Усов636329261709751498 (1209981), страница 13

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 13)

2008 г.12.Технический регламент о требованиях пожарной безопасности ФЗ от20.07.2008 г. No 123-ФЗ // Справочная правовая системаКонсультантПлюс: [сайт]. U RL:http://www.consultant.ru/document/cons_doc_LAW_78699/. 1913. Об информации, информационных технологиях и о защитеинформации : ФЗ от 27.07.2006 г. 36 No 149-ФЗ // Справочная правоваясистема КонсультантПлюс:[сайт]. URL:14. http://www.consultant.ru/document/cons_doc_LAW_61798/.1 19 5.О персональных данных : ФЗ от 27.07.2006 г.

No 152-ФЗ // Справочнаяправовая система КонсультантПлюс: [сайт]. U RL:http://www.consultant.ru/document/cons_doc_LAW_61801/. 1916. Нормативно-методический документ «Специальные требования ирекомендации по технической защите конфиденциальной информации(СТР-К)» // 38 Приказ Гостехкомиссии от 30.08.2002 г. No282.17.Доктрина информационной безопасности РФ от 09.09.2000 г. No Пр1895 // Справочная правовая система КонсультантПлюс: [сайт]. U RL:http://www.consultant.ru/document/cons_doc_LAW_28679/. 1918.

20 Методические указания. Информационная технология. Комплексстандартов и руководящих документов на автоматизированныесистемы. Автоматизированные системы. Требования к содержаниюдокументов : РД 50-34.698-90. 77 Введ. 27.12.1990 г.19.О пожарной безопасности ФЗ от 21.12.1994 г. No 69-ФЗ // Справочная91правовая система КонсультантПлюс: [сайт]. URL:20. http://www.consultant.ru/document/cons_doc_LAW_5438/. 1921.

Система стандартов безопасности труда. Пожарная безопасность.Общие требования : 67 ГОСТ 12.1.004. Введ. 14.12.1991 г. No 875.22. URL: https://www.securitycode.ru– официальный сайт средства защитыот несанкционированного доступа и средства контроля съемных машинныхносителей Secret Net компании ООО «Код безопасности».23.

URL: http://www.ptsecurity.ru/ - официальный сайт средства анализазащищенности XSpider 7.8.24 компании ООО «Позитив Технолоджис».24. URL: http://www.infotecs.ru/ - официальный сайт средствакриптографической защиты и межсетевого экранирования VipNet CoordinatorHW1000 и VipNet Custom 3.2 компании ОАО «ИнфоТеКС».9225.Принятые сокращенияАРМ – автоматизированное рабочее местоИС – информационная системаГОСТ – государственный стандартЛВС – локальная вычислительная сетьНДВ – не декларирован ные возможности 26НСД – несанкционированный доступОС – операционная системаПДн – персональные данные 41ПК – программный компл екс 26ПО – программное обеспечениеПЭВМ – персональная электронно-вычислительная машина 79РД – руководящий докум 12 ентСЗИ – система защиты информацииСКЗИ – средства криптографической защиты информа 18 цииСрЗИ – средства защиты информа 12 цииФСБ – Федеральная служба безопасностиФСТЭК– Федеральная служба технического и экспортногоконтроля 1293Приложение АЗаключение по результатам аудита информационной системы комитета поприватизации и управлению имуществом администрации Ванинскогомуниципального района Хабаровского края(выписка)В информационной системе обрабатывается два вида информации:персональные данные различных категорий нескольких видов субъектов ПДни информация, составлющая служебную тайну.Информация, обрабатываемая в процессе работы, хранится на жесткихдисках АРМ пользователей ИС «Комитет», а так же на удаленном сервере БД,находящемся в пределах КЗ, но относящемуся к другому юридическому лицу- Муниципальному казённому учреждению «Комитет по содержаниюобъектов муниципальной собственности» Администрации Ванинскогомуниципального района Хабаровского края (далее КСОМС).Параметры информационной системы «Комитет» представлены в таблицеА.1.Таблица А.1 – Параметры ИС «Комит ет»Структурно-функциональные характеристики ИС,условия ее эксплуата 19 цииУровень проектной защищенностиИС (Y1П)высокий средний низкийПо структуре ИС:– локальная ИС; +По архитектуре информационной системы:файл-серверные системы;использование прикладных программ,независимых от операционных систем;++94По архитектуре информационной системы:файл-серверные системы; +Продолжение таблицы А.1Структурно-функциональные характеристики ИС,условия ее эксплуата 19 цииУровень проектной защищенностиИС (Y1П)высокий сред ний низкийПо наличию (отсутствию) взаимосвязей с инымиинформационными система 19 ми:взаимодействующая с системами ;+По наличию (отсутствию) взаимосвязей(подключен 19 ий)подключенна я к сетям связи общегопользования 19 :+По размещению технических средств:расположенные в пределах однойконтролируемой зоны 19 ;+По режимам обработки информаци 19 и в ИС:многопользовательский ; +По режимам разграничения прав доступа:с разграничение 19 м +По режимам разделения функций по управлениюинформационной систем 19 ой:без разделения;+По подходам к сегментированию ИС:без сегментирования;+Рисунок А.1 – Размещение элементов информационной системы относительно границ контролируемой зоны96Приложение БМодель вероятного нарушител я и угроз безопасности персональных данных,обрабатываемых в информационной сист 24 еме комитета по приватизации иуправлению имуществом администрации Ванинского муниципальногорайона Хабаровского края(выпис ка)По наличию права постоянного или разового доступ 26 а в пределы гра ницконтролируемой зоны ( 6 КЗ) ИС нарушители делятся на 22 два ти 14 па:внешние нарушители — физические лица, 22 не обладающие правамидоступа на территорию контролируемой зоны;внутренние нарушители — физические лица, обладающие правамидоступа на территорию контролируемой зоны.Возможности внешних и внутренних нарушителей зависят отдействующих мер защиты.В качестве внешнего нарушителя ИБ, рассматривае тся нарушите 14 ль, неимеющий непосредственного доступа к техническим средствам и ресурсамсисте 22 мы, располагающимся в пределах КЗ.Исходя из особенностей функционирования и расположения ОТСС ИС«Комитета», к внешним нарушителям могут относиться:бывшие сотрудники «Комитета»;лица, находящиеся в здание «Комитета» по деловым вопросам;лица, находящиеся в здании «Комитета» в связи со своими должностями97обязанностями, но не являющиеся сотрудниками «Комитета».Предполагается, что данный круг лиц им еет возможность:осуществлять несанкционированный доступ к каналам связи, выходящимза пред 26 елы 33 КЗ;осуществлять несанкционированный доступ через 26 АРМ сотрудников«Комитет а», подключенные к сетям связи общего пользован 26 ия;осуществлять несанкционированный доступ к информации сиспользованием специальных программ 26 ных 33 продук тов 26 посредствомпрограммных вирусов, вредоносных программ, 33 программных закладок;осуществить несанкционированный доступ через элементыинформационной инфраструктуры ИС, которые в процессе нормальнойработы покидают пределы КЗ.

22Возможности внутреннего нарушителя 33 зависят от действующих впределах 33 КЗ ограничений, методов и прав ил, из которых основными являютсяреализа 22 ция организационно-технических м 22 ер, мер по подбору кадров,допуску лиц в пределы КЗ и контролю за соблюдением установленных мербезопасности.В соответствии с принятой политикой разграничения доступа, всесотрудники имеют равные права доступа ко всем данным.К внутренним нарушителям могут быть отнесены:сотрудники «Комитета»;лица, работающие в здании Комитета в других подразделени ях;разработчики и лица, обеспечивающие поставку, сопровождение и ремонттехнических сред 26 ств 33 ИС.Предполагается, что сотрудники ИС «Комитет»:имеют доступ к информации, передаваемой по внутренним каналам связиИС;обладают сведениями о топологии ИС и об используемыхкоммуникационных протоколах и их сервисах;мо гут изменять конфигурацию технических сред 12 ств ИС, устанавливать1298программно-аппаратные заклад 12 ки, производить съем информации, путемнепосредственного подключения к техническим средствам ИС.знают, как минимум, одно легальное имя доступа в ИС;имеют доступ к данным в соответствии со своими прямымиобязанностями.Внутренним нарушителем может являться лицо, обладающее правами иполномочиями администратора ИС.

Данный нарушитель:имеет полное представление о системном и прикладном программномобеспечении, используемом в ИС;обладает полным перечнем сведений о технических средствах иконфигурации ИС, а также обладает доступом к ним;имеет полный доступ ко всем данным ИС.Предполагается, что к внутренним нарушителям относятся лица,обеспечивающие установку, настройку и сопровожде ние средств защитыинформац 1 ии.Такие ли ца:обладают информацией об алгорит 26 мах обработки информации 26 на ИС;мо гут обладать полной информацие 12 й о топологии ИС и о техническихсредствах обработки и защиты ПДн, обрабатываемых в ИСП 26 Дн;имеют возможность устанавливать программные и программно –аппаратные закладки.99Приложение ВАналитическое обоснование необходимости создания системы защитыинформации, обрабатываемой в информационной системе комитета поприватизации и управлению имуществом администрации Ванинскогомуниципального района Хабаровского края(выписка)Затраты на технические и программные средства защитыОриентировочная стоимость подобранных средств защиты информации,имеющих необходимые сертификаты соответствия, представлена в таблицеВ.1Таблица В.1 – Ориентировочная стоимость предлагаемых техническихсредствПродукт Кол-воЦенарозничная, 1шт., руб.Общаястоимость,руб.Право на использование комплекса"Максимальная защита" средствазащиты информации Secret Net Studio8, срок 1 год.11 4700,00 54 725,00Программно-аппаратный комплекс( 49 ПАК) ViPNet Coordinator HW1000 49версии 31 233800,00 233800,00Право на использование ПО VipNetАдминистратор (КС2)1 77880,00 77880,00Право на использование ПО VipNetClient (КС2)10 7400,00 74000,00100Дистрибутив ПО VipNetАдминистратор1 300,00 300,00Продолжение таблицы В.1Продукт Кол-воЦенарозничная, 1шт., руб.Общаястоимость,руб.Дистрибутив ПО VipNet Client 1 300,00 300,00XSpider 7.8, лицензия на 16 хостов,гарантийные обязательства в течение1 года1 29100,00 29100,00ИТОГО (SСЗ), руб.

Характеристики

Список файлов ВКР