Акт установки и ввода в эксплуатацию пространственной системы низкочастотного зашумления.

Инструкция по эксплуатации технических средств пространственной системы низкочастотного зашумления для пользователей и ответственных за защиту КТ на объекте информатизации.

Установка пространственной системы высокочастотного зашумления.

Акт установки и ввода в эксплуатацию пространственной системы высокочастотного зашумления.

Инструкция по эксплуатации технических средств пространственной системы высокочастотного зашумления для пользователей и ответственных за защиту КТ на объекте информатизации.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции по эксплуатации технических средств системы акустической и виброакустической защиты для пользователей и ответственных за защиту КТ на объекте информатизации.

Приказ об утверждении и вводе в действие инструкции по эксплуатации технических средств пространственной системы низкочастотного зашумления для пользователей и ответственных за защиту КТ на объекте информатизации.

Приказ об утверждении и вводе в действие инструкции по эксплуатации технических средств пространственной системы высокочастотного зашумления для пользователей и ответственных за защиту КТ на объекте информатизации.

Контроль за доступом в охраняемые зоны

Организация постов охраны для пропуска в контролируемую зону.

Пропуска.

Договор с подразделением вневедомственной охраны.

Разработка и ведение учетных документов.

Журнал учета пропусков.

Журнал учета мероприятий по контролю за соблюдением режима защиты КТ.

Технические мероприятия

Внедрение технической системы контроля и управления доступом в контролируемой зоне (по электронным пропускам, токену, биометрическим данным и т.п.).

Акт установки и ввода в эксплуатацию технической системы контроля и управления доступом в контролируемой зоне.

Инструкция по эксплуатациитехнической системы контроля и управления доступом в контролируемой зоне.

Внедрение технической системы охранного телевидения (систем видеонаблюдения) для защиты контролируемой зоны и защищаемых помещений.

Акт установки и ввода в эксплуатацию технической системы охранного телевидения.

Инструкция по эксплуатации технической системы охранного телевидения.

Внедрение системы охранного освещения.

Акт установки и ввода в эксплуатацию системы охранного освещения.

Инструкция по эксплуатации системы охранного освещения.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие технической системы контроля и управления доступом в контролируемой зоне.

Приказ об утверждении и вводе в действие технической системы охранного телевидения.

Приказ об утверждении и вводе в действие системы охранного освещения.

Расположение и защита оборудования

Установка оборудования и АРМов в соответствии с требованиями САНПин и техническими паспортами защищаемых помещений.

Проведение оценки защищенности КТ от НСД и ПЭМИ в защищаемых помещениях.

Акт соответствия защищаемого помещения требованиям информационной безопасности.

Технические мероприятия

Внедрение систем охранной и тревожной сигнализации в защищаемых помещениях (контроль открывания двери, автоматическое взятие/снятие с охраны по идентификатору, применение обнаружителей движения и т.п.).

Акт установки и ввода в эксплуатацию системы охранной и тревожной сигнализации в защищаемых помещениях.

Инструкция по эксплуатации системы охранной и тревожной сигнализации в защищаемых помещениях.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие системы охранной и тревожной сигнализации в защищаемых помещениях.

Обеспечение защиты электропитания и безопасности кабельной сети от повреждения и перехвата информации

Разработка инструкции о порядке обеспечения защиты электропитания и безопасности кабельной сети от повреждения и перехвата информации.

Инструкция о порядке обеспечения защиты электропитания и безопасности кабельной сети от повреждения и перехвата информации.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции о порядке обеспечения защиты электропитания и безопасности кабельной сети от повреждения и перехвата информации.

Технические мероприятия

Установка систем бесперебойного питания на ключевые элементы АС.

Акт установки и ввода в эксплуатациюсистем бесперебойного питания на ключевые элементы АС.

Экранирование информационных линий связи между техническими средствами передачи информации:

групповое размещение информационных кабелей в экранирующий распределительный короб.

экранирование отдельных линий связи (размещение линий в экранирующую оплетку или фольгу).

использование экранированных проводов или кабелей.

Отделение силовых кабелей от коммуникационных.

Установка технического средства фильтрации сигналов в цепях электропитания:

- установка разделительных трансформаторов.

- установка помехоподавляющих фильтров.

Акт установки и ввода в эксплуатациютехнического средства фильтрации сигналов в цепях электропитания.

Установка системы линейного низкочастотного зашумления.

Акт установки и ввода в эксплуатацию системы линейного низкочастотного зашумления.

Инструкция по эксплуатации технических средств системы линейного низкочастотного зашумления.

Установка системы линейного высокочастотного зашумления.

Акт установки и ввода в эксплуатацию системы линейного высокочастотного зашумления.

Инструкция по эксплуатации технических средств системы линейного высокочастотного зашумления.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие системы линейного высокочастотного зашумления.

Приказ об утверждении и вводе в действие системы линейного высокочастотного зашумления.

Организация технического обслуживания оборудования

Разработка инструкции о порядке организации технического обслуживания оборудования.

Инструкция о порядке организации технического обслуживания оборудования.

Разработка и ведение учетных документов.

Журнал регистрации технического обслуживания оборудования.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции о порядке организации технического обслуживания оборудования.

Безопасное администрирование систем и сетей (Управление передачей данных и средствами обработки КТ)

Операционные процедуры и обязанности

Назначение ответственного за эксплуатацию программно-аппаратных средств защиты КТ.

Проведение оценки защищенности АС от НСД и ПЭМИ.

Акт соответствия АС требованиям информационной безопасности.

Создание и утверждение организационно-распорядительных документов.

Приказ о назначении ответственного за эксплуатацию программно-аппаратных средств защиты КТ.

Защита от вредоносного программного обеспечения

Разработка инструкции по защите информации от компьютерных вирусов.

Инструкция по антивирусной защите.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции по антивирусной защите.

Технические мероприятия

Установка антивирусного ПО.

Акты установки и ввода в эксплуатацию антивирусного ПО.

Установка системы разграничения доступа (экранирования)

Акты установки и ввода в эксплуатацию системы разграничения доступа (экранирования).

Установка системы анализа защищенности и антивирусной защиты.

Акты установки и ввода в эксплуатацию системы анализа защищенности и антивирусной защиты.

Резервирование информации

Разработка положения о порядке резервирования информации и восстановления работоспособности ТС и ПО.

Инструкция о порядке резервирования информации и восстановления работоспособности ТС и ПО.

Создание графика проведения резервирования.

График проведения резервирования.

Создание перечней резервируемой информации и сотрудников, ответственных за резервное копирование.

Перечень резервируемой информации и ПО.

Перечень сотрудников, ответственных за резервное копирование.

Создание и ведение учетных документов.

Журнал учета резервных копий.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции о порядке резервирования информации и восстановления работоспособности ТС и ПО.

Приказ об утверждении перечня резервируемой информации.

Приказ об утверждении перечня сотрудников, ответственных за резервное копирование.

Приказ об утверждении графика проведения резервирования.

Технические мероприятия

Установка системы обеспечения отказоустойчивости и безопасного восстановления.

Акт установки и ввода в эксплуатацию системы обеспечения отказоустойчивости и безопасного восстановления.

Управление безопасностью сети

Разработка инструкции о порядке управления удаленным оборудованием и списка сотрудников, ответственных за поддержание сетевых ресурсов и компьютерных операций.

Акты установки и ввода в эксплуатацию системы контроля сетевого доступа и сетевых ресурсов.

Акты установки и ввода в эксплуатацию криптографических средств защиты информации.

Технические мероприятия

Установка системы управления информационными сервисами и сервисами безопасности.

Акты установки и ввода в эксплуатацию системы управления информационными сервисами и сервисами безопасности.

Установка системы криптографической защиты (шифрования).

Акты установки и ввода в эксплуатацию системы криптографической защиты.

Обмен информацией и программным обеспечением

Разработка инструкции о порядке обмена конфиденциальной информацией и программным обеспечением.

Договор об обмене конфиденциальной информацией и программным обеспечением со сторонней организацией.

Список зарегистрированных адресов электронной почты.

Разработка инструкции об обеспечении безопасности КТ при использовании речевой, факсимильной, видеосвязи и электронной почты.

Инструкция об обеспечении безопасности КТ при использовании речевой, факсимильной, видеосвязи и электронной почты.

Создание и ведение учетных документов.

Журнал регистрации отправленных и полученных писем.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции об обеспечении безопасности КТ при использовании речевой, факсимильной, видеосвязи и электронной почты.

Приказ об утверждении списка зарегистрированных адресов электронной почты.

Управление контролем доступа пользователя

Управление контролем доступа пользователя

Назначение администратора и администратора безопасности АС.

Разработка положения о порядке предоставления доступа к информации, содержащей КТ, обрабатываемой на АРМ и в ЛВС.

Матрица доступа к информационным ресурсам АС.

Положение о разграничении прав доступа к обрабатываемой КТ.

Разработка инструкции по защите КТ на АРМ на базе автономных АРМ и в ЛВС для пользователя, администратора и администратора безопасности.

Руководство пользователя АС.

Руководство администратора АС.

Руководство администратора безопасности АС.

Создание и утверждение организационно-распорядительных документов.

Приказ о назначении администратора и администратора безопасности АС.

Приказ об утверждении матрицы доступа к информационным ресурсам АС.

Приказ об утверждении и вводе в действие положения о разграничении прав доступа к обрабатываемой КТ.

Приказ об утверждении и вводе в действие руководства пользователя АС.

Приказ об утверждении и вводе в действие руководства администратора АС.

Приказ об утверждении и вводе в действие руководства администратора безопасности АС.

Приказ об утверждении и вводе в действие положения об электронном журнале обращений пользователей информационной системы к КТ.

Технические мероприятия

Установка системы идентификации и аутентификации.

Акты установки и ввода в эксплуатацию системы идентификации и аутентификации.

Установка системы управления логическим доступом.

Акты установки и ввода в эксплуатацию системы управления логическим доступом.

Установка единого хранилища зарегистрированных действий пользователей с КТ.

Акты установки и ввода в эксплуатациюединого хранилища зарегистрированных действий пользователей с КТ.

Контроль сетевого доступа

Разработка инструкции по обеспечению информационной безопасности при удаленном доступе к АС.

Инструкция по обеспечению информационной безопасности при удаленном доступе к АС.

Список сотрудников, имеющих санкционированный доступ к сетевым сервисам.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции по обеспечению информационной безопасности при удаленном доступе к АС.

Приказ об утверждении и вводе в действие списка сотрудников, имеющих санкционированный доступ к сетевым сервисам.

Технические мероприятия

Установка системы контроля целостности.

Акты установки и ввода в эксплуатацию системы контроля целостности.

Мониторинг доступа и использования системы

Разработка инструкции о порядке проведения мониторинга доступа и использования системы.

Инструкция о порядке проведения мониторинга доступа и использования АС.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие инструкции о порядке проведения мониторинга доступа и использования АС.

Технические мероприятия

Установка системы протоколирования и аудита.

Акты установки и ввода в эксплуатацию системы протоколирования и аудита.

Работа с переносными устройствами и работа в дистанционном режиме

Разработка положения о работе с переносными устройствами и работе в дистанционном режиме для пользователя.

Положение о работе с переносными устройствами и работе в дистанционном режиме для пользователя.

Список сотрудников, имеющих право работать с переносными устройствами и в дистанционном режиме.

Перечень переносных устройств.

Создание и утверждение организационно-распорядительных документов.

Приказ об утверждении и вводе в действие положения о работе с переносными устройствами и работе в дистанционном режиме для пользователя.

Приказ об утверждении списка сотрудников, имеющих право работать с переносными устройствами и в дистанционном режиме.

Приказ об утверждении перечня переносных устройств.

Безопасность в процессах разработки и поддержки прикладных систем и информации

Приобретение и внедрение лицензионного и сертифицированного ПО.

Сертификаты наПО и средства защиты КТ.

Обеспечение поддержки контроля версий для всех обновлений программного обеспечения.

Создание и ведение учетных документов внесения изменений в ПО.

Журнал обновлений версий программного обеспечения.

9. Разработанные организационно-распорядительные и нормативные документы

Перечень разработанных организационно-распорядительных и нормативных документов:

1) Модель вероятного нарушителя;

2) Частная модель угроз АС;

3) Концепция политики информационной безопасности АС;

4) Матрица доступа к информационным ресурсам АС;

5) Политика информационной безопасности предприятия;

6) Перечень защищаемых помещений;

7) Перечень КТ, подлежащей защите;

8) Перечень документов, содержащих КТ;

9) Перечень информационных ресурсов АС;

10) Перечень АРМ, обрабатывающих КТ;

11) Инструкция о порядке учета, обработки, маркировки, хранения и уничтожения документов и носителей, содержащих КТ;

12) Акт классификации АС;

13) Технический паспорт защищаемого помещения;

14) Технический паспорт АС;

15) Руководство пользователя АС;

16) Руководство администратора АС;

17) Руководство администратора безопасности АС;

18) Акт соответствия защищаемого помещения требованиям информационной безопасности;

19) Акт соответствия АС требованиям информационной безопасности;

20) График контроля соблюдения режима защиты КТ;

21) График проведения инструктажа и обучения по обеспечению защиты КТ;

22) Соглашение о неразглашении КТ;

23) Список сотрудников, допущенных к обработке КТ.

10. Рекомендуемые технические средства

Наименование оборудования	Область использования
Генератор шума «ЛГШ-503».	Предназначен для активной защиты объектов информатизации от утечки по сетям электропитания и заземления.
Генератор шума низкочастотный «Г2-59»	Используется в качестве источника низкочастотного шума для защиты, циркулирующей в выделенных помещениях речевой информации от утечки по акустическому и виброакустическому каналам.
Система защиты «SEL SP-55»	Предназначена для активной защиты циркулирующей в выделенных помещениях речевой информации от утечки по акустическому и виброакустическому каналам посредством создания шумов.
Генератор шума "SEL SP-44"	Предназначен для защиты информации от утечки по цепям электропитания и заземления, подавления устройств съёма использующих электросеть.
помехоподавляющий фильтрЛФС-40-1ф	Предназначен для защиты радиоэлектронных устройств и средств вычислительной техники от утечки информации по цепям электропитания.
помехоподавляющий фильтрЛФС-100-3ф	Предназначен для защиты радиоэлектронных устройств и средств вычислительной техники от утечки информации за счет наводок информативных сигналов в цепях электропитания.

Заключение

В результате выполнения дипломной работы решены следующие задачи:

1) На основании анализа определена классификация коммерческой тайны, подлежащей защите;

2) Проведен анализ законодательной и нормативно - правовой базы по обеспечению режима безопасности коммерческой тайны;

3) Установлены типы автоматизированных систем обработки коммерческой тайны и определены информационные ресурсы;

4) Разработан алгоритм создания модели системы защиты коммерческой тайны;

5) Составлена матрица модели угроз для типов автоматизированных систем: однопользовательской АС на базе автономного АРМ с одним уровнем доступа (классы 3Б,3А);многопользовательской АС на базе ЛВС с одинаковыми правами доступа, без выхода в сети общего пользования (класс 2Б) и с выходом в сети общего пользования (класс 2А); многопользовательские АС на базе ЛВС с разделением прав доступа, без выхода в сети общего пользования (классы 1В, 1Г, 1Д) и с выходом в сети общего пользования (классы 1А, 1Б);

6) Создана матрица вероятного нарушителя для всех типов автоматизированных систем;

7) Создана матрица мероприятий по созданию, внедрению и мониторингу системы защиты коммерческой тайны с учетом типов автоматизированных систем;

8) Созданы типовые формы нормативных и организационных документов по защите коммерческой тайны;

9) Составлен перечень рекомендуемых технических средств для инженерно-технической защиты объектов информатизации.

Список использованных источников

1) Закон РФ «О конкуренции и ограниченной монополистической деятельности на товарных рынках» от 22 марта 1991 года;

2) ФЗ РФ «О безопасности» от 5 марта 1992 года № 2446-1;

3) Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;

4) Федеральный закон от 23.06.99 № 117-ФЗ «О защите конкуренции на рынке финансовых услуг» (с изменениями от 30.12.2001);

5) Федеральный закон от 21.11.96 № 129-ФЗ «О бухгалтерском учёте» (с изменениями от 23 сентября 98 года, 28 марта, 31 декабря 2002, 10 января, 28 мая, 30 июня 2003);

6) Федеральный закон от 18.07.96 № 108-ФЗ «О рекламе» (с изменениями от 18 июня, 14 декабря, 30 декабря 2001, 21 июля 2005);

7) Федеральный закон от 20.02.96 №24-ФЗ «Об информации, информатизации и защите информации» (с изменениями от 10.01.2003, 07.03.2011);

8) Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями от 27 июля 2010 г.);

9) Закон РФ от 11.03.92 № 2490-1 « о коллективных договорах и соглашениях» ( с изменениями от 24.11.95, 1.05.99, 30.12.2001);

10) Указ Президента РФ от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера»;

11) Указ президента РФ «О мерах по обеспечению информационной безопасности РФ в сфере международного и информационного обмена» от 12.05.2004 № 611;

12) Постановление Правительства РФ «О сертификации средств защиты информации от 26 июня 1995 года № 608;

13) Постановление Правительства РФ «О Лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 31 августа 2006 года № 532;

14) Специальные требования и рекомендации по технической защите конфиденциальной информации. (Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г.);

15) Положение по ведению бухгалтерского учёта и бухгалтерской отчётности в РФ, утверждено приказом Минфина России от 29.07.98 № 34н;

16) Положение о сертификации средств защиты информации, утверждённое постановлением Правительства РФ от 26.06.95 № 608 ( с изменениями от 23.04.96, 29.03.99);

17) ГОСТ Р 51583-2000. «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;

18) РД «Специальные требования и рекомендации по технической защите конфиденциальной информации», утвержденные Гостехкомиссией России;

19) ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;

20) ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

21) ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на АС. Техническое задание на создание АС»;

22) РД. 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на АС. АС. Требования к содержанию документов»;

23) ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС»;

24) ГОСТ 34.603-92. «Виды испытаний АС»;

Размещено на Allbest.ru