Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ВКР Отт. ТЕКСТ3.docx
Скачиваний:
227
Добавлен:
08.03.2016
Размер:
1.06 Mб
Скачать

4.2 План организационных мероприятий по внедрению разработанной системы

Согласно ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» стадия ввода системы защиты информации (СЗИ) в действие включает в себя следующие этапы:

  1. Подготовка СЗИ к вводу в действие.

  2. Подготовка персонала.

  3. Комплектация автоматизированной системы поставляемыми изделиями (программными и техническими средствами).

  4. Строительно-монтажные работы.

  5. Пуско-наладочные работы.

  6. Проведение предварительных испытаний.

  7. Проведение опытной эксплуатации.

Разработка, внедрение и эксплуатация автоматизированной системы осуществляется в отрасли или на отдельном предприятии в соответствии с организационно-распорядительной и проектной документацией, учитывающей конкретные условия функционирования АС:

  1. Положение о порядке организации и проведения в отрасли (на предприятии) работ по защите информации в АС.

  2. Инструкция по защите информации, обрабатываемой в АС отрасли (на предприятии или в подразделениях предприятия).

  3. Раздел «Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии», определяющий особенности системы допуска в процессе разработки и функционирования.

  4. Приказы, указания, решения о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий:

- о назначении лиц, ответственных за эксплуатацию вычислительной системы, баз данных АСЗИ;

- о назначении уполномоченных службы безопасности и т.д..

  1. Проектная документация различных стадий создания СЗИ.

Для подготовки СЗИ к вводу в действие проводятся такие мероприятия, как:

  1. Разработка требований к организационным мерам по защите информации.

  1. Реализация проектных решений по организационной структуре СЗИ на АС и процесса.

  2. Разработка требований к организационным мерам по защите информации.

Реализация проектных решений по организационной структуре системы защиты информации АС и процесса включает в себя:

  1. Организацию охраны и физической защиты помещений АС.

Организация охраны должны исключать НСД к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

  1. Разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой на АС информации;

  2. Выполнение других мероприятий, специфичных для конкретной АС и конкретных направлений защиты информации.

Для проведения этих мероприятий оформляется эксплуатационная документация, такая как:

  1. план организационно-технических мероприятий по подготовке АС к внедрению средств и мер защиты информации.

  2. приказы, указания и решения:

- на проектирование АС,

- о назначении ответственных исполнителей,

- на проведение работ по защите информации.

4.3 Описание эффекта от внедрения разработанной системы

Для каждого типа угроз может быть предпринята одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации зашиты.

Мера противодействия будет приемлема с экономической точки зрения, если ее эффективность, выражен­ная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию.

Говоря об эффективности системы защиты информации, необходимо понимать, что ни одна такая система в принципе не может гарантировать полной информационной безопасности. По этой причине для оценки качества внедряемых средств защиты и организационных предприятий применяют анализ рисков. В качестве основного критерия в данном случае является интегральный показатель рисков.

Ниже приведена таблица рисков для системы обработки информации органа муниципального управления до внедрения системы защиты информации и после него.

Таблица 10 - Риски до и после внедрения системы защиты информации

Описание угрозы

Риск до внедрения системы

Риск после внедрения системы

Кража (копирование) программного обеспечения

0

0

Подмена (несанкционированный ввод) информации

4

1

Уничтожение (разрушение) данных на носителях информации

4

1

Нарушение нормальной работы (прерывание) в результате вирусных атак

2

1

Модификация (изменение) данных на носителях информации

4

2

Перехват (несанкционированный съем) информации

0

1

Кража (несанкционированное копирование) ресурсов

1

0

Нарушение нормальной работы (перегрузка) каналов связи

1

1

Непредсказуемые потери

0

0

Суммарный риск

16

7

продолжение Таблицы 10.