103214 (590723), страница 7
Текст из файла (страница 7)
Виходячи з існуючого технічного завдання, варто визначити практичні міри для його реалізації. Сукупність цих мір складе проект впровадження комплексної системи захисту інформації.
У ході виконання даної роботи необхідно
-
Виявити вимоги, пропоновані до створюваної комплексної системи захисту інформації
-
Скласти детальний список заходів, необхідних для впровадження комплексної системи захисту інформації
-
Призначить відповідальних за проведені заходи
-
Зробити оцінку витрат ресурсів на впроваджувані заходи
-
Оцінити ефективність проведених заходів
-
Опис інформаційної системи організації:
1. АС організації складається з 10 автоматизованих робочих місць і 6 серверів:
-
1 АРМ являє собою комп'ютер Mac mini із установленої ОС MAC OS.
-
На трьох АРМ установлена операційна система на базі Linux.
-
На всіх іншим установлена ОС Windows XP.
-
На всіх АРМ зберігається й обробляється конфіденційна інформація.
-
На серверах установлена операційна система на базі Linux.
2. На АРМ менеджерів установлене наступне ПО:
-
ОС на базі Windows
-
Офісне програмне забезпечення
-
ПО для роботи в мережі Інтернет: поштовий клієнт, браузер
-
Антивірусне ПО
-
Спеціалізовані програми: Дельфін, Дубль-гис
3. На АРМ консультантів технічної підтримки встановлене ОС на базі Linux, офісне програмне забезпечення, ПО для роботи в мережі Інтернет: поштовий клієнт, браузер.
Стан фактичної захищеності організації
Перелік конфіденційної інформації існує й затверджений:
-
Всі співробітники, при прийманні на роботу підписують зобов'язання про нерозголошення конфіденційної інформації
-
У всіх приміщеннях установлені датчики охоронної й пожежної сигналізації. У неробочий час приміщення здаються під охорону
-
Охорона здійснюється приватним охоронним агентством
-
Існує перелік осіб, що мають доступ у серверну кімнату
-
Серверна кімната постійно закрита, крім тих випадків, коли співробітникам, що мають відповідні права доступу, необхідно робити певні роботи
-
Права доступу до локальних і мережних ресурсів АРМ обмежуються штатними засобами операційної системи
-
Немає відповідального за розмежування доступу до локальних і мережних ресурсів АРМ. Розмежуванням доступу займається користувач АРМ.
-
Доступ до ресурсів на сервері обмежується штатними засобами операційної системи
-
Відповідальним за розмежування доступу до ресурсів на сервері є старший системний адміністратор
-
Призначення прав користувачів виробляється за вказівкою технічного директора або заступника директора відповідно до посадових обов'язків співробітника
-
Кожний комп'ютер підключений через джерело безперебійного харчування, що дозволяє забезпечити безперервну роботу протягом 10-15 хвилин при відсутності електрики
-
У серверній кімнаті встановлено кілька джерел безперебійного харчування високої ємності, а також дизельна міні електростанція
-
Доступ в Інтернет здійснюється через проксі-сервер
-
Правила обігу з конфіденційною інформацією відсутні
-
Фільтрація змісту електронної пошти, що переглядаються сайтів не здійснюється
-
Зберігання договорів із клієнтами здійснюється в шафі.
-
Розмежування доступу приміщення залежно від відділів немає.
На підставі проведеного аналізу фактичної захищеності необхідно скласти перелік вимог до створюваної комплексної системи захисту інформації. Дані вимоги повинні відповідати реальному стану захищеності інформації в організації. Вимоги повинні бути оформлені у вигляді Технічного завдання на створення комплексної системи захисту інформації.
Вимоги до захищеності інформації
1. Організаційно-правова складова
Організаційні заходи є однієї з найважливішої складової комплексної системи захисту інформації в організації.
-
Перелік конфіденційних відомостей повинен відповідати реальному стану організації й вимогам законодавства України.
-
Повинен бути забезпечений повний пакет документів, пов'язаних із забезпеченням інформаційної безпеки в організації.
-
Організаційними мірами забезпечити конфіденційність інформації при проведенні конфіденційних нарад і переговорів.
-
Повинен бути підготовлений пакет документів, що регламентують правила обігу з конфіденційною інформацією.
-
Розмежування прав користувачів на доступ як до локальних, так і до мережних ресурсів повинне бути контрольованим і документованим процесом.
2. Інженерно-технічна складова
-
Повинні застосовуватися технічні засоби контролю доступу в приміщення.
-
Для захисту серверної кімнати повинні застосовуватися додаткові технічні засоби контролю доступу.
-
Повинні застосовуватися технічні засоби захисту акустомовної інформації при проведенні конфіденційних нарад і переговорів у тому випадку, якщо неможливо забезпечити конфіденційність переговорів за допомогою організаційних мір.
-
За допомогою технічних засобів повинна забезпечуватися захист від витоку конфіденційної інформації.
-
Повинна бути забезпечена безперебійна робота ПК співробітників у випадку відключення електрики не менш, ніж на 10 хвилин.
-
Повинна забезпечуватися безперебійна робота основного встаткування й технічних засобів, установлених у серверній на весь строк відсутності основного енергопостачання.
3. Програмно-апаратна складова
-
Зміст веб-сайтів, що переглядаються повинен відповідати наступним вимогам:
-
Не повинні містити матеріалів, заборонених законодавством України;
-
Повинні бути безпечним (не містити віруси, шкідливі скрипти);
-
Не повинні містити матеріали, що не відносяться до робочого процесу;
-
Обмін інформацією за допомогою різних програмних засобів не повинен завдавати шкоди конфіденційності, цілісності, доступності інформації.
За допомогою програмно-апаратних засобів повинен забезпечуватися захист від НСД до конфіденційної інформації, що зберігається на АРМ співробітників і на сервері.
4. Об'єкти поставки
Організаційно-правова підсистема:
-
Перелік конфіденційних відомостей
-
Перелік конфіденційних документів
-
Політика безпеки
-
Технічне завдання
-
Положення про конфіденційний документообіг
-
Інструкції про порядок обігу з конфіденційною інформацією
Інженерно-технічна підсистема:
-
Металеві двері типу « Сейф-Двері»
-
Датчики пожежної сигналізації
-
Датчики охоронної сигналізації
-
Відеокамери кольорові із системою нічного бачення
-
Монітори відеоспостереження
-
Відеореєстратор з обсягом диска для зберігання відеозапису не менш 5 діб
-
Генератор виброакустичного шуму Соната АВ
-
Вибровипрмінювачі
-
Акустовипрмінювачі
-
Пристрій блокування стільникових телефонів
-
Джерела безперебійного харчування
-
Генератор електромагнітного шуму
-
Считувачі пластикових карт
-
Металеві ґрати
-
Двері з тамбуром
Програмно-апаратна підсистема:
-
Програмний комплекс для автоматизації документообігу
-
Програмно-апаратний комплекс для захисту від НСД «SecretNet 5.0»
-
Міжмережевий екран «Континент»
-
Сервер.
Дані заходи реалізуються шляхом виконання ряду послідовних робіт, які представлені в додатку А.
5. Структурна схема організації
Структурна схема організації дозволяє виявити ієрархічні зв'язки між співробітниками організації. Надалі дана схема дозволяє скласти матрицю відповідальності, з якої можна визначити, який співробітник, за які заходи відповідає.
Рис. 3.1 Організаційна структура
6. Матриця відповідальності
Матриця відповідальності дозволяє визначити конкретних виконавців того або іншого заходу (табл.. 3.1).
Таблиця 3.1
Матриця відповідальності
| Виконавці Роботи | ВР.01 | ВР.01.1 | ВР.01.1.1 | ВР.01.1.2 | ВР.01.2 | ВР.01.2.1 | ВР.01.2.2 | ВР.01.2.3 | ВР.01.3 | ВР.01.3.1 | ВР.01.3.2 | |||||||||||
| 1 | АМ.01.1 | х | х | |||||||||||||||||||
| 2 | АМ.01.1.1 | х | х | |||||||||||||||||||
| 3 | АМ.01.1.2 | х | х | |||||||||||||||||||
| 4 | АМ.01.1.3 | х | х | |||||||||||||||||||
| 5 | АМ.01.2 | х | х | х | х | |||||||||||||||||
| 6 | АМ.02.1 | х | х | |||||||||||||||||||
| 7 | АМ.02.2 | х | х | |||||||||||||||||||
| 8 | АМ.02.3 | х | х | х | х | х | ||||||||||||||||
| 9 | АМ.02.3.1 | х | х | х | ||||||||||||||||||
| 10 | АМ.02.3.2 | х | х | х | ||||||||||||||||||
| 11 | АМ.02.3.3 | х | х | х | ||||||||||||||||||
| 12 | АМ.02.3.4 | х | х | х | ||||||||||||||||||
| 13 | АМ.02.4 | х | х | х | х | |||||||||||||||||
| 14 | АМ.02.4.1 | х | х | х | ||||||||||||||||||
| 15 | АМ.02.4.2 | х | х | |||||||||||||||||||
| 16 | АМ.02.4.3 | х | х | |||||||||||||||||||
| 17 | АМ.02.5 | х | х | х | х | х | х | х | х | |||||||||||||
| 18 | АМ.02.5.1 | х | х | х | ||||||||||||||||||
| 19 | АМ.02.5.2 | х | х | х | х | х | ||||||||||||||||
| 20 | АМ.02.6 | х | х | |||||||||||||||||||
| 21 | АМ.02.6.1 | х | х | |||||||||||||||||||
| 22 | АМ.02.6.2 | х | х | х | ||||||||||||||||||
| 23 | АМ.02.7 | х | х | |||||||||||||||||||
| 24 | АМ.02.7.1 | х | х | х | ||||||||||||||||||
| 25 | АМ.02.7.2 | х | х | |||||||||||||||||||
| 26 | АМ.02.8 | х | ||||||||||||||||||||
| 27 | АМ.03.1 | х | х | х | ||||||||||||||||||
| 28 | АМ.03.2 | х | х | х | ||||||||||||||||||
| 29 | АМ.03.3 | х | х | |||||||||||||||||||
| 30 | АМ.03.4 | х | х | |||||||||||||||||||
| 31 | АМ.03.5 | х | х | |||||||||||||||||||
| 32 | АМ.03.6 | х | х | |||||||||||||||||||
-
7. Розрахункова вартість пропонованих мір
| Захід щодо захисту інформації | Вартість, грн |
| Система охоронної сигналізації | 20 000 |
| Система пожежної сигналізації | 15 000 |
| Організація відео спостереження | |
| Закупівля відеокамер | 56 000 |
| Закупівля відеореєстраторів | 36 000 |
| Закупівля моніторів | 18 000 |
| Настроювання й запуск в експлуатацію системи відеоспостереження | 5 000 |
| Організація захисту від акустичного знімання інформації | |
| Системи виброакустического зашумления | 50 000 |
| Організація тамбура в приміщенні | 3 000 |
| Системи блокування стільникових телефонів | 22 000 |
| Системи контролю доступу на територію | |
| Монтаж огородження | 40 000 |
| Організація поста охорони | 36 000 |
| Системи контролю доступу в будинок | |
| Двері типу « Сейф-Двері» | 15 000 |
| Зчитувач магнітних карт | 5 000 |
| Системи контролю доступу в приміщення | |
| Зчитувач магнітних карт | 50 000 |
| Грати на вікнах | 10 000 |
| Системи електромагнітного зашумления | 20 000 |
| Створення автоматизованої системи документообігу | 30 000 |
| Встановлення й настроювання програмно-апаратних засобів контролю доступу | 50 000 |
| Встановлення й настроювання міжмережевого екрану | 100 000 |
| Створення резервних серверів | 60 000 |
| Розмежування прав користувачів | 2 000 |
| Впровадження парольної політики | 1 000 |
| Розробка положення про конфіденційний документообіг | 3 000 |
| Розробка інструкцій про порядок обігу документів | 3 000 |
| Розробка положень, що стосуються окремих аспектів забезпечення ІБ | 5 000 |
| Навчання співробітників | 20 000 |
| Підсумкова сума на створення ІБ | 675 000 |
Підсумкова сума на створення комплексної системи захисту інформації вийшла рівної 675 000 гривень.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
