- •Введение
- •1 Анализ теоретических основ построения комплексной защиты информации
- •1.1 Анализ нормативно-правовой базы в области комплексной защиты информации
- •1.2 Построение комплексной защиты информации
- •2 Анализ системы защиты уфсс росии по оренбургской области сорочиский росп
- •2.1 Организационная структура уфсс рф по Оренбургской области Кратка история службы
- •2.2 Анализ программно-технического обеспечения
- •2.3 Модель угроз нарушителей
- •2.4. Анализ выполнения мероприятий по комплексной защите
- •Заключение
- •Список используемой литературы
1 Анализ теоретических основ построения комплексной защиты информации
Комплексная система защиты информации (КСЗИ) является совокупностью методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в АСОД.
Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов АСОД.
Основными требованиями к комплексной системе защиты информации являются:
система защиты информации должна обеспечивать выполнение АС своих основных функций без существенного ухудшения характеристик последней;
она должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;
защита информации в АС должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;
в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации АС;
она в соответствии с установленными правилами должна обеспечивать разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;
при взаимодействии защищаемой АС с незащищенными АС система защиты должна обеспечивать соблюдение установленных правил разграничения доступа;
система защиты должна позволять проводить учет и расследование случаев нарушения безопасности информации в АС.
1.1 Анализ нормативно-правовой базы в области комплексной защиты информации
Нормативную базу в области комплексной защиты информации представляют: законы, Указы Президента, Постановления Правительства РФ, нормативные документы в области защиты информации, а так же вопросы сертификации и лицензирования. ГОСТ 28147-89 «Системы обработки информации». Защита криптографическая. Алгоритм криптографического преобразования.
ГОСТ Р ИСО/МЭК 15408 содержит общие критерии оценки безопасности информационных технологий.
ГОСТ Р ИСО/МЭК 15408-1 устанавливает общий подход к формированию требований (функциональные и доверия) и оценке безопасности, основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем информационных объекта оценки и условий среды его использования (угроз, предположений, политики безопасности).
ГОСТ Р ИСО/МЭК 15408-2 содержит универсальный систематизированный каталог функциональных требований безопасности, которые определяются исходя из целей безопасности. Эти цели основываются на анализе назначения детализации и расширения по определенным правилам.
ГОСТ Р ИСО/МЭК 15408-3 включает в себя систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы информации для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности объекта оценки, уязвимости продукта или информационной системы, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.
Нормативные акты в области делопроизводство:
Федеральный конституционный закон от 25.12.2000 № 2-ФКЗ «О Государственном гербе Российской Федерации»;
Федеральный закон от 01.06.2005 № 53-ФЗ «О государственном языке Российской Федерации»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании»;
Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»; Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах»;
Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
постановление Правительства Российской Федерации от 27.12.1995 № 1268 «Об упорядочении изготовления, использования, хранения и уничтожения печатей и бланков с воспроизведением Государственного герба Российской Федерации»;
постановление Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
постановление Госстандарта России от 03.03.2003 № 65-ст «О принятии и введении в действие государственного стандарта Российской Федерации» (вместе с ГОСТ Р 6.30-2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов»);
приказ Министерства юстиции Российской Федерации от 16.11.2007 № 220 «Об утверждении Инструкции по делопроизводству в Министерстве юстиции Российской Федерации»;
Приказ ФССП России от 10.12.2010 № 682 «Об утверждении Инструкции по делопроизводству в Федеральной службе судебных приставов».
Данные акты, законы и приказы обеспечивают сохранность информации не только сотрудников управления, но так же и граждан обращающихся в управление. Контроль за выполнение данных нормативных актов проходит раз в 3 месяца. Пишется подробный отчет.