Пояснительная записка (1210016), страница 7
Текст из файла (страница 7)
Продолжение таблицы 2.3.1
| Угрозы | Меры по противодействию угрозы | |
| Технические | Организационные | |
| Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий) | ||
| Действия вредоносных программ (вирусов) | Антивирус ESET NOD32 | Разработка инструкции по антивирусной защите |
| Установка ПО, не связанного с исполнением служебных обязанностей | — | Разработка инструкции пользователя |
| Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в её составе из-за сбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры и-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера | ||
| Утрата ключей и атрибутов доступа | — | Разработка инструкции пользователя и инструкции администраторов, введение ответственности за утрату ключей и атрибутов доступа |
| Разглашение (например, при разговорах, записывание на бумаге и т.п.) логинов и паролей | — | Разработка парольной политики, инструкции пользователей |
| Неумышленная (случайная) модификация (искажение) доступной информации | Dallas Lock 8.0-K, встроенные средства регистрации действий пользователя | Разработка инструкции пользователя, обучение пользователей |
| Неумышленное (случайное) добавление (фальсификация) информации | Dallas Lock 8.0-K, встроенные средства регистрации действий пользователя | Разработка инструкции пользователя, обучение пользователей |
Окончание таблицы 2.3.1
| Угрозы | Меры по противодействию угрозы | |
| Технические | Организационные | |
| Непреднамеренное отключение средств защиты | — | Разработка инструкции пользователя, опечатывание корпусов компьютеров |
| Угрозы преднамеренных действий внутренних нарушителей | ||
| Доступ к информации, модификация, уничтожение сотрудниками, не допущенными к её обработке | Dallas Lock 8.0-K, | Разработка правил и порядка доступа в помещения, в которых ведется обработка информации |
| Угрозы несанкционированного доступа по каналам связи | ||
| Перехват информации за пределами контролируемой зоны | XSpider 7.8.24, | Разработка инструкции по работе с СКЗИ |
| Угроза «сканирование сети» | XSpider 7.8.24, Антивирус ESET NOD32 | Разработка инструкции по использованию сети Интернет, инструкции по антивирусной защите |
| Угроза выявления паролей | ||
| Угроза подмены доверенного объекта сети | ||
| Внедрение ложного объекта сети | ||
| Угрозы удаленного запуска приложений | ||
2.4 Профиль системы защиты персональных данных
Таким образом, установка средств защиты информации производилась в соответствии со схемой, представленной на рисунке 2.4.1.
Рисунок 2.4.1 – Профиль системы защиты персональных данных
На данной схеме изображены элементы информационной системы строительной организации и программные средства, установленные на них. Так же на схеме отображены способы взаимодействия элементов информационной системы друг с другом, сервером и интернет сетью.
3 Порядок ввода СЗИ в эксплуатацию
При создании СЗИ в соответствии с предлагаемым техническим проектом должны выполняться следующие этапы работ.
-
адаптация технических решений;
-
обследование объектов.
Исполнитель должен провести инспекцию объекта информатизации Заказчика, с целью оценки степени готовности объекта к проведению работ по установке СЗИ, включая определение состава ИТ-инфраструктуры и количественных показателей, оценку актуальности угроз безопасности.
Заказчик должен предоставить доступ в помещения, где расположено, сетевое оборудование, и к рабочим местам пользователей, подлежащих защите.
Заказчик должен предоставить техническую документацию на объект информатизации, включая документацию на инфраструктурные и прикладные сервисы, физические и логические схемы сетей, схемы коммутации и матрицы доступов и т.д.
Заказчик должен предоставить идентификационную и аутентификационную информацию, с уровнями привилегий, достаточными для выполнения работ по установке технических средств защиты информации.
Заказчик должен предоставить технические средства, находящиеся в исправном состоянии, с исправно функционирующим и лицензионным общесистемным и прикладным программным обеспечением.
По результатам инспекции объектов информатизации Исполнитель может сделать предложения по доработке информационных подсистем Заказчика на соответствие требованиям, предъявляемым настоящим проектом.
3.1Установка и документирование СЗИ
Исполнитель должен провести монтаж и установку технических средств защиты информации на объект Заказчика, провести подключение поставленных технических средств защиты информации и технических средств Заказчика, а также обеспечить их интеграцию в ЛВС Заказчика.
Исполнитель должен документировать проделанные работы, по итогам которых должен представить Заказчику отчет, содержащий сведения, необходимые для работы технических служб.
Если в процессе проведения работ по установке и настройке СЗИ возникают какие-либо нештатные ситуации, а также ситуации, которые могут повлечь приостановление вышеуказанных работ, Исполнитель совместно с Заказчиком, принимает все возможные меры по устранению и ликвидации причин, которые привели к таким ситуациям.
Исполнитель совместно с Заказчиком должен провести работы по опытной эксплуатации СЗИ на объектах ИСПДн.
Подсистемы, входящие в СЗИ, обладают самым разнообразным функционалом, предназначенным для защиты информации. Для управления всем функционалом СЗИ должны присутствовать специалисты, имеющие необходимую квалификацию в области защиты информации и администрирования установленных технических средств защиты информации.
Для обеспечения рационального подхода по комплектации кадров организации предлагается рассмотреть возможность направления специалиста на соответствующие курсы повышения квалификации в области информационной безопасности, а также технические курсы по соответствующим подсистемам защиты.
Для администратора безопасности Заказчика предлагается пройти учебный курс по защите персональных данных.
3.2 Приемо-сдаточные испытания
В установленные сроки после окончания этапа работ по опытной эксплуатации Исполнитель должен разработать программу и методику приёмочных испытаний и согласовать её с Заказчиком.
Исполнитель совместно с Заказчиком должен провести работы, согласно разработанной Исполнителем программе и методике приемочных испытаний.
После окончания работ по приёмо-сдаточным испытаниям Заказчик совместно с Исполнителем должны подписать акт о проведении приёмо-сдаточных испытаний.
Заключение
Результатом проектирования СЗИ является создание программно-технического решения, представляющего собой совокупность взаимосвязано функционирующих подсистем, реализуемых как встроенными в операционные системы, так и наложенными СрЗИ, образующими единую СЗИ, которая выполняет требования технического задания и нормативных документов в области обеспечения информационной безопасности ПДн.
Совокупность предложенных механизмов защиты информации, а также реализация организационно-режимных мероприятий позволит создать эффективную систему обеспечения безопасности ПДн в информационных системах, исключающую реализацию угроз информационной безопасности, перечисленных в таблице актуальные угрозы.
Список литературы
-
«Об информации, информационных технологиях и о защите информации»: Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ 1.
-
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Утв. Приказом ФСТЭК России от 11 февраля 2013 г. N 17.
-
Методический документ. Меры защиты информации в государственных информационных системах: Утв. ФСТЭК России 11 февраля 2014.
-
«О персональных данных»: Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ.
-
Требования к защите персональных данных при их обработке в информационных системах персональных данных: Утв. постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.
-
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: Утв. Приказом ФСТЭК России от 18 февраля 2013 г. N 21.
-
Информационное сообщение ФСТЭК России (по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ») от 15 июля 2013 г. № 240/22/2637
-
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах: Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах: Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
-
ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы.
-
ГОСТ 34.201-89 Виды, комплектность и обозначения документов при создании автоматизированных систем.
-
РД 50-34.698-90. Автоматизированные системы. Требования к содержанию документов.
-
Доктрина информационной безопасности РФ: Утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895
-
http://www.esetnod32.ru/ – официальный сайт АВС ESET NOD32
-
http://www.dallaslock.ru/ – официальный сайт CрЗИ Dallas Lock.
Список сокращений
АВС – антивирусное средство;
АРМ – автоматизированное рабочее место;
ИБ – информационная безопасность;
ИС – информационная система;
ИСПДн – информационная система персональных данных;
МЭ – межсетевой экран;
НСД – несанкционированный доступ;
ПДн – персональные данные;
ПТО – производственно-технический отдел;
САЗ – средство анализа защищённости;
СЗИ – система защиты информации;
СОВ – система обнаружения вторжений;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
