- •Список сокращений
- •Введение
- •1 Аналитическая часть
- •1.1 Описание предприятия
- •1.2 Описание хранилища данных оао «Ростелеком»
- •1.3 Классификация испДн
- •1.4 Угрозы безопасности пДн
- •1.5 Описание модели угроз
- •1.6 Модель нарушителя в испДн
- •1.7 Анализ рисков
- •2 Конструкторская часть
- •2.1 Техническое задание
- •2.2 Организационные мероприятия по защиты информации в ис хранилища данных оао «Ростелеком»
- •2.3 Физические мероприятия по защите информации в ас
- •2.4 Система охранно-пожарной сигнализации
- •2.5 Программно - аппаратные средства защиты пд в испДн
- •2.5.1 Обзор рынка программно - аппаратных средств защиты от нсд
- •Сзи «Страж nt (версия 2.5)»
- •Аккорд-амдз
- •Аккорд nt/2000 V. 3.0.
- •Ксзи «панцирь-с»
- •Secret Net 5.0-с(сетевой вариант)
- •Сзи "Блокпост-2000/xp"
- •2.5.2 Выбор программно-аппаратного средства защиты от нсд
- •2.5.3 Межсетевые экраны
- •2.5.3 Обзор рынка и выбор средства антивирусной защиты
- •2.5.4 Защита базы данных
- •Безопасность жизнедеятельности
- •Анализ помещения, где располагается рабочее место начальника вц
- •Анализ организации рабочего места начальника вц
- •Анализ освещения рабочего места начальника вц
- •Анализ микроклимата
- •Анализ уровня шума и вибраций
- •Анализ электробезопасности
- •Анализ пожарной безопасности
- •Расчет естественного бокового освещения
- •Рекомендации по охране труда
- •Заключение
- •Список литературы
- •Приложение
2 Конструкторская часть
2.1 Техническое задание
Руководствуясь документами по защите информации, необходимо разработать систему комплексной защиты ИСПДн "Хранилища данных". Система защиты должна быть построена на основе построенных модели угроз и модели нарушителя, а также удовлетворять классу защиты ИСПДн.
2.2 Организационные мероприятия по защиты информации в ис хранилища данных оао «Ростелеком»
В организации реализован ряд мер по защите ПДн. Эти меры можно разделить на: 1)правовые; 2)организационные; 3)программные.
Правовые меры
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
Программные меры
Для доступа к ЭВМ используется парольная система.
ИСПДн могут быть выполнены в виде автоматизированных рабочих мест (АРМ) на базе автономных ПЭВМ с необходимым для решения конкретных задач периферийным оборудованием (принтер, сканер, внешние накопители и т.п.).
Порядок разработки и эксплуатации АРМ на базе автономных ПЭВМ по составу и содержанию проводимых работ в части защиты информации, организационно-распорядительной, проектной и эксплуатационной документации должны отвечать требованиям документа.
АРМ на базе автономных ПЭВМ подлежат классификации в соответствии с требованиями РД ФСТЭК России.
При использовании на АРМ технологии обработки информации на съемных накопителях большой емкости, классификация ИСПДн производится на основании анализа режима доступа пользователей ИСПДн к информации на используемом съемном накопителе (либо одновременно используемом их комплексе).
Организационные мероприятия по защите ПДн в ИСПДн:
Достижение приемлемого уровня безопасности невозможно без принятия должных жестких организационных мер. Данные меры должны быть направлены на обеспечение правильности функционирования всех механизмов защиты, и выполняться лицами ответственными за безопасность всей системы в целом, и в то же время, принимаемые меры не должны создавать дополнительные трудности рядовым пользователям системы. Руководство предприятия должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.
Необходимо учитывать, что некоторые риски, связанные с техническими и программными средствами, могут быть уменьшены с помощью организационных мер.
Однако организационные меры играют существенно более важную роль и в среднем должны составлять более 60% усилий, направленных на обеспечение информационной безопасности. Эффективность любых самых сложных и дорогостоящих программно-технических механизмов защиты может быть сведена к нулю, в случае игнорирования пользователями информационной системы элементарных правил парольной политики или нарушения сетевыми администраторами установленных процедур предоставления доступа к ресурсам сети. Влияние таких аспектов, как злоумышленные действия, нерадивость, небрежность и халатностью пользователей или персонала защиты практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы возможность возникновения опасности для информации организации.
К организационным мерам можно отнести:
- идентификация пользователей ИС по паролю;
- регистрация входа\выхода пользователей в ИС;
- разграничение доступа пользователей к средствам защиты и информационным ресурсам в соответствии с матрицей доступа;
- учет всех материальных носителей информации, регистрация их выдачи;
- физическая охрана ИСПДн, контроль доступа в помещение;
- блокирование терминалов пользователей;
- наличие администратора (службы) безопасности, ответственных за ведение, нормальное функционирование и контроль работы средств защиты информации.
Также, к организационным мерам можно отнести отдельные мероприятия на стадии проектирования ИСПДн:
- разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;
- определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению
обеспечения безопасности ПДн;
- разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно распорядительной документации по защите информации (приказов, инструкций и других документов).
В организации должны быть разработаны такие документы, как:
- инструкция администратора безопасности;
- инструкция пользователя ИСПДн;
- инструкция об антивирусной защите;
- журнал проведения проверок безопасности ИСПДн;
- журнал учета и регистрации магнитных носителей информации.