- •В.И. Аверченков, м.Ю. Рытов,
- •Предисловие
- •1. Анализ и систематизация существующего информационного, методического и программного обеспечения автоматизации проектирования организационно - технических систем
- •1.1.1.Понятие организационно-технических систем
- •1.1.2.Анализ подходов к проектированию организационно-технических систем
- •1.2. Характеристика видов обеспечения процесса
- •1.3. Исследование состава комплексных систем защиты
- •1.3.1.Система защиты информации и общеметодологические принципы ее построения
- •1.3.2. Исследование архитектурного построения систем защиты
- •1.4. Существующие подходы к автоматизации проектирования комплексных систем защиты информации
- •1.4.1. Программные продукты аудита информационной безопасности
- •1.4.2. Сетевые сканеры
- •1.4.3. Сапр систем физической защиты
- •1.4.4.Существующие подходы к созданию сапр ксзи
- •2.Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к
- •2.1.Сущность комплексного подхода к разработке системы защиты информации
- •2.2. Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к объекту защиты
- •3. Разработка методов математического описания и методик построения методов
- •3.1. Требования к математическому обеспечению сапр ксзи
- •3.2.Общий подход к математическому моделированию ксзи
- •3.3.Построение математической модели общей оценки угроз
- •3.4. Построение математической модели оценки рисков
- •3.5. Варианты решения задачи выбора средств защиты
- •3.5.1. Математическое обеспечение выбора средств защиты информации на основе четких множеств с четкими соответствиями
- •3.5.2.Математическое обеспечение выбора средств защиты информации на основе нечетких соответствий четких множеств
- •3.5.3. Математическое обеспечение выбора средств защиты информации на основе нечетких множеств
- •3.6. Анализ используемых методик выбора средств защиты информации в сапр ксзи
- •4. Выработка концептуального подхода
- •4.1.Типовое вариантное проектирование ксзи
- •4.2.Выбор способа представления инженерных знаний в системах параметрического проектирования
- •Имя слота 1 (значение слота 1); Имя слота 2 (значение слота 2);
- •Имя слота к (значение слота к)).
- •4.3.Формирование сетевой модели комплексной системы защиты информации на основе типизации её элементов
- •4.4.Разработка структурно-функциональной модели сапр ксзи
- •4.4.1.Разработка структуры и наполнение информационного обеспечения сапр ксзи
- •4.4.2.Разработка лингвистического обеспечения сапр ксзи
- •5. Возможности сапр для проектирования комплексной системы защиты информации на примере вуза
- •5.1.Анализ объекта защиты на примере высшего учебного заведения
- •Информация
- •5.2.Разработка проекта системы защиты конфиденциальной информации вуза
- •5.2.1. Разработка проекта программно-аппаратной защиты
- •5.2.2.Разработка проекта инженерно-технической защиты
- •5.2.2.1.Разработка проекта схемы размещения пожарных извещателей
- •5.2.2.2. Разработка проекта размещения оборудования помещений объекта техническими средствами охранной сигнализации
- •5.2.3. Разработка проекта организационно-распорядительной
- •1.Правового характера:
- •2.Организационного характера:
- •3.Организационно-технического характера:
- •4. Режимного характера:
- •5.3. Анализ результатов работы сапр ксзи
- •Заключение
- •Список литературы
- •Аверченков Владимир Иванович
5.2.2.2. Разработка проекта размещения оборудования помещений объекта техническими средствами охранной сигнализации
Для защиты информационных ресурсов на объекте рекомендуется использовать охранные извещатели, реагирующие на движение, открытие дверей, а также на разбитие стекол [7].
Механизм выбора охранных извещателей в автоматизированной системе реализован посредством сравнения существующих и выбора наиболее оптимального (то есть подходящего под выделенные задачи).
На основании сравнительных данных выбирается наиболее оптимальный результат и формируется автоматизированной системой в виде отчета (рис.41):
Рис.41.Фрагмент работы автоматизированной системы при формировании рекомендаций по установке средств охранной сигнализации
Также автоматизированная система формирует схему размещения охранной сигнализации, представляя ее в графическом виде (рис.42).
Рис.42. Фрагмент работы автоматизированной системы по формированию схемы
по установке средств охранной сигнализации
5.2.3. Разработка проекта организационно-распорядительной
документации
Безопасность объекта оценки в значительной степени может быть достигнута административными мерами, такими как организационные, управление персоналом, физическая защита и процедурный контроль.
Зачастую утечка информации происходит либо из-за целенаправленной работы инсайдеров, либо так называемого «человеческого фактора» - потери портфеля с документами или компьютера, неконтролируемого или плохо контролируемого пропускного режима в организацию, возможности подключения различного оборудования, с помощью которого можно скачать и передать информацию и т.п.
Именно поэтому к проведению организационных мер необходимо отнестись с должной степенью внимания. Оператор при организации обработки персональных данных обязан организовывать и проводить мероприятия [7]:
1.Правового характера:
Получение согласия у субъекта ПДн на обработку ПДн.
Направление уведомления в Роскомнадзор с целью включения в реестр операторов.
Разработка организационно-распорядительной документации, регламентирующей отношения в информационной сфере.
2.Организационного характера:
Проведения категорирования ПДн и классификации информационных систем ПДн.
Разработка порядка работы с ПДн.
Доведение до сотрудников порядка работы со сведениями о персональных данных (обучение сотрудников).
Осуществление мер контроля.
3.Организационно-технического характера:
создание и совершенствование системы обеспечения информационной безопасности;
разработка, использование и совершенствование СЗИ и методов контроля их эффективности;
предотвращение перехвата информации по техническим каналам связи;
разработка порядка резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и СЗИ;
контроль за выполнением требований по защите информации;
сертификация средств защиты информации;
лицензирование деятельности организации в области защиты информации;
аттестация объектов информатизации на соответствие требованиям безопасности информации.