Автор: Пользователь скрыл имя, 25 Декабря 2011 в 22:52, курсовая работа
Цель работы:
1) разработать политику безопасности предприятия;
2) определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов
Подсистема обеспечения целостности:
должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.
При этом:
- целостность СЗИ НСД проверяется при
загрузке системы по наличию имен (идентификаторов)
компонент СЗИ;
- целостность программной среды обеспечивается
отсутствием в АС средств разработки и
отладки программ;
- должны осуществляться физическая охрана
СВТ (устройств и носителей информации),
предусматривающая постоянное наличие
охраны территории и здания, где размещается
АС, с помощью технических средств охраны
и специального персонала, использование
строгого пропускного режима, специальное
оборудование помещений АС;
- должен быть предусмотрен администратор
(служба) защиты информации, ответственный
за ведение, нормальное функционирование
и контроль работы СЗИ НСД;
- должно проводиться периодическое тестирование
функций СЗИ НСД при изменении программной
среды и персонала АС с помощью тест - программ,
имитирующих попытки НСД;
- должны быть в наличии средства восстановления
СЗИ НСД, предусматривающие ведение двух
копий программных средств СЗИ НСД и их
периодическое обновление и контроль
работоспособности;
- должны использоваться сертифицированные
средства защиты. Их сертификацию проводят
специальные сертификационные центры
или специализированные предприятия,
имеющие лицензию на проведение сертификации
средств защиты СЗИ НСД.
КЛАССИФИКАЦИЯ
ИСПДН НА ПРЕДПРИЯТИИ
В соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
Проведение классификации информационных систем включает в себя следующие этапы:
1) сбор и анализ исходных данных по информационной системе;
2) присвоение
информационной системе
Для
того, чтобы отнести типовую
8.1
Определить категорию
1) категория
4 - обезличенные и (или)
2) категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
3) категория
2 - персональные данные, позволяющие
идентифицировать субъекта
4) категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и
философских убеждений,
8.2
Определить объем персональных
данных, обрабатываемых в
1) объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
2) объем 2 - одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
3) объем 1 - одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных в пределах субъекта РФ или РФ.
Класс
информационной системы определяется
в соответствии с таблицей 4.
Таблица 4 – таблица классификации ИСПДН
| Объем/Категория | Объем
3
(<1000,организация) |
Объем 2
(1 000-100 000,отрасль, город) |
Объем1
(>100000,субъект Федерации) |
| Категория 4 (обезличенные, общедоступные) | Класс4 | Класс4 | Класс4 |
| Категория 3 (идентификационные) | Класс3 | Класс3 | Класс2 |
| Категория 2 (идентификационные и еще) | Класс3 | Класс2 | Класс1 |
| Категория 1 (медицинские, социальные) | Класс1 | Класс1 | Класс1 |
8.3
По результатам анализа
присваивается один из следующих классов (см. табл.):
1) класс
4 (К4) - информационные системы, для
которых нарушение заданной
2) класс
3 (К3) - информационные системы, для
которых нарушение заданной
3) класс 2 (К2) - информационные системы, для которых нарушение
заданной характеристики
4) класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
Проанализировав
данные туристического агентства "Монреаль"
по результатам анализа исходных данных
типовой ИСПДН можно присвоить организации
класс 3 (К3), исходя из данных, приведенных
в таблице классификации режимов обработки
данных. При категории 2 и объему обрабатываемых
данных менее 1000 субъектов персональных
данных в пределах конкретной организации.
Средства
защиты информации
Средства защиты информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
Средства защиты должны содержать независимые аппаратные или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, регистрацию и учёт, должны находиться под контролем средств, проверяющих корректность их функционирования.
Средства контроля должны быть полностью независимы от средств защиты. Все средства защиты должны быть защищены от несанкционированного вмешательства и отключения, причём эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и автоматизированной системы в целом. Данное требование распространяется на весь жизненный цикл автоматизированной системы.
В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:
Технические (аппаратные) средства – это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую — упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объем и масса, высокая стоимость.
В туристическом агентстве "Монреаль" используются следующие технические средства.
Дымоудаление
– это системы безопасности обеспечивающая
эвакуацию людей при пожаре. Удаление
дыма и подача чистого воздуха обеспечивается
системой приточно-вытяжной противодымной
вентиляции. Дымоудаление позволяет предотвращать
распространение дыма по зданию. Дымоудаление
обеспечивает приемлемые параметры воздушной
среды для эвакуации людей из здания. Дымоудаление
позволяет очистить помещение не только
от дыма, но и от пепла и опасных для жизни
газообразные вещества.
Система пожарной сигнализации - совокупность технических средств, предназначенных для обнаружения пожара, обработки, передачи в заданном виде извещения о пожаре, специальной информации и (или) выдачи команд на включение автоматических установок пожаротушения и включение исполнительных установок систем противодымной защиты, технологического и инженерного оборудования, а также других устройств противопожарной защиты. Установки и системы пожарной сигнализации, оповещения и управления эвакуацией людей при пожаре должны обеспечивать автоматическое обнаружение пожара за время, необходимое для включения систем оповещения о пожаре в целях организации безопасной (с учетом допустимого пожарного риска) эвакуации людей в условиях конкретного объекта. Системы пожарной сигнализации, оповещения и управления эвакуацией людей при пожаре должны быть установлены на объектах, где воздействие опасных факторов пожара может привести к травматизму и (или) гибели людей.
Рис.1 - Система
пожарной сигнализации
Видеонаблюдение (англ. Сlosed Circuit Television, CCTV — система телевидения замкнутого контура) — процесс, осуществляемый с применением оптико-электронных устройств, предназначенных для визуального контроля или автоматического анализа изображений (автоматическое распознавание лиц, государственных номеров).
Система
видеонаблюдения (закрытые системы
кабельного телевидения, CCTV) — система
аппаратно-программных средств, предназначенная
для осуществления видеонаблюдения.
Рис.2 - Система
видеонаблюдения
Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
Рис. 3 -
Внешний вид упаковки Avast! Standart Suite
Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.
Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в