Размещено на http://www.allbest.ru/

27

Размещено на http://www.allbest.ru/

Порядок разработки технического задания на разработку системы защиты информации информационной системы

Введение

Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик ИС. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).

Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Если исходить из классического рассмотрения кибернетической модели любой управляемой системы, возмущающие воздействия на нее могут носить случайный характер. Поэтому среди угроз безопасности информации следует выделять как один из видов угрозы случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников ИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным. Однако в данной главе наибольшее внимание уделяется угрозам умышленным, которые, в отличие от случайных, преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды.

Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером).

В своих противоправных действиях, направленных на овладение чужими секретами, взломщики стремятся найти такие источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение. С помощью различного рода уловок и множества приемов и средств подбираются пути и подходы к таким источникам. В данном случае под источником информации подразумевается материальный объект, обладающий определенными сведениями, представляющими конкретный интерес для злоумышленников или конкурентов.

Многочисленные публикации последних лет показывают, что злоупотребления информацией, циркулирующей в ИС или передаваемой по каналам связи, совершенствовались не менее интенсивно, чем меры защиты от них. В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально- этических мер противодействия и т.д.). Комплексный характер защиты проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для них информацию.

Сегодня можно утверждать, что рождается новая современная технология -- технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз ИС и ИТ.

В соответствии с 152-Федеральным Законам, каждое предприятие должно обеспечить защиту персональных данных своих сотрудников, клиентов и партнеров и принять все необходимые меры во избежание следующих правонарушений:

- кража персональных данных;

- изменение;

- блокирование;

- копирование;

- разглашение информации и другие незаконные действия, указанные в 152-ФЗ.

Поскольку под понятие «Персональные данные» попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое - система защиты персональных данных нужна фактически любой организации. В случае нарушения положений закона № 152-ФЗ о защите персональных данных компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица - к гражданской, уголовной, административной, дисциплинарной ответственности.

1. Нормативно-правовые акты Российской Федерации в области информационной безопасности

1.1 Общий подход к актам Российской Федерации в области информационной безопасности

Требования к различным аспектам информационной безопасности содержатся в следующих типах нормативно-правовых актов Российской Федерации:

- Федеральные законы, ГОСТы, кодексы;

- Постановления Правительства Российской Федерации;

- Указы и распоряжения Президента Российской Федерации.

1.2 Федеральные законы, кодексы

Основными Федеральными законами в области информационной безопасности являются:

- Закон Российской Федерации от 21 июля 1993 г. № 5485-I «О государственной тайне»;

- Федеральный закон от 27 декабря 2002 года № 184-ФЗ «О техническом регулировании»;

- Федеральный закон от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне»;

- Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

- Федеральный закон от 27 июля 2006 года №1 52-ФЗ «О персональных данных»;

- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите и информации»;

- Федеральный закон от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»;

- Федеральный закон от 28 декабря 2010 года № 390-ФЗ «О безопасности»;

- Федеральный закон от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;

- Федеральный закон от 4 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности».

Основными кодексами Российской Федерации являются:

- Кодекс Российской Федерации от 13 июня 1996 года № 63-ФЗ «Уголовный кодекс Российской Федерации»;

- Кодекс Российской Федерации от 30 декабря 2001 года № 195-ФЗ «Кодекс Российской Федерации об административных правонарушениях»;

- Кодекс Российской Федерации от 30 декабря 2001 года № 197-ФЗ «Трудовой кодекс Российской Федерации».

1.3 Постановления Правительства Российской Федерации

Основными постановлениями Правительства Российской Федерации являются:

- Постановление Правительства Российской Федерации от 3 ноября 1994 года № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;

- Постановление Правительства Российской Федерации от 15 апреля 1995 года № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»;

- Постановление Правительства Российской Федерации от 26 июня 1995 года № 608 «Об утверждении Положения о сертификации средств защиты информации»;

- Постановление Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

- Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства Российской Федерации от 218 мая 2009 года № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»;

- Постановление Правительства Российской Федерации от 21 ноября 2011 года № 957 «Об организации лицензирования отдельных видов деятельности»;

- Постановление Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;

- Постановление Правительства Российской Федерации от 3 марта 2012 года № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»;

- Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

- Постановление Правительства Российской Федерации от 18 сентября 2012 года № 940 «Об утверждении правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю»;

- Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.4 Указы Президента Российской Федерации

Основными указами и распоряжениями Президента Российской Федерации являются:

- Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

- Указ Президента Российской Федерации от 16 августа 2004 года № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю»;

- Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

- Указ Президента Российской Федерации от 12 мая 2009 года № 537 «О Стратегии национальной безопасности Российской Федерации до 2020 года».

2. Порядок организации проведения работ по защите информации в информационных системах

2.1 Общий подход к защите информации в информационных системах

В соответствии с требованиями приказа федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" организация работ по защите информации в информационных системах проводится в следующем порядке:

- формирование требований к защите информации, содержащейся в информационной системе;

- разработка системы защиты информации информационной системы;

- внедрение системы защиты информации информационной системы;

- аттестация информационной системы по требованиям защиты информации и ввод ее в действие;

- обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;

- обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

2.2 Формирование требований к защите информации, содержащейся в информационной системе

Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 (Порядок создания АС в защищенном исполнении. Общие положения) и ГОСТ Р 51624 (АС в защищенном исполнении. Общие требования) и в том числе включает:

- Принятие решения о необходимости защиты информации, содержащейся в информационной системе;

- Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый);

- Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

- Определение требований к системе защиты информации информационной системы.

В данным курсовой работе опираяс на эти требования било разработана техническое задание.

2.3 Разработка системы защиты информации информационной системы

Разработка системы защиты информации информационной системы организуется обладателем информации (заказчиком).

Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы с учетом ГОСТ 34.601 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания" (далее - ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:

- проектирование системы защиты информации информационной системы;

- разработку эксплуатационной документации на систему защиты информации информационной системы;

- макетирование и тестирование системы защиты информации информационной системы (при необходимости).

Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.

При разработке системы защиты информации информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

3. Разработка технического задания на разработку системы защиты информации информационной системы

3.1 Общий подход к разработкам технического задания на разработку системы защиты информации информационной системы

Техническое задание (ТЗ) на информационную систему (ИС) является основным документом, определяющим требования и порядок создания (развития или модернизации - далее создания) автоматизированной системы, в соответствии с которым проводится разработка ИС и ее приемка при вводе в действие.

ТЗ на ИС разрабатывают на систему в целом, предназначенную для работы самостоятельно или в составе другой системы.

Требования к ИС в объеме, установленном настоящим стандартом, могут быть включены в задание на проектирование вновь создаваемого объекта автоматизации. В этом случае ТЗ на ИС не разрабатывают.

Включаемые в ТЗ на ИС требования должны соответствовать современному уровню развития науки и техники и не уступать аналогичным требованиям, предъявляемым к лучшим современным отечественным и зарубежным аналогам. Задаваемые в ТЗ на ИС требования не должны ограничивать разработчика системы в поиске и реализации наиболее эффективных технических, технико-экономических и других решений.

ТЗ на ИС разрабатывают на основании исходных данных, в том числе содержащихся в итоговой документации стадии "Исследование и обоснование создания ИС", установленной ГОСТ 34.601. В ТЗ на ИС включают только те требования, которые дополняют требования к системам данного вида (АСУ, САПР, АСНИ и т. д.), содержащиеся в действующих НТД, и определяются спецификой конкретного объекта, для которого создается система.

3.2 Состав и содержание технического задания на информационной системы

ТЗ на ИС содержит следующие разделы, которые могут быть разделены на подразделы:

- общие сведения;

- назначение и цели создания (развития) системы;

- характеристика объектов автоматизации;

- требования к системе;

- состав и содержание работ по созданию системы;

- порядок контроля и приемки системы;

- требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие;

- требования к документированию;

- источники разработки.

3.3 Порядок разработки, согласования и утверждения технического задания

Порядок разработки, согласования и утверждения технического задания:

- проект ТЗ на ИС разрабатывает организация - разработчик системы с участием заказчика на основании технических требований (заявки, тактико-технического задания и т.п.). При конкурсной организации работ варианты проекта ТЗ на ИС рассматриваются заказчиком, который либо выбирает предпочтительный вариант, либо на основании сопоставительного анализа подготавливает с участием будущего разработчика ИС окончательный вариант ТЗ на ИС;

- необходимость согласования проекта ТЗ на ИС с органами государственного надзора и другими заинтересованными организациями определяют совместно заказчик системы и разработчик проекта ТЗ на ИС. Работу по согласованию проекта ТЗ на ИС осуществляют совместно разработчик ТЗ на ИС и заказчик системы, каждый в организациях своего министерства (ведомства);

- срок согласования проекта ТЗ на ИС в каждой организации не должен превышать 15 дней со дня его получения. Рекомендуется рассылать на согласование экземпляры проекта ТЗ на ИС (копий) одновременно во все организации (подразделения);

- Замечания по проекту ТЗ на ИС должны быть представлены с техническим обоснованием. Решения по замечаниям должны быть приняты разработчиком проекта ТЗ на ИС и заказчиком системы до утверждения ТЗ на ИС;

- если при согласовании проекта ТЗ на ИС возникли разногласия между разработчиком и заказчиком (или другими заинтересованными организациями), то составляется протокол разногласий (форма произвольная) и конкретное решение принимается в установленном порядке;

- согласование проекта ТЗ на ИС разрешается оформлять отдельным документом (письмом). В этом случае под грифом "Согласовано" делают ссылку на этот документ;

- утверждение ТЗ на ИС осуществляют руководители предприятий (организаций) разработчика и заказчика системы;

- ТЗ на ИС (дополнение к ТЗ) до передачи его на утверждение должно быть проверено службой нормо-контроля организации - разработчика ТЗ и, при необходимости, подвергнуто метрологической экспертизе;

- копии утвержденного ТЗ на ИС в 10-дневный срок после утверждения высылаются разработчиком ТЗ на ИС участникам создания системы;

- согласование и утверждение дополнений к ТЗ на ИС проводят в порядке, установленном для ТЗ на ИС;

- изменения к ТЗ на ИС не допускается утверждать после представления системы для ее очереди на приемосдаточные испытания;

- регистрация, учет и хранение ТЗ на ИС и дополнений к нему проводят в соответствии с требованиями ГОСТ 2.501.

3.4 Техническое задание

УТВЕРЖДАЮ

Заведующий кафедры

“Информационные и вычислительные системы”

Хомоненко Анатолий Дмитриевич

«___» 2015г.

Техническое задание на создание системы защиты информации информационной системы персональных данных "Секретарь"

Список сокращений и обозначений

АВС - антивирусные средства

АРМ - автоматизированное рабочее место

АС - автоматизированная система

АСЗИ - автоматизированная система в защищенном исполнении

ИСПДн - информационная система персональных данных

ЛВС - локальная вычислительная сеть

МЭ - межсетевой экран

ОС - операционная система

ПДн - персональные данные

ПМВ - программно-математическое воздействие

ПО - программное обеспечение

ПЭМИН - побочные электромагнитные излучения и наводки

САЗ - система анализа защищенности

СЗИ - средства защиты информации

СЗПДн - система(подсистема) защиты персональных данных

СКЗИ - средства криптографической защиты информации

СОВ - система обнаружения вторжений

ТС - техническое средство

УБПДн - угрозы безопасности персональных данных

Нормативно-методическое обеспечение

Настоящий документ составлен в соответствии со следующими действующими нормативно-методическими документами в области защиты персональных данных:

1. Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

2. Федеральный закон от27 июля2006 года №152-ФЗ«О персональных данных»;

3. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановления Правительства Российской Федерации от17 ноября2007 года №781;

4. Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года №55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный №11462);

5. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России);

6. Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных(утверждена14 февраля 2008г. заместителем директора ФСТЭК России);

7. Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России);

8. Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных(утверждены15 февраля 2008 г. заместителем директора ФСТЭК России).

Обоснование разработки системы защиты

В информационной системе" Секретарь " предполагается обработка персональных данных. Информационная система " Секретарь " попадает под действие закона[2]. В соответствии с [3] требуется обеспечить безопасность персональных данных. Безопасность персональных данных обеспечивается выполнением комплекса организационных и технических мер защиты, которые определяются в соответствии с нормативно-методическими документами ФСТЭК России и ФСБ России.

Система защиты должна разрабатываться с целью предотвращения ущерба от возможной реализации нарушений характеристик безопасности. Угрозы безопасности определены в«Модели угроз информационной системы…» (далее Модель угроз). Настоящий документ разработан для решения следующих задач:

- разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;

- создание регламента проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

- недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;

- создание регламента мероприятий, обеспечивающих контроль за обеспечением уровня защищенности персональных данных.

Исходные данные

Описание информационной системы персональных данных " Секретарь" приведено в Модели угроз. Для информационной системы определен предполагаемый класс ИСПДн- К2. Данный класс влечет за собой необходимость аттестации информационной системы по требованиям безопасности конфиденциальной информации. По заданным характеристикам безопасности (заданы в Модели угроз) информационная система является типовой, и требования для нее формируются с учетом модели угроз и предварительно определенного класса. Таким образом, необходимо выполнить следующие требования:

- требования по безопасности персональных данных для информационных систем класса К2;

- требования для нейтрализации всех актуальных угроз, определенных в Модели угроз;

- требования по безопасности конфиденциальной информации для автоматизированных систем.

Требуемые мероприятия и меры защиты

В данном разделе формулируются требования по безопасности информации и предлагаются меры для их выполнения.

Перечень требований безопасности персональных данных, предусмотренный нормативно-методическими документами для ИСПДн с заданными параметрами (классом, режимом обработки данных) представлен в таблице.

№ п/п	Условное обозначение	Требование	Требование по параметрам ИСПДн
1	Т1	должен регистрироваться код или пароль предъявленный при неуспешной попытке.	-
2	Т2	для ИСПДн 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации;	+
…	…	…	…
110	Т110	должна осуществляться физическая охрана ИСПДн (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается ИСПДн, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений ИСПДн;	-

Защита от угроз, выявленных в процессе составления модели угроз

Защита информации от выявленных угроз сводится к принятию организационных и технических мер, которые позволяют избавиться от тех или иных компонентов угроз.

Поскольку в модели угроз составлен полный перечень угроз (состоящих из компонентов), то нейтрализация хотя бы одного компонента угрозы принятием мер защиты ликвидирует угрозу.

Полный перечень требований, необходимый для нейтрализации угроз приведен в таблице. Описания угроз и компонентов угроз приведены в Модели угроз.

№ п/п	Множество угроз	Нейтрализуемые компоненты	Требования по параметрам ИСПДн	Прочие требования
1	< Источники ТКУИ 1, Н2, Каналы утечки 2 >	К10, К11, К12, К13	Т61	Т54, Т56, Т57, Т58, Т59, Т60
…	…	…	…	…
61	< Источники НСД 11, Уязвимости 3, Р18, Объекты 4, Действия2 >	У2, У3, У4, У5, У6, У7, Р18		Т10, Т102, Т103, Т11, Т12, Т13, Т4, Т5, Т6, Т7, Т72, Т8, Т83, Т9, Т95

Далее приводятся требования, достаточные для нейтрализации угроз, определенные экспертом.

№ п/п	Нейтрализуемое множество угроз	Достаточные требования для нейтрализации
1	< Источники ТКУИ1, Н2, Каналы утечки2 >	Т54, Т56, Т57, Т58, Т59, Т60, Т61
…	…	…
59	< Источники НСД 11, Уязвимости 3, Реализации13, Объекты6, Действия1 >	Т10, Т11, Т12, Т13, Т4, Т5, Т6, Т7, Т8, Т9
60	< Источники НСД 11, Уязвимости 3, Реализации15, Объекты3, Действия1 >	Т10, Т11, Т12, Т13, Т4, Т5, Т6, Т7, Т8, Т9
61	< Источники НСД 11, Уязвимости 3, Р18, Объекты4, Действия2 >	Т10, Т11, Т12, Т13, Т4, Т5, Т6, Т7, Т8, Т9

В следующей таблице приведены требования, необходимые для нейтрализации конкретных компонентов угроз.

№ п/п	Нейтрализуемый компонент	Достаточные требования для нейтрализации
1	К10	Т54, Т56, Т57, Т61
…	…	…
60	У8	Т13, Т27, Т35, Т53, Т68, Т93
61	У9	Т28

Итоговый список требований

В таблице представлен итоговый список требований, которые нужно выполнить для нейтрализации угроз.

№ п/п	Условное обозначение	Требование	Требование по параметрам ИСПДн
1	Т1	должен регистрироваться код или пароль предъявленный при неуспешной попытке.	-
…	…	…	…
55	Т98	должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы средств защиты информации в составе СЗПДн;	-
…	…	…	…

Перечень предлагаемых к использованию сертифицированных средств защиты информации

В данном разделе представлены средства защиты информации для реализации технических мер защиты. Специалисты оператора оставляют за собой право выбора тех или иных средств защиты, исходя из особенностей работы информационной системы.

Средства защиты рабочих станций и серверов от несанкционированного доступа:

№ п/п	Наименование	Сертификаты	Тип
1	«Secret Net 5.0/5.0-C (сетевой)»	№1197, 1238, 1301,	Программный/программно-аппаратный
2	…
3
4
5

Допускается применение прочих сертифицированных средств защиты информации, если это требуется исходя из особенностей функционирования системы. Полный реестр сертифицированных средств защиты информации представлен на сайте ФСТЭК России.

Состав, содержание и сроки проведения работ

Все работы можно разделить на три основных этапа: разработка документации, установка и настройка средств защиты информации, аттестационные испытания информационной системы. На каждом этапе проводится ряд работ. На определенную работу предусмотрен норматив- сколько часов работы одного специалиста требуется для выполнения.

Разработка документации

К разработке документации привлекаются специалисты по защите информации оператора, разработчики информационной системы и, в случае необходимости, специалисты сторонних организаций, специализирующихся на защите информации.

№ п/п	Разрабатываемый документ	Человек/часов
1	приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности персональных данных	0,3
2	список лиц, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, утвержденный руководителем организации	0,3
3	…

Установка и настройка средств защиты информации

№ п/п	Вид работы	Человек/часов
1	Установка и настройка СЗИ в соответствии с требованиями по безопасности информации	4 (на один компьютер)
2	Установка и настройка подсистемы межсетевого экранирования	2 (на один компьютер)
3	Установка средств защиты от утечки по техническим каналам	1 (на одно средство)

Аттестационные испытания ИСПДн

Аттестационные испытания информационной системы проводятся сторонней организацией, обладающей необходимыми лицензиями на осуществление данных работ. Набор работ, исходя из которого определяются сроки проведения аттестационных испытаний, следующий:

№ п/п	Вид работы	Человек/часов
1	Разработка«Программы аттестационных испытаний»	8
2	Разработка методик аттестационных испытаний	32
…	…

Заключение

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты. Одной из основных задач защиты информации является организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.

Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

Использование высокоэффективных информационных систем является обязательным условием успешной деятельности современных организаций и предприятий. Безопасность информации -- это один из основных показателей качества информационной системы. Поданным статистики, наиболее успешными методами реализации угроз безопасности информации в автоматизированных системах являются вирусные атаки. На их долю приходится около 57% инцидентов с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и попавших в статистические обзоры.

Список используемой литературы

информация безопасность нормативный

1. Федотова Е.Л. - Информационные технологии и системы: учеб. пособие. - М.: ИД «ФОРУМ»: ИНФРА-М, 2009. - 352 с.: ил. - (Профессиональное образование).

2. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. - М.: Энергоиздат, 1994.

3. Требования к защите персональных данных при их обработке в информационных системах персональных данных (утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119)

4. Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17

Размещено на Allbest.ru