- •Задание
- •1. Описание защищаемого объекта информатизации
- •1.1. Общие сведения о защищаемом объекте.
- •Место расположения исследуемого объекта защиты
- •План этажа объекта защиты
- •1.2. Сведения об объекте защиты
- •2. Методические рекомендации по составлению перечня сведений, составляющих служебную тайну.
- •2.1. Важность информации.
- •2.2. Полнота информации.
- •2.4. Адекватность информации.
- •1 Этап. Составление списка сведений, подлежащих рассмотрению
- •2 Этап. Оценка возможного ущерба предприятию, при разглашении (утечке) рассматриваемых сведений
- •3 Этап. Проверка того, что рассматриваемые сведения не являются общеизвестными или общедоступными на законных основаниях.
- •4 Этап. Проверка того, что предприятие сможет осуществить надлежащие меры по сохранению конфиденциальности рассматриваемых сведений.
- •5 Этап. Проверка того, что рассматриваемые сведения не являются государственными секретами и не защищены авторским и патентным правом.
- •6 Этап. Проверка того, что рассматриваемые сведения должны являться общедоступными и не касаются негативной деятельности предприятия, способной нанести ущерб.
- •7 Этап. Подведение итогов.
- •Структурирование информации
- •Модель объекта защиты (пример)
- •Политика информационной безопасности
- •Система контроля и управления доступом на объект
- •Пользователи системы.
- •Информация о топологии сети, сетевых соединениях и узлах
- •Корпоративная сеть и арМы службы охраны объекта.
- •Возможность интеграции с другими системами.
- •Использование встроенных (приобретенных) средств мониторинга, безопасности и архивации
- •Описание работы системы.
- •По отдельному блоку защиты (зданию, этажу, группе помещений).
- •Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на нее.
- •Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации.
- •Защита информации, циркулирующей в отсс и наводящейся в втсс
- •Планирование работ по технической защите конфиденциальной информации и контролю ее эффективности.
- •Перечень документов на объект информатизации
- •Приложение № 4
- •Пример документального оформления перечня сведений конфиденциального характера
- •Перечень
- •Форма технического паспорта на автоматизированную систему
- •Технический паспорт
- •Общие сведения об ас
- •Состав оборудования ас
- •4. Результаты периодического контроля.
- •Форма технического паспорта на защищаемое помещение
- •Технический паспорт на защищаемое помещение №________
- •2. Перечень оборудования, установленного в помещении
- •3. Меры защиты информации
- •4.Отметка о проверке средств защиты
- •5.Результаты аттестационного и периодического контроля помещения
- •Форма аттестата соответствия автоматизированной системы аттестат соответствия требованиям по безопасности информации
- •Форма аттестата соответствия защищаемого помещения аттестат соответствия требованиям по безопасности информации
- •Установить ас
- •Выписки из Уголовного кодекса Российской Федерации
- •Глава 28. Преступления в сфере компьютерной информации
- •Глава 29. Преступления против основ конституционного строя и безопасности государства
- •Приложение №14 Выписки из Трудового кодекса
- •Глава 14. Защита персональных данных работника
- •Администратор безопасности арм __________________________
- •Приложение 1 журнал
Задание
Задаться гипотетическим или реально существующим объектом защиты. Построить для него пространственную модель объекта защиты.
Разработать модель физического проникновения злоумышленника и модель технических каналов утечки информации.
Выбрать одну из актуальных угроз информации и описать для неё реализацию канала утечки.
Описать технические средства защиты канала.
Начинать защиту информации предприятия следует со следующих шагов.
Выявить вероятные каналы утечки информации. Оценить важность и ценность информации.
Проанализировать обстановку в сфере защиты информации, спланировать необходимые защитные меры и подготовить соответствующие документы.
Разработать и ввести в действие документы, регламентирующие организационно-правовые вопросы защиты информации. Как минимум, отразить обязанности о соблюдении конфиденциальности информации в трудовых и гражданско-правовых договорах, ввести за правило подписание соглашений о конфиденциальности при начале переговоров с партнерами.
Оформить обязательственные отношения по конфиденциальной информации с лицами, работающими по совместительству на других предприятиях, и с лицами, увольняющимися с предприятия.
Организовать физическую защиту помещений и хранилищ информации.
Регламентировать использование средств связи и передачи информации.
Начать работу по защите информации на средствах вычислительной техники.
Создать на предприятии службу безопасности.
1. Описание защищаемого объекта информатизации
В работе следует разработать комплексную защиту объекта информатизации (ОИ) соответствующей категории.
ОБЪЕКТ 1 КАТЕГОРИИ. Одно здание, до 50 помещений, без прилегающей территории. Штат до 100 человек персонала. СВТ до 50 ед., до 2 выделенных серверов, локальная сеть. Одно выделенное помещение (площадью не более 100 кв. м) с 1-2 объектами вычислительной техники включая средства телефонизации, множительной техники и пр. (далее ОВТ).
ОБЪЕКТ 2 КАТЕГОРИИ. До трех зданий, до 100 помещений, наличие прилегающей территории подлежащей контролю. Штат до 500 человек персонала. СВТ до 250 ед., 2-10 серверов, распределенная сеть, выход в глобальные сети. Два-три выделенных помещений; 2-3 объекта вычислительной техники.
ОБЪЕКТ 3 КАТЕГОРИИ. Свыше трех зданий, наличие прилегающей территории подлежащей контролю. Штат свыше 500 человек персонала. СВТ свыше 250 единиц, свыше 10 серверов, распределенная сеть, выход в глобальные сети. Распределенная система расположения выделенных помещений (5-7) с 10-15 ОВТ.
В соответствии с категорией, следует выбрать параметры защищаемого объекта информатизации (ОИ). Необходимо привести рисунки со схемами территории и периметра, зданий и расположения помещений, конфигурации линий питания, заземления, каналов связи, вычислительных сетей. Можно использовать схемы объектов, на которых проходили практику, из курсовых проектов по другим дисциплинам, некоторого гипотетического объекта и т.д.
В соответствии с выбранным прикладным назначением объекта следует привести краткое содержание "Перечня сведений, составляющих коммерческую (служебную) тайну" и "Положения о коммерческой (служебной) тайне", в частности - цели защиты информации, необходимый уровень защищенности информации, основные методы достижения целей защиты, политику безопасности информации предприятия.
Исходя из прикладного назначения ОИ следует обоснованно выбрать (рекомендовать к применению):
- класс защищенности автоматизированной системы (АС), которая производит хранение и обработку конфиденциальной информации на объекте информатизации,
- класс защищенности средств вычислительной техники (СВТ), составляющих аппаратно-программную поддержку автоматизированной системы,
- класс межсетевых экранов (МЭ) по уровню защищенности от НСД, реализующих защиту внутренней вычислительной сети ОИ,
- класс применяемых на ОИ антивирусных средств,
- уровень контроля программного обеспечения средств защиты информации.
В проекте защиты следует использовать сертифицированные средства и системы, прошедшие сертификацию не ниже выбранных классов.