- •В.И. Аверченков, м.Ю. Рытов,
- •Предисловие
- •1. Анализ и систематизация существующего информационного, методического и программного обеспечения автоматизации проектирования организационно - технических систем
- •1.1.1.Понятие организационно-технических систем
- •1.1.2.Анализ подходов к проектированию организационно-технических систем
- •1.2. Характеристика видов обеспечения процесса
- •1.3. Исследование состава комплексных систем защиты
- •1.3.1.Система защиты информации и общеметодологические принципы ее построения
- •1.3.2. Исследование архитектурного построения систем защиты
- •1.4. Существующие подходы к автоматизации проектирования комплексных систем защиты информации
- •1.4.1. Программные продукты аудита информационной безопасности
- •1.4.2. Сетевые сканеры
- •1.4.3. Сапр систем физической защиты
- •1.4.4.Существующие подходы к созданию сапр ксзи
- •2.Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к
- •2.1.Сущность комплексного подхода к разработке системы защиты информации
- •2.2. Систематизация компонентов ксзи. Разработка набора типовых вариантов ксзи применительно к объекту защиты
- •3. Разработка методов математического описания и методик построения методов
- •3.1. Требования к математическому обеспечению сапр ксзи
- •3.2.Общий подход к математическому моделированию ксзи
- •3.3.Построение математической модели общей оценки угроз
- •3.4. Построение математической модели оценки рисков
- •3.5. Варианты решения задачи выбора средств защиты
- •3.5.1. Математическое обеспечение выбора средств защиты информации на основе четких множеств с четкими соответствиями
- •3.5.2.Математическое обеспечение выбора средств защиты информации на основе нечетких соответствий четких множеств
- •3.5.3. Математическое обеспечение выбора средств защиты информации на основе нечетких множеств
- •3.6. Анализ используемых методик выбора средств защиты информации в сапр ксзи
- •4. Выработка концептуального подхода
- •4.1.Типовое вариантное проектирование ксзи
- •4.2.Выбор способа представления инженерных знаний в системах параметрического проектирования
- •Имя слота 1 (значение слота 1); Имя слота 2 (значение слота 2);
- •Имя слота к (значение слота к)).
- •4.3.Формирование сетевой модели комплексной системы защиты информации на основе типизации её элементов
- •4.4.Разработка структурно-функциональной модели сапр ксзи
- •4.4.1.Разработка структуры и наполнение информационного обеспечения сапр ксзи
- •4.4.2.Разработка лингвистического обеспечения сапр ксзи
- •5. Возможности сапр для проектирования комплексной системы защиты информации на примере вуза
- •5.1.Анализ объекта защиты на примере высшего учебного заведения
- •Информация
- •5.2.Разработка проекта системы защиты конфиденциальной информации вуза
- •5.2.1. Разработка проекта программно-аппаратной защиты
- •5.2.2.Разработка проекта инженерно-технической защиты
- •5.2.2.1.Разработка проекта схемы размещения пожарных извещателей
- •5.2.2.2. Разработка проекта размещения оборудования помещений объекта техническими средствами охранной сигнализации
- •5.2.3. Разработка проекта организационно-распорядительной
- •1.Правового характера:
- •2.Организационного характера:
- •3.Организационно-технического характера:
- •4. Режимного характера:
- •5.3. Анализ результатов работы сапр ксзи
- •Заключение
- •Список литературы
- •Аверченков Владимир Иванович
4. Режимного характера:
Организация системы охраны территории, здания, помещений.
Организация порядка допуска на территорию и в помещения.
Обеспечение сохранности сменных носителей.
Меры организационного характера осуществляются на предприятии независимо от того, нужно ли подавать уведомление в Роскомнадзор или нет, осуществляется ли обработка ПДн с использованием средств автоматизации или без использования таких средств.
Особое внимание должно быть уделено разработке организационно-распорядительной документации, которая регламентирует весь процесс получения, обработки, хранения, передачи и персональных данных [7].
В данных документах необходимо зафиксировать:
перечень обрабатываемых данных;
перечень сотрудников, имеющих право доступа к сведениям персонального характера, вид доступа и т.п.;
перечень сотрудников, имеющих право получения и обработки ПДн;
используемое оборудование, СЗИ, антивирусные программы, межсетевые экраны и т.п.;
порядок учета защищаемых носителей информации;
контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации, в том числе в ночное время, а также определить сроки проведения внутренних проверок защиты ПДн.
В результате работы автоматизированной системы формируется перечень типовых форм документов, необходимых для построения качественной защиты информации с помощью реализации организационных мер:
Политика информационной безопасности.
Положение о разграничении прав доступа.
Инструкция администратора ИСПДн.
Инструкция по антивирусному контролю в ИСПДн.
Инструкция пользователя ИСПДн.
Перечень применяемых средств защиты информации.
Перечень эксплуатационной и технической документации применяемых СЗИ.
Перечень носителей ПДн.
Журнал учета носителей информации объекта вычислительной техники.
Положение о защите персональных данных .
Инструкция пользователя автоматизированного рабочего места, выделенного для обработки конфиденциальной информации (персональных данных) .
Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.
Положение о порядке хранения и уничтожения носителей ПДн.
Формы учета для организации обработки ПДн (шаблоны, бланки).
Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн
План мероприятий по защите ПДн.
План внутренних проверок защищенности ИСПДн.
5.3. Анализ результатов работы сапр ксзи
В результате работы САПР КСЗИ получают комплект организационно-технических документов, который содержит документированный проект комплексной защиты информации, необходимость защиты которой выявлена в ходе аудита информационной безопасности вуза. После завершения работы автоматизированной системы с данным комплектом документов можно вести более детальную работу, внося необходимые, на взгляд пользователя, коррективы.
Применительно к сфере автоматизации проектирования можно выделить следующие основные источники экономической эффективности САПР КСЗИ:
рост производительности труда проектировщиков;
повышение качества проектирования объектов и выпускаемой документации;
влияние социально-психологических факторов автоматизации на привлекательность труда проектировщиков;
экономия производственных ресурсов, к которым относятся живой труд, сырье, материалы, топливо, энергия, капитальные вложения в производственные фонды.
На сегодняшний день проектирование комплексных систем защиты информации является весьма трудоемким и затратным процессом. Аудиторские компании проводят данную процедуру в течение нескольких месяцев, нередко мешая качественному процессу работы самих сотрудников организации. Альтернатив данным услугам до сегодняшнего дня не существовало. Представленные на рынке решения в области информационной безопасности, во-первых, не адаптированы для российского пользователя, а во-вторых, не учитывают особенности российского законодательства как в области защиты конфиденциальной информации, так и в области защиты персональных данных.
Разработка, внедрение и использование САПР КСЗИ на объекте позволяет руководителю организации либо профильным специалистам по информационной безопасности построить систему защиты на предприятиях в кратчайшие сроки, затратив при этом минимум финансовых средств.