Аттестация объектов информатизации и выделенных помещений МУ "Финансовый отдел администрации Злынковского района"

Характер и уровень конфиденциальности обрабатываемой информации. Испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации. Расчёт информационных рисков. Оценка угроз информационной безопасности.

Рубрика Менеджмент и трудовые отношения
Вид дипломная работа
Язык русский
Дата добавления 21.02.2016
Размер файла 407,4 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

ДИПЛОМНЫЙ проект

Аттестация объектов информатизации и выделенных помещений МУ «Финансовый отдел администрации Злынковского района»

по дисциплине

«Комплексные системы защиты информации»

Содержание

Введение

1. Предварительное обследование аттестуемого объекта информатизации

1.1 Общая информация об организации

1.2 Предварительное обследование аттестуемого объекта информатизации

1.2.1 Исходные данные по аттестуемому объекту информатизации

1.2.2 Характер и уровень конфиденциальности обрабатываемой информации.

1.2.3 Перечень помещений, состав комплекса технических средств.

1.2.4 Структура программного обеспечения

1.2.5 Защищаемые информационные ресурсы

2. Подготовка к аттестации

2.1 Требования к классу защищенности 1Д.

3. Аттестация

3.1 Аттестационные испытания.

3.2 Испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации.

4. Оценка результатов аттестационных испытаний.

5. Расчёт информационных рисков

5.1 Анализ информации, циркулирующей в организации

5.1.1 Оценка роли информационных активов

5.1.2 Расчет стоимости информационных ресурсов

5.1.3 Расчет полной стоимости информации

5.2 Оценка угроз информационной безопасности

5.3 Анализ и оценка уязвимостей

5.4 Выработка мер по нейтрализации угроз

Список использованной литературы

ПРИЛОЖЕНИЯ

Введение

В данной дипломной работе рассматриваются вопросы проведения аттестации объектов информатизации и выделенных помещений, на примере объекта - Муниципального учреждения «Финансового отдела администрации Злынковского района».

Цель работы -- выявление активов МУ «Финансового отдела администрации Злынковского района», угроз и уязвимостей, через которые они могут быть реализованы. Анализ рисков информационной безопасности на объекте информатизации. Разработка документации для аттестации автоматизированной системы «Финансового отдела администрации Злынковского района».

В первой и второй частях проекта вынесены исходные данные по предприятию, а также описано предварительное обследование и получены исходные данные по автоматизированной системе (АС) предприятия.

В третьей и четвертой частях проекта описан процесс проведение подготовки объекта к аттестационным испытаниям, и произведена оценка результатов аттестационных испытаний.

В пятой части выполнена количественная оценка информационных рисков.

По результатам аттестации получен аттестат соответствия АС классу защищённости 1Д.

1. Предварительное обследование аттестуемого объекта информатизации

1.1 Общая информация об организации

В качестве аттестуемого объекта в данном проекте рассматривается Муниципальное учреждение «Финансовый отдел администрации Злынковского района».

Подробная характеристика деятельности учреждения «Финансового отдела администрации Злынковского района» представлена в таблице 1.1.

Таблица 1.1.

Характеристика деятельности учреждения.

Название

«Финансовый отдел администрации Злынковского района»

Форма собственности

Муниципальное учреждение

Вид деятельности

ь Осуществляет операции по счетам Управления в финансовых органах, исполняющих бюджет, в учреждениях банков.

ь Обеспечивает контроль за правильным и целевым использованием выделенных бюджетных ассигнований.

ь Составляет в установленном порядке финансовую отчетность.

Руководитель

Ермаков Е.Б.

Юридический адрес

Российская Федерация, Брянская область, г.Злынка, ул. Коммунальная, д. 15.

Количество штатных единиц

21

Организационная структура МУ «Финансового отдела администрации Злынковского района» (см. рис. 1.1).

Размещено на http://www.allbest.ru/

Рисунок 1.1. Структура подразделения

1.2 Предварительное обследование аттестуемого объекта информатизации

1.2.1 Исходные данные по аттестуемому объекту информатизации

Исходные данные по аттестуемому объекту информатизации МУ «Финансового отдела администрации Злынковского района» представлены в таблице 1.2.

Таблица 1.2.

Исходные данные по аттестуемому объекту информатизации.

Наименование

Содержание

1

2

3

1. Общие сведения об объекте информатизации

1.1.

Наименование организации полное

Муниципальное учреждение «Финансовый отдел администрации Злынковского района»

1.2.

Наименование организации сокращенное

МУ «РАЙФО»

1.3.

Адрес организации

Брянская область, г. Злынка, ул. Коммунальная, 15

1.4.

Адрес объекта информатизации

Брянская область, г. Злынка, ул. Коммунальная, 15

1.5.

Наименование АС

Информационная система МУ «Финансовый отдел администрации Злынковского района»

1.6.

Категория объекта информатизации

1.7.

Класс защищенности АС от НСД

1.8.

Принадлежность АС

МУ «Финансовый отдел администрации Злынковского района»

1.9.

Обеспечение выполнения требований по безопасности информации

Отсутствует

1.10.

Обеспечение контроля за выполнением требований по безопасности информации

Отсутствует

2. Условия размещения объекта информатизации

2.1.

Место установки ОТСС

В кабинетах предприятия

2.2.

Граница контролируемой зоны

По периметру здания

2.3.

Смежные помещения и их функциональное назначение

Коридор, лестница.

2.3.1.

Выше этажом:

Крынша

2.3.2.

Ниже этажом:

Продовольственный магазин

2.3.3.

Слева:

«Отдел образования администрации Злынковского района» (РОНО)

2.3.4.

Справа:

Муниципальное унитарное предприятие «Злынковский районный водоканал»

2.4.

Вход в помещение АС

Через коридор

2.5.

Расстояние от ОТСС до мест возможного размещения портативных средств разведки ПЭМИН

Расстояние от границы КЗ - 2 метров

2.5.1.

-возимых ВСР

15 м

2.5.2.

-носимых НСР

5 м

2.6.

Система охранно-пожарной сигнализации автоматизированной системы.

Только пожарная сигнализация

2.7.

Система электропитания и заземления

Центральная электросеть

2.7.1

Место нахождения трансформаторной подстанции относительно границ КЗ

За пределами КЗ

2.7.2

Наличие посторонних потребителей электроэнергии в пределах КЗ

Нет

2.7.3

Место нахождения заземлителей относительно границ КЗ

В пределах КЗ

3. Перечень организационно- распорядительной и эксплуатационной документации

3.1.

Организационно - распорядительная документация

3.1.1.

Схема контролируемой зоны

Приложение № 1

3.1.2.

Акт категорирования

-

3.1.3.

Акт классификации

-

3.1.4.

Описание технологического процесса обработки информации

-

3.1.5.

Технический паспорт

Приложение № 2

3.1.6.

Другие документы:

3.2.

Эксплуатационная документация

-

3.2.1.

Сведения о специальных лабораторных проверках технических средств импортного (совместного) производства.

-

3.2.2.

Сведения о специальных исследованиях технических средств.

-

3.2.3.

Предписание на эксплуатацию объекта информатизации.

-

3.2.4.

Инструкции по эксплуатации средств защиты информации.

-

3.2.5.

Другие документы:

-

4. Дополнительная информации

4.1.

Руководитель организации

Ермаков Е.Б.

4.1.1.

Должность Руководителя организации

Заместитель главы администрации района, начальник

4.1.2.

И. О. Фамилия Руководителя организации

Ермаков Е.Б

4.1.3.

Должность лица, утверждающего документы

Заместитель главы администрации района, начальник

4.1.4.

И. О. Фамилия лица, утверждающего документы

Ермаков Е.Б

4.2.

Комиссия по классификации и категорированию

Председатель комиссии

4.2.1.

Должность

Заместитель главы администрации района, начальник

4.2.2.

И. О. Фамилия

Ермаков Е.Б

Члены комиссии

4.2.3.

Должность

Системный администратор

4.2.4.

И. О. Фамилия

Турцов К.В.

4.3.

Ответственный за разработку организационно- распорядительной документации по защите информации на объекте информатизации

4.3.1.

Должность

Специалист по ЗИ

4.3.2.

И. О. Фамилия

Кормаков А.П.

1.2.2 Характер и уровень конфиденциальности обрабатываемой информации

Информация, обращающаяся в МУ «Финансовый отдел администрации Злынковского района», представлена как в бумажном виде, которая хранится в каждом отделе так и в электронном виде, хранящаяся на сервере, который находится у системного администратора, а также на каждом персональном компьютере в каждом отделе. Данная информация не является информацией ограниченного доступа, и доступ к ней в рамках своей организации в установленном порядке имеют все сотрудники управления.

В силу специфики выполняемых задач в финансовом управлении находится и обрабатывается следующая информация:

1. Финансовые документы;

2. Данные о партнерах;

3. Журналы учета и регистрации

4. Деловая переписка

5. Договора с подрядчиками

6. Договора с поставщиками

7. Лицевые счета работников

8. Банковские выписки

9. Сведения о совещаниях

10. Сведения передаваемые налоговым органам

11. Документы по безопасности

Необходимый класс защищенности АС от НСД -- 1Д: в силу малой степени конфиденциальности информации циркулирующей в АС.

1.2.3 Перечень помещений, состав комплекса технических средств

План-схема МУ «Финансовый отдел администрации Злынковского района» представлена в приложения 1.

В таблице 1.3 представлен состав основных технических средств и систем.

Таблица 1.3

Состав основных технических средств и систем (ОТСС)

Наименование

Модель

Изготовитель

1.

ПЭВМ в составе:

1.1. Системный блок

Intel Pentium 4 CPU 2.00GHz, RAM 1024Mb

Intel

1.2. Монитор

L1953TR

LG

1.

ПЭВМ в составе:

1.3. Мышь

OP-3D МХ518-23

A4Tech

1.4. Клавиатура

KB-1606 LX514561-6

Logitech

1.5. Принтер лазерный

LaserJet 1020 KFKE87974-6

HP

2.

Сервер

Intel Pentium 4 CPU 2.00GHz, RAM 2024Mb

Intel

3.

Коммутатор

Cisco Catalyst

Cisco

В таблице 1.4 представлен состав вспомогательных технических средств и систем.

Таблица 1.4

Состав вспомогательных технических средств и систем (ВТСС)

Наименование

Модель

Изготовитель

Выход линий от ВТСС за пределы КЗ

Расстояние от ВТСС до ОТСС

1.

Извещатель пожарный ручной

ИР

ООО «СИГМА-ИС», Россия

Нет

от 1 до 20 метров

2.

Извещатель пожарный дымовой оптико-электронный

А2ДПИ

ООО «СИГМА-ИС», Россия

Нет

2 метр

3.

Пульт

ППК«Рубикон»

ООО «СИГМА-ИС», Россия

Нет

от 1 до 3 метров

4.

Оповещатель охранно-пожарный комбинированный

ОСЗ

ООО «СИГМА-ИС», Россия

Нет

от 5 до 10 метров

5.

Кондиционеры

W07LC

LG

Нет

3 метра

1.2.4 Структура программного обеспечения

Перечень разрешенного к использованию программного обеспечения на объекте информатизации, представлен в таблице 1.5.

Таблица 1.5

Перечень разрешенного к использованию ПО

Наименование ПО

Серийный номер, версия

1

Операционная система

Windows Vista SP2 Build 6002.18005.090410-1830 Windows Server - SP2 7.4.4251.2147

2

Программа обработки документов

MS Office 2007 84026-846-4692601-726

3

Антивирусная защита

Dr. Web 6.0 - 8350.173.293

4

Другие программы

ПК «Бюджет-КС» 059.08

Свод-КС 1_09 sp 10

Зарплата-КС 9046-624-8824-643

Гранд-Смета 568-2158-356

Консультант плюс

Система «СТЭК-Траст» 4434-599-542-32

VipNET (Деловая почта ПФР и статистика)

Lotus ccMail

Перечень установленных средств защиты информации от несанкционированного доступа представлен в таблице 1.6.

Таблица 1.6

Перечень установленных СЗИ от НСД

Наименование

Изготовитель

Сертификат

1

Антивирус Dr. Web 6.0

Доктор Веб

7854

до

31.09.11

2

Прокси-сервер UserGate 5.3

Entensys

468-334

до

31.12.11

1.2.5 Защищаемые информационные ресурсы

Перечень защищаемых информационных ресурсов представлен в таблице 1.7.

Таблица 1.7

Перечень защищаемых информационных ресурсов

Наименование (тип) защищаемого ресурса

Категория защищаемого ресурса

Место хранения защищаемого ресурса

1. Традиционные (бумажные) документы

1.1. Документы на столах работников

Конфиденциальная

столы работников

1.2. Документы в шкафах и сейфах

Конфиденциальная

шкафы и сейфы

1.3. Документы в архиве

Конфиденциальная

помещение архива ОК

1.4. Документы в папках

Конфиденциальная

шкафы

2. Электронные документы

2.1. ЖМД персональных ЭВМ

Конфиденциальная

кабинеты

2.2. ЖМД сервера с каталогами БД

Конфиденциальная

серверная

Перечень пользователей допущенных к обработке информации представлен в таблице 1.8.

Таблица 1.8

Перечень пользователей, допущенных к обработке информации

Идентификатор

Ф.И.О.

Уровень полномочий

1

Зам. главы администрации района,

начальника финансового отдела

Ермаков Е.Б.

Привилегированный пользователь

ОТДЕЛ БЮДЖЕТНОГО ПЛАНИРОВАНИЯ

2

Заместитель начальника финансового отдела

Корчатова Е.В.

Привилегированный пользователь

3

Начальник отдела бюджетного планирования

Толобаева Н.Н.

Привилегированный пользователь

4

Заведующий сектором

Рюмина Ю.В.

Пользователь

5

Ведущий специалист

Кромина Я.С..

Пользователь

6

Гл. инспектор

Сворцов А.Н.

Пользователь

Отдел прогнозирования и планирования доходов

7

Ведущий специалист по доходам

Суриков В.В.

Пользователь

ОТДЕЛ УЧЕТА И ОТЧЕТНОСТИ

8

Начальник отдела учета и отчетности

Васюкова В.А.

Привилегированный пользователь

9

Ведущий специалист

Зонтикова О.И.

Пользователь

10

Гл. инспектор

Пешкова Т.А..

Пользователь

ОТДЕЛ ЭКОНОМИКИ

.

11

Заместитель начальника финансового отдела, начальник отдела экономики

Матвеева Г.А.

Привилегированный пользователь

12

Ведущий специалист

Латикова С.А.

Пользователь

ОТДЕЛ КОНТРОЛЯ И РЕВИЗИИ

.

13

Ведущий специалист

Петров А.Д.

Привилегированный пользователь

14

Специалист первой категории

Курагина Д.А.

Пользователь

15

Системный администратор

Шкурин П.А.

Администратор

16

Секретарь-Кадровик

Шоршина В.П.

Привилегированный пользователь

В таблице 1.9 приведена матрица доступа к защищаемым информационным ресурсам.

Таблица 1.9

Матрица доступа к защищаемым информационным ресурсам

Права по доступу к информации

Наименование ресурса

Администратор

Привилегированный пользователь

Пользователь

ЖМД сервера

R,W,D,N,E.

R,W,N,E.

R,W,E.

ЖМД ЭВМ

R,W,D,N,E.

R,W,D,N,E.

R,W,N,E.

R-чтение; W-запись; D-удаление; N- переименование; E-исполнение

1.

2. Подготовка к аттестации

Для проведения аттестации АС необходимо:

1) Привести АС организации в соответствии с требованиями, предъявляемыми к выборному классу АС.

2) Направить заявку (приложение 3) в установленном порядке в орган по аттестации.

3) Направить пакет исходной информации представленный в первых двух главах данного проекта.

4) Разработать организационно-распорядительную документацию по защите конфиденциальной информации.

Разработаны следующие документы:

ь Перечень сведений конфиденциального характера.

ь Перечень лиц, допущенных к информации конфиденциального характера.

ь Положение о защите конфиденциальной информации.

ь Политика безопасности.

2.1 Требования к классу защищенности 1Д

Подсистема управления доступом:

- должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов (осуществляется средствами ОС).

Подсистема регистрации и учета:

- должна осуществляться регистрация входа (выхода) субъектов доступа в систему, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются (осуществляется средствами ОС):

ь дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

ь результат попытки входа: успешная или неуспешная - несанкционированная;

ь идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

- должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (учетную карточку) (осуществляется организационными мероприятиями);

- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема) (осуществляется организационными мероприятиями).

Подсистема обеспечения целостности:

- должна быть обеспечена целостность программных средств СЗИ от НСД, обрабатываемой информации, а также неизменность программной среды (осуществляется средствами ОС);

- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время (осуществляется организационными и инженерно-техническими мероприятиями);

- должно проводиться периодическое тестирование функций СЗИ от НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД (осуществляется организационными мероприятиями);

- должны быть в наличии средства восстановления СЗИ от НСД, предусматривающие ведение двух копий программных средств СЗИ от НСД и их периодическое обновление и контроль работоспособности (осуществляется организационными мероприятиями, а также использованием систем резервного копирования).

2.

3. Аттестация

3.1 Аттестационные испытания

На этапе аттестационных испытаний объекта:

1. Производится проверка технологического процесса обработки и хранения информации и определение состава используемых средств вычислительной техники (таблица 1.3).

2. Проверка состояния организации работ и выполнения организационно-технических требований по защите информации.

3. Проверяется соответствие реального состава ТСОИ (таблица 1.3), ВТСС (таблица 1.4) и средств защиты указанному в техническом паспорте на аттестуемый объект и представленных исходных данных.

4. Проверяется состояние и сохранность печатей на технических средствах, выявляются ТСОИ, ВТСС и средства защиты информации, подвергшиеся несанкционированному вскрытию.

5. Проверка защищенности автоматизированной системы от утечки информации за счет побочных электромагнитных излучений.

6. Испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации.

Все выявленные нарушения и недостатки, отступления от проектных решений включаются в заключение по результатам аттестационных испытаний.

3.2 Испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации

Требования по защите информации АС приведены в руководящем документе «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации».

АС класса 1Д должна удовлетворять требованиям представленным в пункте 2.2. т. к. ЛВС имеет выход в сеть интернет, налагается ещё одно требование: наличие сертифицированного ФСТЭК межсетевого экрана.

3.

4. Оценка результатов аттестационных испытаний

Производится подготовка отчетной документации, дается заключение аттестационной комиссии, проводится оформление и согласование отчетной документации в соответствии с требованиями ФСТЭК России.

По завершении аттестационных испытаний, автоматизированной системе выдаётся документ, подтверждающий её соответствие определенному уроню защиты информации - аттестат соответствия.

Аттестат соответствия приведён в приложении 4.

В случае не соответствия автоматизированной системы требованиям документации по защите информации, аттестационной комиссией могут быть рекомендованы мероприятия по повышению уровня защищенности информации, после выполнения которых выдаются аттестат соответствия.

В результате проведённых аттестационных испытаний были выявлены недостатки в защищённости аттестуемого объекта. Необходимо провести усовершенствование средств и методик для достижения необходимого уровня защищённости.

Вопросы инженерно-технической защиты объекта рассматриваются в рамках работы по «Инженерно-технической защите информации».

5. Расчёт информационных рисков

5.1 Анализ информации, циркулирующей в организации

Анализ информации циркулирующей на предприятии основывается на рассмотрении:

1. Идентификации и оценки информационных активов (ИА).

2. Идентификации и оценки информационных ресурсов (ИР).

Основной целью этапа идентификации и оценки ИА является получение количественных значений вероятного ущерба при воздействии УБИ и минимально допустимых значений информационных рисков. Наибольшее негативное влияние может оказать нарушение целостности, конфиденциальности и доступности информационным активам.

5.1.1 Оценка роли информационных активов

Для анализа информационных активов выполним ряд расчетов, из которых получим оценку степени их важности..

1. Определим сумму прибыли, получаемую за счет информационных активов - прибыльную стоимость информации (SПИА).

Она важна потому, что показывает то количество средств, которое учреждение может использовать для покрытия убытков в результате воздействия УБИ.

Так как основной деятельностью учреждения направлена на соблюдение единых принципов финансово-бюджетного планирования и финансирования, создание финансовой базы для комплексного социально-экономического развития района и осуществление контроля за исполнением бюджета, соблюдением финансовой дисциплины органами управления, муниципальными предприятиями, учреждениями и другими хозяйствующими субъектами по вопросам, регулируемым органами местного самоуправления, то вся прибыль получается за счет информационных активов.

Таким образом, сумма прибыли, получаемая за счет информационных активов равна общей сумме прибыли учреждения и составляет:

SПИА = 700 000 рублей.

2. Оценка важности ИА

Для выставления оценки выберем следующие лингвистические переменные:

- маловажно 1

- средней важности 3

- важно 5

- очень важно 7

Далее следует оценить важность каждого ИА. Оценка производится по следующей формуле:

, (1)

где i - порядковый номер актива.

В результате каждому активу должен быть присвоен “коэффициент важности”, который должен удовлетворять двум условиям:

; (2)

,

где n - порядковый номер информационного актива.

3. Расчёт стоимости каждого ИА

Расчет стоимости каждого ИА производится, как произведение прибыльной стоимости информации и коэффициента важности.

. (3)

Стоимость информационного актива определяет минимально допустимое значением информационных рисков для него.

4. Анализ важности ИА представлен в таблице 5.1

Таблица 5.1

Анализ стоимости информационных активов

№ п.п.

Наименование актива

Оценка важности (Oу)

Коэф. важности

(Kn)

Стоимость актива

(Sиа)

1

Финансовые документы

5

0,089286

62500

2

Данные о партнерах

7

0,125

87500

3

Деловая переписка

3

0,053571

37500

4

Договора с подрядчиками

5

0,089286

62500

5

Сведения о персонале

5

0,089286

62500

6

Лицевые счета работников

7

0,125

87500

7

Банковские выписки

7

0,125

87500

8

Сведения о совещаниях

3

0,053571

37500

9

Сведения передаваемые налоговым органам

7

0,125

87500

10

Документы по безопасности

7

0,125

87500

Стоимость информационного актива определяет минимально допустимое значение информационных рисков для него.

5.1.2 Расчет стоимости информационных ресурсов

Необходимо создать перечень и проанализировать информационные ресурсы. Основной задачей при идентификации и оценке ИР является получение полной стоимости каждого ресурса (SИР), которая будет равна значению ущерба при воздействии УБИ. Полная стоимость ИР складывается из его стоимости (SИРз) и стоимости содержащейся в нём информации (SИРа).

Для объективной оценки ИР необходимо определить их полный перечень. При определении перечня информационных ресурсов необходимо учитывать состав и свойства носителей информации, а так же порядок работы с ИР.

Выделим следующие информационные ресурсы:

1. Отдельные бумажные документы - документ.

2.Бумажные документы, находящиеся в столах сотрудников - стол сотрудника.

3. Бумажные документы, подшитые в папку и не закрытые в специальные шкафы и сейфы - папка с документами.

4. Документы, находящиеся в сейфе или специальном шкафе для хранения документов - сейф, шкаф.

5. Документы, находящиеся в архиве отдела кадров - помещение архива ОК.

6. Электронные документы, находящиеся на ПЭВМ сотрудников - ПЭВМ сотрудника.

7. Электронные документы и БД, находящиеся на сервере - сервер.

Стоимость ИР определяется как сумма всех фактических расходов на приобретение, приведение и поддержание их в состоянии, пригодном для использования в запланированных целях. Расчет стоимости ИР приведён в таблице 5.2.

Таблица 5.2

Анализ стоимости информационных ресурсов

№ ресурса

Наименование параметра

Единица измерения

Значение

1.

1.1

Заработная плата сотрудника за месяц

руб.

15000

1.2

Расход бумаги (затраты на бумагу)

руб.

700

1.3

Расход тонера

руб.

300

1.4

Прочие расходы (оплата за отопление, электроэнергию и т.п.)

руб.

6000

1.5

Итого (SИРз1)

руб.

22000

2.

2.1

Заработная плата сотрудникам за месяц

руб.

15000

2.2

Расход бумаги (затраты на бумагу)

руб.

700

2.3

Расход тонера

руб.

300

2.4

Стоимость столов

руб.

12000

2.5

Прочие расходы (оплата за отопление, электроэнергию и т.п.)

руб.

6000

2.6

Итого (SИРз2)

руб.

34000

3.

3.1

Заработная плата сотрудникам за месяц

руб.

15000

3.2

Расход бумаги (затраты на бумагу)

руб.

700

3.3

Расход тонера

руб.

300

3.4

Стоимость папок

руб.

150

3.5

Прочие расходы (оплата за отопление, электроэнергию и т.п.)

руб.

6000

3.6

Итого (SИРз3)

руб.

22150

4.

4.1

Заработная плата сотрудникам за месяц

руб.

15000

4.2

Расход бумаги (затраты на бумагу)

руб.

700

4.3

Расход тонера

руб.

300

4.4

Стоимость шкафов

руб.

10000

4.5

Прочие расходы (оплата за отопление, электроэнергию и т.п.)

руб.

6000

4.6

Итого (SИРз4)

руб.

32000

5.

5.1

Расходы на хранение (SИРз5)

руб.

1500

6.

6.1

Заработная плата сотрудникам за месяц

руб.

15000

6.2

Оплата Internet

руб.

2000

6.3

Расходы на ЭВМ

руб.

3200

6.4

Прочие расходы (оплата за отопление, электроэнергию и т.п.)

руб.

6000

6.5

Итого (SИРз6)

руб.

26200

7.

7.1

Заработная плата системного администратора

руб.

12000

7.2

Оплата Internet

руб.

2000

7.3

Расходы на ЭВМ

руб.

3200

7.4

Прочие расходы (оплата за отопление, электроэнергию и т.п.)

руб.

6000

7.5

Стоимость ПО

руб.

30000

7.6

Итого (SИРз7)

руб.

53200

5.1.3 Расчет полной стоимости информации

Далее необходимо провести оценку стоимости информации, содержащейся в ИР. Сначала составляется матрица участия - не участия ИР в реализации каждого ИА. Если ИР участвует в реализации данного ИА - ставим на их пересечении 1, если нет - 0 (табл. 5.3). Затем каждая 1 делится на количество единиц в данном столбце и составляется таблица коэффициентов участия каждого ИР в реализации каждого ИА. (табл.5.4)

Таблица 5.3

Матрица участия - не участия ИР

А1

А2

А3

А4

А5

А6

А7

А8

А9

А10

Р1

1

1

1

1

1

1

1

1

1

1

Р2

1

0

1

1

0

0

0

1

0

0

Р3

1

1

1

1

1

1

1

0

1

1

Р4

1

1

1

0

1

1

1

1

1

1

Р5

1

0

0

0

1

0

0

0

0

0

Р6

1

1

1

1

1

0

1

1

1

0

Р7

1

1

0

0

0

0

1

0

1

1

Таблица 5.4

Оценочная матрица ИР

А1

А2

А3

А4

А5

А6

А7

А8

А9

А10

Р1

0,14

0,2

0,2

0,25

0,2

0,33

0,2

0,25

0,2

0,25

Р2

0,14

0

0,2

0,25

0

0

0

0,25

0

0

Р3

0,14

0,2

0,2

0,25

0,2

0,33

0,2

0

0,2

0,25

Р4

0,14

0,2

0,2

0

0,2

0,33

0,2

0,25

0,2

0,25

Р5

0,14

0

0

0

0,2

0

0

0

0

0

Р6

0,14

0,2

0,2

0,25

0,2

0

0,2

0,25

0,2

0

Р7

0,14

0,2

0

0

0

0

0,2

0

0,2

0,25

Для определения части стоимости актива, входящую в ресурс, необходимо стоимость актива (SИА) умножить на коэффициент. Т.е. в оценочной матрице необходимо заменить значения коэффициентов их произведением на стоимость актива. Стоимость информации ИР (SИРа) определяется, как сумма частей стоимости активов, которые он реализует. Это соответствует сумме значений оценочной матрицы по строкам. Эта сумма соответствует стоимости информации, содержащейся в ресурсе. Эта же сумма является максимально допустимым уровнем риска для данного ресурса. (табл.5.5).

Таблица 5.5

Матрица стоимости ИР

А1

А2

А3

А4

А5

А6

А7

А8

А9

А10

(SИРз)

Р1

8750

17500

7500

15625

12500

28875

17500

9375

17500

21875

157000

Р2

8750

0

7500

15625

0

0

0

9375

0

0

41250

Р3

8750

17500

7500

15625

12500

28875

17500

0

17500

21875

147625

Р4

8750

17500

7500

0

12500

28875

17500

9375

17500

21875

141375

Р5

8750

0

0

0

12500

0

0

0

0

0

21250

Р6

8750

17500

7500

15625

12500

0

17500

9375

17500

0

106250

Р7

8750

17500

0

0

0

0

17500

0

17500

21875

83125

Полная стоимость ИР (SИР) слагается из суммы затрат на него (SИРз) и стоимости информации (SИРа), т.е. . Эта стоимость является величиной потерь при воздействии УБИ. Результатом анализа информации является перечень информационных ресурсов с полной стоимостью и величиной максимального риска. Он представлен в таблице 5.6.

Таблица 5.6

Анализ информации защищаемого объекта

№ п.п.

Наименование ресурса

Полная стоимость ресурса

Mакс. риск

1.

Отдельные бумажные документы - документ

179000

157000

2.

Бумажные документы, находящиеся в столах сотрудников - стол

75250

41250

3.

Бумажные документы, подшитые в папку и не закрытые в специальные шкафы и сейфы - папка с документами

169775

147625

4.

Документы, находящиеся в сейфе или специальном шкафе для хранения документов - сейф, шкаф

173375

141375

5.

Документы, находящиеся в архиве отдела кадров - помещение архива ОК

22750

21250

6.

Электронные документы, находящиеся на ПЭВМ сотрудников - ПЭВМ сотрудника

132450

106250

7.

Электронные документы и БД, находящиеся на сервере - сервер

136325

83125

5.2 Оценка угроз информационной безопасности

Анализ угроз информационной безопасности состоит из двух частей:

1. Составляется список угроз информационной безопасности:

1) Угрозы физической целостности, логической структуры, содержания и доступности информационных ресурсов:

· утрата информации из-за ошибок персонала;

· сбои в работе аппаратуры;

· сбои и ошибки в работе ПО;

· воздействие стихийных сил;

· воздействие вредоносного ПО.

2) Угрозы конфиденциальности:

· НСД злоумышленников к традиционным ИР;

· НСД злоумышленников к электронным ИР;

· несанкционированное ознакомление с информацией с помощью технических средств;

· утрата информацией конфиденциальности за счет ее разглашения

2. Производится оценка угроз по степени их опасности. Можно выделить следующие лингвистические переменные:

- маловероятно 2;

- вероятно 4;

- очень вероятно 6.

Оценка угроз безопасности предприятия представлена в таблице 5.7.

Таблица 5.7

Оценка угроз безопасности информации предприятия

№ п.п.

Наименование угрозы

Лингвистическая оценка

Вероятность

1.

НСД злоумышленников к традиционным ИР

4

0,67

2.

НСД злоумышленников к электронным ИР

2

0,33

3.

Несанкционированное ознакомление с информацией с помощью технических средств

2

0,33

4.

Утрата информацией конфиденциальности за счет ее разглашения персоналом

2

0,33

5.

Утрата информации из-за ошибок персонала

4

0,67

6.

Сбои в работе аппаратуры

2

0,33

7.

Сбои и ошибки в работе ПО

4

0,67

8.

Воздействие вредоносного ПО

3

0,5

9.

Воздействие стихийных сил

1

0,17

После получения оценки УБИ, значения необходимо нормализовать, т.е. каждое значение оценки разделить на максимальное. Полученный результат используется в качестве значения вероятности воздействия угрозы.

5.3 Анализ и оценка уязвимостей

Исходя из определения уязвимости, любая угроза может быть реализована только через неё. Это значит, что каждой угрозе, если она актуальна для данного объекта защиты, соответствует одна или несколько уязвимостей. Если на объекте нет уязвимостей, через которые можно реализовать угрозу, то угроза для объекта не актуальна.

Особенностью уязвимости является то, что через одну уязвимость может быть реализовано несколько угроз. В свою очередь, УБИ могут быть реализованы через несколько уязвимостей.

Соотнесение угроз и уязвимостей представлено в таблице 5.8.

Таблица 5.8

Соотнесение угроз и уязвимостей

№ п.п.

Угрозы

Уязвимости

1.

НСД злоумышленников к традиционным ИР

1.1. Недостаточная физическая защита объекта

(отсутствие ограждений, запираемых дверей, решёток на окнах, пропускного режима, поста охраны)

1.2. Отсутствие инженерно-технической защиты объекта (сигнализации)

1.3. Незащищённость ИР

1

1.4. Склонение персонала к сотрудничеству

2.

НСД злоумышленников к электронным ИР

2.1. Наличие недокументированных возможностей ПО (ошибки разработчиков)

2.2. Ошибки в работе пользователей

2.3. Незащищённость ИР

2.4. Склонение персонала к сотрудничеству

3.

Несанкционированное ознакомление с информацией с помощью технических средств

3.1.Снятие ПЭМИН

3.2. Визуально-оптический КУИ (снятие информации с мониторов, документов на столах сотрудников)

3.3. Акустический КУИ

4.

Утрата информацией конфиденциальности за счет ее разглашения персоналом

4.1. Склонение персонала к сотрудничеству

4.2. Неправильные действия персонала

5.

Утрата информации из-за ошибок персонала

5.1. Недостаточная квалифицированность

5.2. Неправильные действия персонала

6.

Сбои в работе аппаратуры

6.1. Низкая надёжность отдельных узлов аппаратуры

6.2. Нестабильность электропитания

6.3. Неправильные действия пользователей

7.

Сбои и ошибки в работе ПО

7.1. Наличие недокументированных возможностей ПО (ошибки разработчиков)

7.2. Неправильные действия и ошибки пользователей

8.

Воздействие вредоносного ПО

8.1. Наличие недокументированных возможностей ПО

8.2. Неправильные действия и ошибки пользователей

8.3. Незащищённость ИР

9.

Воздействие стихийных сил

9.1. Пожар (отсутствие средств пожаротушения и пожарной сигнализации)

9.2. Иные форс-мажорные обстоятельства

Любая уязвимость может проявиться только в том случае, когда проявляются три фактора: пространственный, временной и энергетический. Эти факторы называются прямыми.

Пространственный фактор (Ps) - это условие того, что информация находится в том пространстве, в котором проявляется уязвимость. Здесь необходимо учитывать, что под пространством понимается не только реальное, географическое, пространство, но и виртуальное. Например, если существуют недокументированные особенности базы данных, которые приводят к сбоям в её работе, то уязвимость может быть опасной только для той информации, которая в ней хранится.

Временной фактор (Pt) - это условие того, что уязвимость проявится в то время, когда будет существовать информация.

Энергетический фактор (Pp) можно определить, как условие достаточного количества энергии для проявления уязвимости. Однако, в некоторых случаях ситуация может быть противоположной. Т.е. может не хватить энергии для нормальной работы системы, и информация будет утеряна.

Количественной характеристикой влияния прямых факторов на проявление угрозы является их вероятность. Поскольку уязвимость проявляется при наличии сразу трёх факторов, то вероятность проявления уязвимости является прямое произведение вероятностей этих факторов.

. (6)

Проявление самих факторов, так же зависит от множества условий, которые называются косвенными факторами уязвимости. Проявление косвенных факторов приводит к проявлению прямых. Т.е. вероятность проявления прямых факторов зависит от вероятности проявления косвенных.

Вероятность угрозы принимается равной 1.

Анализ вероятностей уязвимостей, через которые реализуется угроза, представлен в таблице 5.9.

Таблица 5.9

Анализ вероятности уязвимости

уяз.

Уязвимость

Знач.

прям.

ф-ра

Косвенный фактор и параметр

Значение парам.

Наименование

P

1.1

Недостаточная физическая защита объекта

Р=0,43

Ps = 1

Доступ к ресурсам осуществляется через КЗ

Pt = 1

Информация существует постоянно

Pp = 0,43

Недостаточное качество и количество рубежей охраны

0,43

0,43

1.2

Отсутствие инженерно-технической защиты объекта

Р=0,43

Ps = 0,43

Недостаточная физическая защиты КЗ

0,43

0,43

Pt = 1

Информация существует постоянно

Pp = 1

Отсутствие охранной сигнализации

1.3

2.3

8.3

Незащищённость ИР

Р=0,43

Ps = 1

Информация находится на незащищённых носителях

Pt = 0,43

Вероятность доступа к информации 0,43 0,43

Pp = 1

Доступ к носителю приведёт к утере или разглашению информации

1.4

2.4

4.1

Склонение персонала к сотрудничеству

Р=0.316

Ps = 1

Персонал, имеющий допуск, имеет доступ к ИР

Pt = 1

Персонал, имеющий допуск, имеет постоянный доступ к информации

Pp = 0.316

Персоналу злоумышленниками будут предложены более выгодные условия*

0.316

0.316

2.1

7.1

8.1

Наличие недокументированных возможностей ПО

Р=0,05

Ps = 1

Все ПО работает на сервере

Pt = 0.7

Процент ошибок разработчиков

0,05

5%

Pp = 1

Любая ошибка ПО может привести к потере или НСД к информации

2.2

4.2

5.1, 5.2

6.3

7.2

8.2

Неправильные действия и ошибки пользователей

Р=0,3

Ps = 1

Персонал, имеющий допуск, имеет доступ к ИР

Pt = 0.3

Процент ошибочных действий персонала

0,3

30%

Pp = 1

Любая ошибка может привести к потере или НСД к информации

3.1

Снятие ПЭМИН

Р=0

Ps = 0

Информация обрабатывается на ПЭВМ, в пределах КЗ, что сводит вероятность снятия ПЭМИн к 0

0

0

Pt = 1

Информация существует постоянно в рамках рабочего дня

Pp = 1

Затраты на специальное оборудование превышают ущерб от перехвата информации

0

0

3.2

Утечка через визуально-оптический КУИ

Р=0,2

Ps = 0,2

Незащищённость от средств оптической разведки*

0,2

0,2

Pt = 1

Информация существует постоянно в рамках рабочего дня

Pp = 1

Читаемость данных с экранов, документов на столах

3.3

Утечка через

акустический КУИ

Р=0

Ps = 0

Уровень звукового шума за

перегородками

Pt = 1

Информация существует постоянно в рамках рабочего дня

Pp = 1

Наличие качественных средств подслушивания и записи информации

6.1

Низкая надёжность отдельных узлов аппаратуры

Р=0,64

Ps = 1

Все узлы сервера участвуют в обработке информации

Pt = 0.64

Вероятность выхода из строя 0,64 0,64

Pp = 1

При выходе из строя любого узла - ЭВМ выйдет из строя

6.2

Нестабил-ть электропитания

Р=0

Ps = 1

Сервер подключен к данной линии электропитания

Pt = 0

Сервер работает круглосуточно

Pp = 1

Площадь поперечного сечения алюминиевого провода, все ЭВМ оснащены ИБП

0

8 мм2

9.1

Пожар

Р=0.145

Ps = 1

Вся информация находится в одном здании

Pt = 0.145

Вероятность пожара*

0.145

0.145

Pp = 1

Может быть уничтожена вся информация

9.2

Иные форс-мажорные обстоятельства

Р=0,05

Ps = 1

Вся информация находится в одном здании

Pt = 0.7

Вероятность

0,1

? 0,05

Pp = 1

Может быть уничтожена вся информация

При расчете прямых факторов нам необходимо воспользоваться формулой сложения вероятностей косвенных факторов:

(7)

*Расчёт косвенных факторов

1.1. Недостаточная физическая защита объекта

В соответствии с наличием и качеством рубежей физической охраны выделим следующие вероятности прохождения каждого рубежа:

· Железный забор - 0,4;

· двери, окна - 0,05;

Прохождение каждого рубежа защиты внесёт свою долю в вероятность проникновения на объект, соответственно рассчитаем вероятность по формуле:

(8)

P11=0,43

1.4,2.4,4.1. Персоналу злоумышленниками будут предложены более выгодные условия

· весомые условия сотрудничества - 0,2;

· личные счёты - 0,1;

· шантаж - 0,05.

P14=0.316

3.2. Незащищённость от средств оптической разведки

Вероятность реализации через уязвимости:

· через окна (второй этаж, жалюзи) - 0;

· просмотр документов оставленных на столе, экранах мониторов сотрудниками - 0,2;

P32=0,2

3.3. Уровень звукового шума за перегородками

Расчёт сделан в рамках дипломной по инженерно-технической защите объекта.

6.1. Вероятность выхода из строя узлов аппаратуры:

· микропроцессор - 0,1;

· материнская плата - 0,2;

· жесткий диск - 0,5;

P61= 0.64

9.1. Вероятность пожара

· доля пожаров на предприятиях относительно общего числа - 0,1;

· количество пожароопасных ситуаций на предприятии - 0;

· неисправности средств пожаротушения и пожарной сигнализацией - 0,05.

P61=0.145

5.4 Выработка мер по нейтрализации угроз

обработка информация безопасность риск

Разработка мероприятий по защите информации и подбор технических средств необходимо начать с анализа информационных рисков.

Расчёт риска ведётся по формуле:

(9), где

C - стоимость информации,

Ругр - вероятность реализации угрозы,

Руяз - вероятность уязвимости.

Расчет рисков ведётся по материалам анализа информации и анализа УБИ. Он представлен в таблице в таблице 5.10.

Таблица 5.10

Расчет информационных рисков

№ ИР

Наименование угрозы

Наименование уязвимости

Полная ст-ть ресурса

Риск

Maкс. риск

1.

1 - 0,67; 3 - 0,33; 4 - 0,33; 5 - 0,67; 9 - 0,17;

P=0, 958

1.1 - 0,43; 1.2 - 0,43; 1.3 - 0,43; 1.4 - 0,316; 3.2 -0,2; 5.1- 0,3; 5.2 - 0,3; 9.1- 0,145; 9.2 - 0,05

Р= 0,96

179000

164622

157000

2.

1 - 0,67; 4 - 0,33; 5 - 0,67; 9 - 0,17;

P=0, 938

1.1 - 0,43; 1.2 - 0,43; 1.4 - 0,316; 5.1- 0,3; 5.2 - 0,3; 9.1- 0,145; 9.2 - 0,05

Р= 0,91

75250

64232

41250

3.

1 - 0,67; 4 - 0,33; 5 - 0,67; 9 - 0,17;

P=0, 938

1.1 - 0,43; 1.2 - 0,43; 1.4 - 0,316; 5.1- 0,3; 5.2 - 0,3; 9.1- 0,145; 9.2 - 0,05

Р= 0,91

169775

144916

147625

4.

1 - 0,67; 4 - 0,33; 5 - 0,67; 9 - 0,17;

P=0, 938

1.1 - 0,43; 1.2 - 0,43; 1.4 - 0,316; 5.1- 0,3; 5.2 - 0,3; 9.1- 0,145; 9.2 - 0,05

Р= 0,91

173375

147989

141375

5.

1 - 0,67; 4 - 0,33; 9 - 0,17;

P=0,815

1.1 - 0,43; 1.2 - 0,43; 1.4 - 0,316; 9.1- 0,145; 9.2 - 0,05

Р= 0,82

22750

15204

21250

6.

2 - 0,33; 3 - 0,33; 4 - 0,33; 5 - 0,67; 6 - 0,33; 7 - 0,67; 8 - 0,5; 9 - 0,17;

P= 0,990

2.1 - 0,05; 2.2 - 0,3; 2.3 - 0,43; 2.4 - 0,316; 3.2 -0,2; 5.1- 0,3; 5.2 - 0,3; 6.1 - 0,64; 7.1- 0,05; 7.2 - 0,3; 8.1 - 0,05; 8.2 -0,3; 9.1- 0,145; 9.2 - 0,05

Р= 0,99

132450

129814

106250

7.

2 - 0,33; 3 - 0,33; 4 - 0,33; 5 - 0,67; 6 - 0,33; 7 - 0,67; 8 - 0,5; 9 - 0,17;

P=0,990

2.1 - 0,05; 2.2 - 0,3; 2.3 - 0,43; 2.4 - 0,316; 3.2 -0,2; 5.1- 0,3; 5.2 - 0,3; 6.1 - 0,64; 7.1- 0,05; 7.2 - 0,3; 8.1 - 0,05; 8.2 -0,3; 9.1- 0,145; 9.2 - 0,05

Р= 0,99

136325

133612

83125

Не все информационные ресурсы защищены достаточно, поэтому необходимо применить ряд дополнительных мер, снижающих вероятность уязвимостей таблица 5.11.

Таблица 5.11

№ п.п.

Уязвимость


ИР

Метод предотвращения

Снижаемый показатель

(Ps, Pt, Pp)

1.1

Недостаточная физическая защита объекта

1-7

Установка дополнительных рубежей охраны: спирального барьера безопасности, укреплённых дверей, решёток на окна

Pp

1.2

Отсутствие инженерно-технической защиты объекта

1-7

Оснащение СКУД и охранной сигнализацией

Pp

1.3

2.3

8.3

Незащищённость ИР

1

Введение инструкций хранения документов

Pt

1.4

2.4

4.1

Склонение персонала к сотрудничеству

1-7

Обязательства о неразглашении, материальная ответственность за разглашение конфиденциальной информации

Pp

2.2

4.2

5.1

5.2

6.3

7.2

8.2

Неправильные действия и ошибки пользователей

1,2,3,4,6,7

Составление должностных инструкций, правил работы с конфиденциальными документами. Регулярное резервирование информации.

Pt

3.2

Утечка через визуально-оптический КУИ

1,6,7

Введение инструкций хранения документов, правильное расположение экранов мониторов

Ps

6.1

Низкая надёжность отдельных узлов аппаратуры

6,7

Своевременная замена устаревшего оборудования

Pt

9.1

Пожар

1-7

Своевременное проведение мероприятий по предотвращению возникновения пожаров

Pt

В соответствии с предложенными методами необходимо провести мероприятия по снижению вероятности проявления уязвимостей.

Инженерно-технические средства защиты информации не рассматриваются в рамках данной работы.

Организационные документы представлены в ПРИЛОЖЕНИИ.

Заключение

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» - подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.

Объекты информатизации вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации.

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации.

2.

Список использованной литературы

1. Аверченков, В.И., Методические указания к выполнению проекта по дисциплине комплексные системы защиты информации для студентов очной формы обучения специальности 2012.

2. Аверченков, В.И. Организационная защита информации: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов. - Брянск: БГТУ, 2011.

3. Барсуков, В.С. Особенности обеспечения информационной безопасности / В.С Барсуков,- М.: ТЭК, 2014.

4. Болдырев, А.И. Методические рекомендации по поиску и нейтрализации средств негласного съема информации: практ. Пособие/ А. И. Болдырев - М.: НЕЛК, 2011

5. ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию

6. ГОСТ Р ИСО/МЭК 13335-2006 Информационные технологии. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

7. ГОСТ Р ИСО/МЭК 17799-2005 Практические правила управления информационной безопасностью

8. Домарев, В.В. Безопасность информационных технологий. Методология создания систем защиты / В.В. Домарев, Киев: ДиаСофт, 2002.

9. Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.)

10. Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации (Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.)

ПРИЛОЖЕНИЯ

Приложение 1

План 2 этажа МУ «Финансового отдела администрации Злынковского района»

Приложение 2

Технический паспорт объекта (2 этаж).

1

Название помещения

Административное здание корпус «Финансовый отдел администрации Злынковского района»

2

Этаж

2

Площадь, м2

180

3

Количество окон, тип сигнализации, наличие штор на окнах

16*, сигнализация отсутствует, имеются жалюзи.

Куда выходят окна

Окна выходят на проезжую часть, а также на контролируемую территорию (во двор).

4

Двери (одинарные, двойные), кол-во

10 одинарных дверей, оснащенных замками. Все двери деревянные.***

Куда выходят двери

4 двери выходит в коридор. 4 двери выходит в приемную.1 дверь выходит на лестничную площадку.. **

5

Соседние помещения, название, толщина стен

Смежные помещения. Слева находится Муниципальное унитарное предприятие «Злынковский районный водоканал» Справа «Отдел образования администрации Злынковского района» (РОНО). Толщина стен: несущих 0,52 м., внутренних 0,38 м.

6

Помещение над потолком, название, толщина перекрытий

Крыша. Толщина перекрытий 0,40 м

7

Помещение под полом, название, толщина перекрытий

Толщина перекрытий 0, 24 м

8

Вентиляционные отверстия, места размещения, размеры отверстий

Вентиляционные отверстия отсутствуют.

9

Батареи отопления, типы, куда выходят трубы

Батареи отопления присутствуют во всех помещениях. Тип батареи - чугунный радиатор. Трубы выходят к центральной системе отопления.

10

Цепи электропитания

Напряжение, В, количество розеток электропитания, входящих и выходящих кабелей

Напряжение 220 В. Несколько розеток в каждом помещении. Один входящий/исходящий кабель в каждом помещении.

11

Телефон

Типы, места установки телефонных аппаратов, тип кабеля

Каждый кабинет оборудовано стационарным телефоном. Проводка сделана кабелем ТРП.

12

Радиотрансляция

Типы громкоговорителей, места установки

отсутствуют

13

Электрические часы

Тип, куда выходит кабель электрических часов

отсутствуют

14

Бытовые радиосредства

Радиоприемники, телевизоры, аудио и видеомагнитофоны, их кол-во и типы

отсутствуют

15

Бытовые электроприборы

Вентиляторы и др., места их размещения

Электрочайники и кондиционеры в большинстве помещений

16

ПЭВМ

Кол-во, состав, места размещения

18 ПЭВМ****, размещены на рабочих местах. Имеют различную конфигурацию. Все ПЭВМ объединены в единую ЛВС.

17

Технические средства охраны

Типы и места установки извещателей, зоны действия

Технические средства охраны включают в себя только замки.

18

Телевизионные средства наблюдения

Места установки, типы и зоны наблюдения телевизионных трубок

отсутствуют

19

Пожарная сигнализация

Типы извещателей, схемы соединения и выводы шлейфа

отсутствуют

20

Другие средства

Сейфы, шкафы металлические, находятся в отделе бюджетного планирования, в отделе учета и отчетности, кабинете начальника не менее 1. Сетевые фильтры - не менее 1 в каждом помещении.

Приложение 3

З А Я В К А

на проведение аттестации объекта информатизации

1. МУ «Финансовый отдел администрации Злынковского района» просит провести аттестацию автоматизированной системы МУ «Финансового отдела администрации Злынковского района на соответствие требованиям по безопасности информации: класса 1Д.

2. Необходимые исходные данные по аттестуемому объекту информатизации прилагаются.

3. Заявитель готов предоставить необходимые документы и условия для проведения аттестации.

4. Заявитель согласен на договорной основе оплатить расходы по всем видам работ и услуг по аттестации указанного в данной заявке объекта информатизации.

5. Дополнительные условия или сведения для договора:

5.1. Предварительное ознакомление с аттестуемым объектом предлагаю провести в период до 25.10.2010

5.2. Аттестационные испытания объекта информатики предлагаю провести в период до 25.12.2009

Приложение 4

АТТЕСТАТ СООТВЕТСТВИЯ

№ 492

Автоматизированная система

МУ «Финансового отдела администрации Злынковского района»

требованиям по безопасности информации

Выдан " 26 " декабря 2010г

1. Настоящим АТТЕСТАТОМ удостоверяется, что:

АС МУ «Финансового отдела администрации Злынковского района» класса защищенности 1 Д соответствует требованиям нормативной документации по безопасности информации.

Состав комплекса технических средств автоматизированной системы (АС), с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС.

2. Организационная структура, уровень подготовки специалистов, нормативно-методическое обеспечение обеспечивают поддержание уровня защищенности АС в процессе эксплуатации в соответствии с установленными требованиями.

3. Аттестация АС выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными руководителем предприятия (указываются номера документов).

4. С учетом результатов аттестационных испытаний в АС разрешается обработка конфиденциальной информации.

5. При эксплуатации АС запрещается:

· вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации;

· проводить обработку защищаемой информации без выполнения всех мероприятий по защите информации;

· подключать к основным техническим средствам нештатные блоки и устройства;

· вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;

· при обработке на ПЭВМ защищаемой информации подключать измерительную аппаратуру;

· допускать к обработке защищаемой информации лиц, не оформленных в установленном порядке;

· производить копирование защищаемой информации на неучтенные магнитные носители информации, в том числе для временного хранения информации;

· работать при отключенном заземлении;

· обрабатывать на ПЭВМ защищаемую информацию при обнаружении каких либо неисправностей.

6. Контроль за эффективностью реализованных мер и средств защиты возлагается на ведущего инженера отдела информационной безопасности.

7. Подробные результаты аттестационных испытаний приведены в заключении аттестационной комиссии (№ 489 от 25.12.2010) и протоколах испытаний.

8. "Аттестат соответствия" выдан на 3 года (лет), в течение которых должна быть обеспечена неизменность условий функционирования АС и технологии обработки защищаемой информации, способных повлиять на характеристики защищенности АС.

Руководитель аттестационной комиссии

Заместитель главы администрации района, начальник МУ «Финансовый отдел администрации Злынковского района» Ермаков Е.Б.

(должность с указанием наименования предприятия, Ф.И.0.)

" 26" декабря 2010г.

Отметки органа надзора:

Приложение 5

Схема ЛВС

1. Приемная

2. Системный администратор

3. Отдел учета и отчетности


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.