- •Введение
- •1 Анализ современных отечественных и зарубежных технологий защиты информации
- •2 Аналитическая часть
- •2.1 Исследование объекта защиты
- •2.1.1 Общая характеристика органа муниципального управления
- •2.1.2 Организационная структура
- •2.1.3 Анализ существующей информационной системы
- •2.2 Основные угрозы информационной безопасности
- •2.2.1 Классификация угроз информационной безопасности
- •2.2.2 Неформальная модель нарушителя
- •2.2.3 Описание модели угроз
- •2.2.4 Оценка рисков
- •2.3 Нормативно-правовая база организации защиты информации
- •3 Конструкторская часть
- •3.1 Общие принципы построения комплексной системы защиты информации
- •3.2 Организационные меры защиты
- •3.3 Физические меры защиты
- •З.4 Аппаратно-программные средства защиты
- •3.4.1 Средства защиты информации от несанкционированного доступа
- •3.4.2 Средства криптографической защиты информации
- •3.4.3 Антивирусное программное обеспечение
- •3.4.4 Межсетевое экранирование
- •3.4.5 Резервирование информации
- •3.4.6 Обеспечение целостности данных при отключении электроэнергии
- •4 Организационно-экономическая часть
- •4.1 Расчет стоимости проекта
- •4.2 План организационных мероприятий по внедрению разработанной системы
- •4.3 Описание эффекта от внедрения разработанной системы
- •5 Безопасность жизнедеятельности
- •5.1 Введение в безопасность жизнедеятельности
- •5.2 Условия трудовой деятельности инженера
- •5.3 Требования к помещению
- •5.3.1 Требования к освещению
- •5.3.2 Требования по шуму и вибрации
- •5.3.3 Требования по электромагнитному излучению
- •5.3.4 Требования по микроклимату
- •5.3.5 Требования по окраске помещений
- •5.3.6 Требования к режиму труда
- •5.3.7 Требования к эргономике рабочего места
- •5.3.8 Требования по пожаробезопасности
- •5.3.9 Требования по электробезопасности
- •5.3.10 Выводы по разделу
- •Заключение
- •Список литературы
- •Приложение в
- •Приложение г
- •Приложение д
- •Приложение е
- •Приложение ж
- •II. Взаимоотношения и связи
- •III. Должностные обязанности
- •IV. Права
- •V. Ответственность:
- •2. Порядок пропуска в административное здание и проезд транспортных средств на прилегающую к зданию территорию
- •3. Оформление и выдача постоянных электронных пропусков
- •5. Оформление и выдача разовых электронных пропусков
- •6. Соблюдение внутриобъектового режима
- •7. Контроль за соблюдением пропускного и внутриобъектового режима
- •Приложение к
- •I.Общие положения
- •II. Цели и задачи отдела
- •III. Структура
- •IV. Руководство
- •V.Деятельность
- •VI. Права и ответственность отдела по защите информации.
- •VII. Взаимодействие отдела с другими структурными подразделениями.
- •VIII. Заключительные положения
2.3 Нормативно-правовая база организации защиты информации
Основой для организации защиты информации в компьютерных сетях являются национальные и международные стандарты по информационной безопасности. Данные стандарты реализуют требования законодательства и отражают лучшие мировые и национальные практики в области информационной безопасности.
Основные подходы к построению систем защиты информации описаны в следующих нормативных документах:
Серия международных стандартов ISO/IEC 27000.
ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.
ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции.
ГОСТ Р 51583-2000. Порядок создания автоматизированных систем в защищенном исполнении.
152-ФЗ, Приказ ФСТЭК от 18 февраля 2013 г. № 21. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
149-ФЗ, Приказ ФСТЭК от 11 февраля 2013 г. № 17. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
Данные документы содержат основные положения, определения, требования и концепции, которые могут быть использованы при построении системы защиты для автоматизированных систем и сетей. Корпоративные стандарты информационной безопасности, как правило, соответствуют принятым международным и национальным нормам.
Серия международных стандартов ISO/IEC 27000 включает стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссией (IEC). Серия содержит лучшие практики и рекомендации в области информационной безопасности. Данные стандарты определяют требования к системам управления информационной безопасностью, описывают управление рисками, метрики и измерения, необходимые для управления информационной безопасностью, а также содержат руководство по внедрению системы менеджмента информационной безопасности.
Стандарт ISO/IEC 27001:2013 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования» устанавливает требования к системе управления информационной безопасностью (СУИБ) для демонстрации способности организации защищать свои информационные ресурсы [5]. Данный стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения СУИБ.
Практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание СУИБ, определены в стандарте ISO/IEC 27002:2013 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью» [4].
Руководство по внедрению СУИБ представлено в стандарте ISO/IEC 27003 «Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Управления Информационной Безопасностью» [6].
Серия стандартов ISO/IEC 27033 содержит определения, концепции и практические правила и руководства для обеспечения сетевой безопасности.
На базе ISO/IEC 27001 специалистами компании IT Task было создано методическое пособие [10], основанное на реальном практическом опыте и содержащее основные правила, требования и рекомендации для построения и внедрения системы управления информационной безопасностью в соответствии с требованиями международного стандарта ISO/IEC 27001. Все примеры, материалы и подход в целом, приведенные в пособии, являются частью реальных проектов построения и последующей сертификации СУИБ предприятий. Реализация представленного подхода позволяет выявить существующие угрозы информационной безопасности, выполнить оценку рисков, обеспечить эффективную защиту информации на предприятии и оптимизировать затраты на поддержание системы обеспечения информационной безопасности.
Национальные стандарты Российской Федерации в области защиты информации ГОСТ Р ИСО/МЭК идентичны соответствующим международным стандартам ИСО/МЭК.
Стандарт ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» содержит рекомендации и критерии оценки безопасности АС. Стандарт устанавливает [8]:
Определение и модель АС.
Описание расширений концепции оценки безопасности с помощью стандартов серии ИСО/МЭК 15408, необходимых для оценки АС.
Методологию и процесс выполнения оценки безопасности АС.
Дополнительные критерии оценки безопасности, которые не были охвачены критериями оценки безопасности в стандартах серии ИСО/МЭК 15408.
ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции» содержит обзор сетевой безопасности и связанных с ней определений. Стандарт определяет и описывает концепции, связанные с сетевой безопасностью, и предоставляет рекомендации по менеджменту сетевой безопасности. В качестве основных поддерживающих мер и средств контроля и управления представлены следующие меры [7]:
Деятельность по менеджменту сетевой безопасности;
Управление техническими уязвимостями;
Идентификация и аутентификация;
Ведение контрольных журналов и мониторинг сети;
Обнаружение и предотвращение вторжений;
Защита от вредоносных программ;
Криптографические услуги;
Управление непрерывностью деятельности.
ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении» содержит типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении (АСЗИ). Предполагаются следующие стадии [9]:
1. Формирование требований к АС.
На данной стадии проводится обследование объекта и обоснование необходимости создания АСЗИ, формирование требований пользователя к АСЗИ и оформление отчета о выполняемой работе и заявки на разработку АСЗИ.
2. Разработка концепции АС.
Проводится изучение объекта, выполнение необходимых НИР, разработка и выбор вариантов концепции АС, а также оформляется отчет о проделанной работе.
3. Техническое задание.
На данной стадии разрабатывается и утверждается техническое задание на АСЗИ.
4. Эскизный проект.
Разрабатывается документация на АСЗИ и ее части.
5. Технический проект.
На данном этапе выполняется разработка проектных решений и документации на АСЗИ, ее части, на поставку изделий для комплектования АСЗИ, а также разрабатываются задания на проектирование в смежных частях объекта автоматизации.
6. Рабочая документация.
Выполняется разработка рабочей документации и программных средств АСЗИ.
7. Ввод в действие.
На этой стадии происходит реализация разработанного проекта, установка, внедрение и предварительные испытания системы.
8. Сопровождение АСЗИ.
На данной стадии выполняется анализ функционирования системы, выявление и устранение недостатков.
Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый), в соответствии с таблицей 7.
Таблица 7 - Классы защищенности информационных систем.
|
Уровень значимости информации |
Масштаб информационной системы | ||
|
Федеральный |
Региональный |
Объектовый | |
|
УЗ 1 |
К1 |
К1 |
К1 |
|
УЗ 2 |
К1 |
К2 |
К2 |
|
УЗ 3 |
К2 |
К3 |
К3 |
|
УЗ 4 |
К3 |
К3 |
К4 |
Для каждого из уровней защищенности персональных данных определяется соответствующий состав и содержание мер по обеспечению безопасности.
В соответствии с Приказом ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», меры по обеспечению безопасности персональных данных реализуются, в том числе, посредством применения в информационной системе средств защиты информации [3].
Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» содержит требования к организации защиты информации, содержащейся в информационной системе, и определяет порядок разработки, внедрения и эксплуатации системы защиты информации [2].