аудит информационной безопасности объекта»
(конкретного объекта)
по дисциплине
Инженерно-техническая защита объектов
инфокоммуникаций
Студент гр. _________
Фамилия И. О.
Руководитель
ОРЁЛ 2012
Введение
Известно, что в настоящее время одним из наиболее перспективных и актуальных направлением обеспечения информационной безопасности является инженерно-техническая защита информации.
Знание принципов анализа инженерно-технической защиты, а так же опыт практического применения позволит обрести навык оценки ситуации в среде информационной безопасности объекта.
Цель работы
Изучение принципа анализа объектов защиты”
Продолжительность работы – 2 часа.
Общие сведения
Аудит представляет собой независимую экспертизу отдельных областей функционирования организации.
Целями проведения аудита безопасности являются:
анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов;
оценка текущего уровня защищенности информационных систем (ИС);
локализация узких мест в системе защиты ИС;
оценка соответствия ИС существующим стандартам в области информационной безопасности;
выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС [1].
К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
персонал;
финансовые средства;
информационные ресурсы с ограниченным доступом, а также иная конфиденциальная информация на различных носителях;
средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телефонной связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);
технические средства и системы охраны и защиты материальных и информационных ресурсов.
Анализ информационных активов
В соответствии с действующим законодательством значительная часть сведений, циркулирующих в центре занятости, не носит конфиденциальный характер, в частности, учредительные документы, сведения по установленным формам отчетности о финансово - хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему, сведения о размерах имущества предприятия и его денежных средствах и некоторые другие. Однако, оригиналы документов, содержащих эти сведения, подлежат обязательной защите для обеспечения бесперебойной работы учреждения.
Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту. Активы включают в себя (но не ограничиваются):
материальные активы (например, вычислительные средства, средства связи, здания);
информацию (данные) (например, документы, базы данных);
программное обеспечение;
способность производить продукт или предоставлять услугу;
людей;
нематериальные ресурсы (например, объекты интеллектуальной собственности, престиж фирмы, деловую репутацию)
Пример: Информационные активы
№ п.п. |
Вид актива |
Степень защиты |
Срок хранения |
1 |
документы по кадрам |
высокая |
75 лет |
2 |
трудовые книжки |
высокая |
до увольнения |
3 |
документы по бронированию граждан |
высокая |
до увольнения |
4 |
документы по безработным и обратившимся в ЦЗН |
высокая |
от 1 года до 75 лет |
5 |
база данных ПТК «Катарсис» |
высокая |
постоянно |
6 |
учредительные документы |
с
Окончание
таблицы 2.1 |
постоянно |
7 |
документы по основной деятельности |
средняя |
постоянно |
8 |
документы по пенсионному страхованию |
средняя |
5 лет |
9 |
информационно-правовая система «Гарант» |
средняя |
постоянно |
10 |
корреспонденция |
средняя |
5 лет |
11 |
первичные учетные документы |
средняя |
5 лет |
12 |
документы на товарно-материальные ценности |
средняя |
до списания и утилизации |
13 |
акты инвентаризации денежных средств и расчетов с организациями |
средняя |
5 лет |
14 |
аналитические и статистические отчеты |
средняя |
1 год |
15 |
документы о платежах в бюджетные и внебюджетные фонды |
средняя |
5 лет |
16 |
документы по пособиям, стипендиям, материальной помощи |
средняя |
5 лет
|
17 |
бухгалтерская БД |
средняя |
постоянно |
Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах: библиотеках, архивах, фондах, банках данных, других видах информационных систем.