Создание модели системы защиты коммерческой тайны для обеспечения информационной безопасности предприятий
Классификация коммерческой тайны. Матрица уровней исходной защищённости типов автоматизированных систем обработки коммерческой тайны. Типовые модели угроз и модели вероятного нарушителя, план мероприятий по созданию системы защиты коммерческой тайны.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 10.07.2012 |
Размер файла | 5,0 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Оглавление
Введение
1. Классификация коммерческой тайны
2. Обзор и анализ нормативно-правовых документов, регламентирующих защиту коммерческой тайны
3. Типизация АС обработки коммерческой тайны
4. Конфигурация автоматизированной системы обработки коммерческой тайны
5. Алгоритм разработки системы защиты АС обработки коммерческой тайны
6. Матрица модели нарушителя
7. Матрица модели угроз АС обработки коммерческой тайны
8. Матрица мероприятий АС
9. Разработанные организационно-распорядительные и нормативные документы
10. Рекомендуемые технические средства
Заключение
Список использованных источников
Приложение А
Приложение Б
Приложение В
Приложение Г
Введение
Целью дипломной работы является создание модели системы защиты коммерческой тайны для обеспечения информационной безопасности предприятий.
Задачи:
• Проанализировать и классифицировать коммерческую тайну;
• Провести анализ законодательной и нормативно - правовой базы по защите коммерческой тайны;
• Разработать алгоритм создания модели системы защиты коммерческой тайны;
• Провести анализ и типизировать автоматизированные системы обработки коммерческой тайны;
• Составить типовые модели угроз, модели вероятного нарушителя, плана мероприятий по созданию системы защиты коммерческой тайны;
• Разработать типовые формы нормативных и организационных документов по защите коммерческой тайны.
1. Классификация коммерческой тайны
В связи с принятием IV части Гражданского кодекса РФ и внесением изменений в федеральный закон «О коммерческой тайне» от 29 июля 2004 г. № 98-ФЗ изменилось правовое регулирование вопросов, связанных с использованием информации, составляющей коммерческую тайну.
Коммерческую тайну не могут составлять следующие сведения:
1) Учредительные документы (решение о создании Компании или договор учредителей) и Устав;
2) Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты);
3) Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
4) Документы о платежеспособности:
Сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
5) Документы об уплате налогов и обязательных платежах:
5.1) Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба;
5.2) Сведения об участии должностных лиц Компании в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
6) О размерах имущества Компании и ее денежных средствах:
6.1) О вложении средств в доходные активы (ценные бумаги) других Компаний, в процентные облигации и займы, в уставные фонды совместных предприятий;
6.2) О кредитных, торговых и иных обязательствах Компании, вытекающих из законодательства РФ и заключенных ею договоров;
6.3) О договорах с кооперативами, иными негосударственными предприятиями, творческими и временными трудовыми коллективами, а также отдельными гражданами.
Под информацией, составляющей коммерческую тайнув соответствии с указанным законом, понимается научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства («ноу-хау»), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны. Таким образом, по смыслу законодательства, если на предприятии отсутствует введённый режим коммерческой тайны, то отсутствует и сама коммерческая тайна.
Классификация информации составляющей коммерческую тайну приведена на рисунке 1.
Рисунок 1 - Классификация коммерческой тайны
Коммерческую тайну составляют следующие сведения:
1) Информация об условиях сотрудничества (порядок, форма оплаты, предоставляемые скидки, условия доставки и т. д.) с действительными и потенциальными контрагентами, а также информация, составляющая базу данных о контрагентах предприятия, включая их наименования, адреса, банковские, почтовые, телефонные, телеграфные, отгрузочные и другие реквизиты, имена руководителей, главных бухгалтеров и других должностных лиц, а также их контактные телефоны.
2) Информация о сделках (текущих и планируемых), включая сведения о предварительных переговорах, условиях договоров и любых дополнениях к ним, порядке заключения и исполнения договоров, а также о достигнутых результатах по сделкам.
3) Данные оперативного бухгалтерского учёта и регистры бухгалтерского учёта, включая содержание аналитических счетов и проводок.
4) Бухгалтерские и планово-финансовые документы предприятия, а также выписки из документов, копии, дубликаты, дополнения и приложения, включая: финансовые планы, сметы, лимиты, нормативы и т. д.
5) Документы внутреннего и внешнего делопроизводства предприятия, а также выписки из документов, копии, дубликаты, дополнения и приложения, включая:
a) организационные документы предприятия: структуры, процедуры, положения, документы системы менеджмента качества;
b) распорядительные документы предприятия: приказы, распоряжения и указания, инструкции, задания, поручения, требования;
c) информационно-справочные документы предприятия: протоколы, акты, отчёты, планы, программы, обзоры, сводки, перечни и т. д.
6) Сведения, раскрывающие содержание программ обучения, программ и материалов семинаров, курсов, методических материалов, предназначенных для служебного пользования, и т. д.
7) Детализированные сведения об имуществе, в том числе и в его стоимостном выражении, включая информацию о наличии денежных средств на расчётном счёте, а также о его дебиторской и кредиторской задолженности предприятия.
8) Сведения, содержащие информацию о методах, средствах и способах анализа конъюнктуры рынка, а также данные (полученные и расчётные) по проведённому анализу (спроса, предложения и конкуренции), ценовой политике и планированию цен, анализу потребителей, планированию товаров (услуг), планированию сбыта и продвижения товаров (услуг), определению стратегии и тактики коммерческой деятельности предприятия.
9) Информация о методах и средствах поиска новых контрагентов и партнёров (покупателях, поставщиках, посредниках и т. д.).
10) Информация о содержании телефонных переговоров, переписки, факсимильных и иных сообщений, имеющих отношение к хозяйственной деятельности. Информация о содержании непосредственных переговоров в устной или любой письменной форме, проводимых администрацией и сотрудниками, с действительными или потенциальными партнёрами и контрагентами.
11) Информация о краткосрочных и долгосрочных планах, направлениях и прогнозах по развитию.
12) Сведения, раскрывающие систему, средства и методы обработки и защиты от несанкционированного доступа информации на средствах вычислительной техники, а также значения действующих кодов, шифров и паролей.
13) Сведения, раскрывающие предприятие, силы, средства и методы обеспечения безопасности, охраны его имущества, а также жизни и здоровья его сотрудников.
14) Сведения о проектировании, разработке, сооружении, установке и эксплуатации специальных охранных средств, средств пропуска и безопасности.
15) Сведения о местах расположения, назначении, степени готовности или защищённости объектов (земельных участков, зданий, помещений, складов, гаражей, офисов, кабинетов, подсобных помещений и др.), составляющих инфраструктуру предприятия, а также сведения о планируемых или проводимых изыскательских работах по созданию, приобретению, аренде или переоборудованию таких объектов.
16) Сведения о юридических лицах и индивидуальных предпринимателях и их коммерческой деятельности, полученные сотрудниками предприятия законным путём, в процессе организационного, экономического, коммерческого или иного мониторинга и анализа.
2. Обзор и анализ нормативно-правовых документов, регламентирующих защиту коммерческой тайны
Рисунок 2 - Нормативно-правовое обеспечение безопасности информационных технологий
Нормативно правовые документы:
1) Гражданский кодекс Российской Федерации ( части первая, вторая и третья) (с изменениями от 20 февраля, 12 августа 1996, 24 октября 97, 8 июля, 17 декабря 1999, 16 апреля, 15 мая 2001, 14, 26 ноября 2002, 10 января, 26 марта, 11 ноября, 23 декабря 2003);
2) Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (с изменениями от 24, 25 июля 2002 и 30 июня 2003);
3) Уголовный кодекс РФ от 13.06.96 № 63-ФЗ ФЗ (действующая редакция);
4) Арбитражный процессуальный кодекс Российской Федерации от 24 июля 2002 № 95-ФЗ;
5) Закон СССР «О предприятиях в СССР» от 4 июня 1990 года;
6) Закон РСФСР «О собственности в РСФСР» от 24 декабря 1990 года;
7) Закон РСФСР «О предприятиях и предпринимательской деятельности в РСФСР» от 25 декабря 1990 года;
8) Закон РФ «О конкуренции и ограниченной монополистической деятельности на товарных рынках» от 22 марта 1991 года;
9) ФЗ РФ «О безопасности» от 5 марта 1992 года № 2446-1;
10) Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
11) Федеральный закон от 23.06.99 № 117-ФЗ «О защите конкуренции на рынке финансовых услуг» (с изменениями от 30.12.2001);
12) Федеральный закон от 21.11.96 № 129-ФЗ «О бухгалтерском учёте» (с изменениями от 23 сентября 98 года, 28 марта, 31 декабря 2002, 10 января, 28 мая, 30 июня 2003);
13) Федеральный закон от 18.07.96 № 108-ФЗ «О рекламе» (с изменениями от 18 июня, 14 декабря, 30 декабря 2001);
14) Федеральный закон от 20.02.96 №24-ФЗ «Об информации, информатизации и защите информации» (с изменениями от 10.01.2003);
15) Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями от 27 июля 2010 г.);
16) Закон РФ от 21.07.93 № 5485-1 «о государственной тайне» (с изменениями от 6 октября 97 года, 30 июня, 11 ноября 2003);
17) Закон РФ от 11.03.92 № 2490-1 « о коллективных договорах и соглашениях» ( с изменениями от 24.11.95, 1.05.99, 30.12.2001);
Подзаконные нормативные акты:
18) Указ Президента РФ от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера»;
19) Указ президента РФ «О мерах по обеспечению информационной безопасности РФ в сфере международного и информационного обмена» от 12.05.2004 № 611;
20) Постановление Правительства РФ «О сертификации средств защиты информации от 26 июня 1995 года № 608;
21) Постановление Правительства РФ «О Лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 31 августа 2006 года № 532;
22) Постановление Федеральной комиссии по рынку ценных бумаг от 16.07.2003 № 03-33/пс;
Организационно-технические документы:
23) Специальные требования и рекомендации по технической защите конфиденциальной информации. (Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г.);
24) Положение о порядке и сроках хранения документов акционерных обществ;
25) Положение по ведению бухгалтерского учёта и бухгалтерской отчётности в РФ, утверждено приказом Минфина России от 29.07.98 № 34н;
26) Положение о сертификации средств защиты информации, утверждённое постановлением Правительства РФ от 26.06.95 № 608 ( с изменениями от 23.04.96, 29.03.99);
27) Положение о подрядных торгах в РФ, утверждённое распоряжением от 13.04.93 № 660-р/18-7 Госкомимущества России и Госстроя России (с изменениями от 18.10.94).
3. Типизация АС обработки коммерческой тайны
Классификация АС проведена в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденным решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992, а также решением Коллегии Гостехкомиссии России № 7.2/02.03.01г. на основании документа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К).
Рисунок 3 - Типизация АС
4. Конфигурация автоматизированной системы обработки коммерческой тайны
1) Информационные ресурсыАС на базе автономного АРМ с разделением прав доступа приведены на рисунке 4.
Рисунок 4 - Информационные ресурсы АС на базе автономного АРМ с разделением прав доступа
2) Информационные ресурсыАС на базе ЛВС без выхода в сети общего пользования представлены на рисунке 5.
Рисунок 5 - Информационные ресурсы АС на базе ЛВС без выхода в сети общего пользования
3) Информационные ресурсыАС на базе ЛВС с выходом в сети общего пользования представлены на рисунке 6.
Рисунок 6 -Информационные ресурсы АС на базе ЛВС с выходом в сети общего пользования
Таблица 1- Матрица уровней исходной защищённости типов АС коммерческой тайны
Технические и эксплуатационные характеристики |
Однопользовательские АС на базе автономного АРМ с одним уровнем доступа (3Б,3А) |
Многопользовательские АС на базе ЛВС с одинаковыми правами доступа, без выхода в сети общего пользования (2Б) |
Многопользовательские АС на базе ЛВС с одинаковыми правами доступа, с выходом в сети общего пользования (2А) |
Многопользовательские АС на базе ЛВС с разделением прав доступа, без выхода в сети общего пользования (1В, 1Г, 1Д) |
Многопользовательские АС на базе ЛВС с разделением прав доступа, с выходом в сети общего пользования (1А, 1Б) |
|
1 |
2 |
3 |
4 |
5 |
6 |
|
По территориальному размещению |
средний |
средний |
средний |
средний |
средний |
|
По наличию соединения с сетями общего пользования |
высокий |
высокий |
средний |
высокий |
средний |
|
По встроенным (легальным) операциям с записями баз коммерческой тайны |
средний |
средний |
средний |
средний |
средний |
|
По разграничению доступа к коммерческой тайне |
средний |
средний |
средний |
средний |
средний |
|
По наличию соединений с другими базами коммерческой тайны иных АС |
высокий |
высокий |
высокий |
высокий |
высокий |
|
Уровень защищенности |
средний |
средний |
средний |
средний |
средний |
Размещено на http://www.allbest.ru/
5. Алгоритм разработки системы защиты АС обработки коммерческой тайны
Алгоритм разработан в соответствии с требованиями ГОСТ Р 51583-2000. «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», РД «Специальные требования и рекомендации по технической защите конфиденциальной информации», утвержденным Гостехкомиссией России, национальными стандартами РФ ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» и ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а так же соответствующим международным стандартам ISO/IEC 17799:2000 и ISO/IEC 27001:2005 и приведен на рисунке 7.
Размещено на http://www.allbest.ru/
Рисунок 7 - Алгоритм разработки политики информационно безопасности
1. Предпроектная стадия
Стадия включает этапы:
1.1 Предпроектное обследование защищаемых объектов информатизации:
1. Формирование комиссии обследования и назначение руководителя.
2. Определение перечня сведений, составляющих коммерческую тайну подлежащих защите от НСД и от утечки по техническим каналам.
3. Проведение анализа внутриобъектового режима защиты объектов информатизации:
Проведение анализа территориального расположения и режима функционирования объекта защиты.
Проведение анализа организации физической охраны, пропускного и внутриобъектового режимов объекта защиты;
Определение перечня выделенных помещений, подлежащих защите;
Определение условий расположения объектов информатизации относительно границ КЗ;
Проведение анализа конструктивных элементов защищаемых помещений на соответствие требованиям к необходимым классам защиты в зависимости от подгруппы защищаемого объекта;
4. Проведение обследования (специального обследования) защищаемых объектов на выявление каналов НСД к коммерческой тайне:
Проведение анализа организационной структуры объекта защиты;
Проведение анализа установленной системы допуска персонала к коммерческой тайне и документам, составляющим коммерческую тайну. Проведение анализа установленной ответственности персонала за обеспечение безопасности коммерческой тайны.
Определение конфигурации и топологии автоматизированных систем обработки коммерческой тайны и систем связи;
Определение технических средств и систем, предполагаемых к использованию вАС и системах связи, условий их расположения;
Определение общесистемных и прикладных программных средств обработки коммерческой тайны;
Определение режимов обработки информации, характеристик АС и класса защищенности АС.
5 Проведение обследования (специального обследования) защищаемых объектов на выявление технических каналов утечки коммерческой тайны:
За пределами контролируемой зоны (КЗ):
5.1 Установление месторасположения трансформаторной подстанции, электрощитовой, распределительных щитов.
5.2 Определение соединительных линий вспомогательных технических средств и систем (линий телефонной связи, оповещения, систем охранной и пожарной сигнализации, часофикации и т.п.), выходящие за пределы контролируемой зоны,
5.3 Определение помещений, смежных с защищаемыми и находящимися за пределами контролируемой зоны.
5.4 Проведение оценки возможности ведения из близлежащих зданий разведки с использованием направленных микрофонов и лазерных акустических систем разведки, а также средств визуального наблюдения и съемки.
5.5 Проведение оценки возможности приема информации, передаваемой сетевыми закладками (при их установке в защищаемых помещениях), за пределами контролируемой зоны.
В контролируемой зоне (КЗ):
5.6 Определение мест установки на объектах информатизации технических средств обработки информации и прокладки их соединительных линий.
5.7 Проведение оценки возможности перехвата информации, обрабатываемой техническими средствами, специальными техническими средствами по электромагнитным и электрическим каналам утечки информации.
5.8 Проведение оценки возможности утечки речевой информации из защищаемых помещений по акустовибрационным каналам.
5.9 Проведение технического контроля по оценке реальных экранирующих свойств конструкций здания звуко- и виброизоляции помещений.
6 Определение мероприятий по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.
Предпроектное обследование защищаемого объекта проводится комиссией, назначенной руководителем предприятия (организации, фирмы) или специализированной сторонней организацией, имеющей соответствующую лицензию сзаключением соответствующих договоров на проведение работ по обследованию защищаемых объектов.
Результатами проведения этапа предпроектного обследования являются:
- Отчет о результатах обследования объектов информатизации на выявление технических каналов утечки коммерческой тайны.
- Отчет о результатах обследования объектов информатизации на выявление каналов НСДккоммерческой тайне.
1.2 Разработка аналитического обоснования необходимости создания СЗАС.
Процесс разработки аналитического обоснования включает этапы:
1. Определение перечня сведений, подлежащих защите (перечень сведений составляющих коммерческую тайну утверждается руководителем организации).
2. Определение системы допуска персонала к коммерческой тайне и документам, составляющим коммерческую тайну.
3. Разработка матрицы доступа персонала к сведениям, составляющим коммерческую тайну, подлежащих защите.
4. Определение модели вероятного нарушителя.
5. Проведение классификации и категорирования объектов информатизации и выделенных помещений.
6. Обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования и внедрения СЗАС;
7. Проведения оценки материальных, трудовых и финансовых затрат на разработку и внедрение СЗАС.
8. Определение сроков разработки и внедрения СЗАС.
Результаты аналитического обоснования необходимости создания СЗАС оформляются в виде пояснительной записки, которая включает:
1. Перечень сведений составляющих коммерческую тайну с указанием их уровня конфиденциальности;
2. Перечень сотрудников предприятия, допущенных до коммерческой тайны, с указанием их режима доступа;
3. Матрица доступа к коммерческой тайне;
4. Информационную характеристику и организационную структуру объектов защиты;
5. Перечень объектов информатизации, подлежащих защите;
6. Перечень выделенных помещений, подлежащих защите;
7. Перечень и характеристики технических средств обработки коммерческой тайны с указанием их места установки;
8. Перечень и характеристики вспомогательных технических средств и систем с указанием их места установки;
9. Предполагаемый уровень оснащения вероятного нарушителя;
10. Перечень технических каналов утечки информации, подлежащие закрытию (устранению);
11. План организационных мероприятий по закрытию технических каналов утечки информации;
12. Перечень и характеристики предлагаемых к использованию технических средств защиты информации с указанием их места установки;
13. Методы и порядок контроля эффективности защиты информации;
14. Обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования;
15. Оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗАС;
16. Ориентировочные сроки разработки и внедрения СЗАС;
17. Перечень мероприятий по обеспечению конфиденциальности информации, составляющей коммерческую тайну на стадии проектирования СЗАС.
Результатом этапа разработки аналитического обоснования необходимости создания СЗАС является пояснительная записка. Пояснительная записка подписывается руководителем комиссии, проводившей аналитическое обоснование, согласовывается с руководителем службы безопасности и утверждается руководителем предприятия.
1. Техническое (частное техническое) задание на создание СЗАС.
ТЗ включает этапы:
1. Разработка технического задания на создание СЗАС.
2. Согласование и утверждение ТЗ.
Документ Техническое задание (ТЗ) на разработку СЗАС должно содержать:
1. Обоснование разработки;
2. Исходные данные объекта защиты в техническом, программном, информационном и организационном аспектах;
3. Источники разработки СЗАС;
4. Требования к СЗАС;
5. Перечень предполагаемых к использованию технических средств защиты информации;
6. Состав, содержание и сроки проведения работ по этапам разработки и внедрения;
7. Перечень подрядных организаций - исполнителей различных видов работ;
8. Перечень предъявляемой заказчику научно-технической продукции и документации.
Результатом выполнения стадии является документ Техническое задание на проектирование СЗАС защищаемого объекта, согласованный с проектной организацией, службой (специалистом) безопасности предприятия - заказчика и утвержденный руководителем предприятия - заказчика.
2. Разработка технорабочего проекта
Технорабочий проект включает этапы:
1. Создание и утверждение плана организационно-технических мероприятий по защите информации.
2. Разработка организационных и технических мероприятий по уровням детализации политики информационной безопасности:
2.1 Уровень «Организационная безопасность»:
- Управление политикой информационной безопасности;
- Распределение обязанностей по обеспечению информационной безопасности;
- Регламентация процесса использования средств обработки коммерческой тайны;
- Аудит информационной безопасности;
- Регламентация работы со сторонними организациями.
2.2 Уровень «Управление информационными активами»:
- Учет активов;
- Классификация информации.
2.3 Уровень «Управление персоналом»:
- Подбор персонала;
- Включение вопросов ИБ в должностные обязанности;
- Обучение персонала;
- Реагирование на инциденты нарушения ИБ и сбои ПО.
2.4 Уровень «Физическая защита и защита от воздействий окружающей среды»:
- Обеспечение безопасности охраняемых зон.
- Контроль доступа в охраняемые зоны.
- Расположение и защита оборудования.
- Обеспечение защиты электропитания и безопасности кабельной сети от повреждения и перехвата информации.
- Организация технического обслуживания оборудования.
2.5 Уровень «Безопасное администрирование систем и сетей»:
- Операционные процедуры и обязанности.
- Защита от вредоносного программного обеспечения.
- Резервирование информации.
- Управление безопасностью сети.
- Обмен информацией и программным обеспечением.
2.6 Уровень «Управление контролем доступа пользователя»:
- Управление контролем доступа пользователя.
- Контроль сетевого доступа.
- Контроль доступа к операционной системе.
- Контроль доступа к приложениям.
- Мониторинг доступа и использования системы.
- Работа с переносными устройствами и работа в дистанционном режиме.
- Безопасность в процессах разработки и поддержки прикладных систем и информации.
3. Проведение закупки сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации и их установка.
4. Проведение закупки сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка.
5. Разработка эксплуатационной документации на объекты информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов).
Результатом выполнения стадии является Политика информационной безопасности предприятия и система защиты АС.
4. Ввод в эксплуатацию системы защиты АС
Стадия включает этапы:
1 Проведение опытной эксплуатации СЗАС в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.
2 Проведение приемо-сдаточных испытаний СЗАСпо результатам опытной эксплуатации.
3 Проведение оценки защищенности объектов информатизациипо требованиям информационной безопасности.
В результате выполнения стадии создаются я и утверждаются:
1 Акты внедрения СЗАСпо результатам приемо-сдаточных испытаний.
2 Акты соответствия объектов информатизации требованиям информационной безопасности.
6. Матрица модели нарушителя
Нарушители безопасности коммерческой тайны представлены на рисунке 8.
Рисунок 8 - Нарушители безопасности коммерческой тайны
По признаку принадлежности к АС управления коммерческой тайной все нарушители делятся на две группы: внутренние, имеющие непосредственный доступ к АС управления коммерческой тайной, и внешние, без прямого доступа к АС управления коммерческой тайной - реализующие угрозы из внешних сетей связи.
Внешний нарушитель
Это постороннее лицо или сотрудник, не имеющий санкционированного доступа к АСуправлениякоммерческой тайной, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор радиоэлектронных способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования.
Категории лиц, которые могут быть внешними нарушителями:
1) уволенные сотрудники;
2) недобросовестные конкуренты;
3) посетители (приглашенные представители организаций, граждане) представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
4) члены преступных организаций или лица, действующие по их заданию.
Внутренний нарушитель
Это сотрудник предприятия, зарегистрированный как пользователь АС управления коммерческой тайной, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками предприятия. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне - из сетей общего пользования.
Внутренним нарушителем может быть лицо из следующих категорий персонала предприятия:
1) сотрудники предприятия;
2) персонал, обслуживающий технические средства АС управления коммерческой тайной (инженеры, техники);
3) технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АС управления коммерческой тайной);
4) лица, ответственные за обеспечение безопасности вАС управления коммерческой тайной;
5) руководители различных уровней.
коммерческий тайна защита автоматизированный
Таблица 2 - Матрица модели вероятного нарушителя безопасности коммерческой тайны
Нарушители |
Однопользовательские АС на базе автономного АРМ с одним уровнем доступа (3Б,3А) |
Многопользовательские АС на базе ЛВС с одинаковыми правами доступа, без выхода в сети общего пользования (2Б) |
Многопользовательские АС на базе ЛВС с одинаковыми правами доступа, с выходом в сети общего пользования (2А) |
Многопользовательские АС на базе ЛВС с разделением прав доступа, без выхода в сети общего пользования (1В, 1Г, 1Д) |
Многопользовательские АС на базе ЛВС с разделением прав доступа, с выходом в сети общего пользования (1А, 1Б) |
||
Внешние |
Члены преступных организаций или лица, действующие по их заданию |
Нет |
Да |
Да |
Да |
Да |
|
Посетители |
Нет |
Да |
Да |
Да |
Да |
||
Уволенные сотрудники |
Нет |
Да |
Да |
Да |
Да |
||
Недобросовестные конкуренты |
Нет |
Да |
Да |
Да |
Да |
||
Внутренние |
Руководители различных уровней |
Да |
Да |
Да |
Да |
Да |
|
Лица, ответственные за обеспечение безопасности вАС управления коммерческой тайной |
Да |
Да |
Да |
Да |
Да |
||
Персонал, обслуживающий технические средства АС управления коммерческой тайной |
Нет |
Нет |
Да |
Да |
Да |
||
Технический персонал, обслуживающий здания |
Да |
Да |
Да |
Да |
Да |
||
Сотрудники предприятия |
Да |
Да |
Да |
Да |
Да |
7. Матрица модели угроз АС обработки коммерческой тайны
Под угрозой безопасности АС обработки информации понимается возможность воздействия на АС, которое прямо или косвенно может нанести ущерб ее безопасности. Рассмотрение возможных угроз информационной безопасности проводится с целью определения полного набора требований к разрабатываемой системе зашиты.
Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты АС. Кроме выявления возможных угроз, целесообразно проведение анализа этих угроз на основе их классификации по ряду признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. Угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование. Классификация угроз безопасности коммерческой тайны приведена на рисунке 9. Матрица модели угроз информационной безопасности представлена в таблице 3.
Рисунок 9 - Угрозы безопасности коммерческой тайны
Таблица 3 - Матрица модели угроз информационной безопасности
Наименование угрозы |
Однопользовательские АС на базе автономного АРМ с одним уровнем доступа (3Б,3А) |
Многопользовательские АС на базе ЛВС с одинаковыми правами доступа, без выхода в сети общего пользования |
Многопользовательские АС на базе ЛВС с одинаковыми правами доступа, с выходом в сети общего пользования (2А) |
Многопользовательские АС на базе ЛВС с разделением прав доступа, без выхода в сети общего пользования (1В, 1Г, 1Д) |
Многопользовательские АС на базе ЛВС с разделением прав доступа, с выходом в сети общего пользования (1А, 1Б) |
|
1 |
2 |
3 |
4 |
5 |
6 |
|
Объективные факторы, воздействующие на безопасность защищаемой информации |
||||||
Внутренние факторы |
||||||
1. Угрозы утечки акустической информации |
Неактуальная |
Неактуальная |
Неактуальная |
Неактуальная |
Неактуальная |
|
2. Угрозы утечки видовой информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
3. Передача сигналов по линиям |
Неактуальная |
Неактуальная |
Актуальная |
Неактуальная |
Актуальная |
|
4. Побочные электромагнитные излучения (элементов (устройств) ТС ОИ; на частотах работы высокочастотных генераторов устройств, входящие в состав ТС ОИ; на частотах самовозбуждения усилителей, входящих в состав ТС ОИ) |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
5. Паразитное электромагнитное излучение |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
6. Наводка (в электрических цепях ТС, имеющих выход за пределы ОИ; в линиях связи; в цепях электропитания; в цепях заземления; в технических средствах, проводах, кабелях и иных токопроводящих коммуникациях и конструкциях, гальванически не связанных с ТС ОИ, вызванная побочными и (или) паразитными электромагнитными излучениями, несущими информацию) |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
7. Наличие акустоэлектрических преобразователей в элементах ТС ОИ |
Неактуальная |
Неактуальная |
Неактуальная |
Неактуальная |
Неактуальная |
|
8. Дефекты, сбои и отказы, аварии технических средств и систем объекта информатизации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
9. Дефекты, сбои и отказы программного обеспечения объекта информатизации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Внешние факторы |
||||||
1. Явления техногенного характера (сбои, отказы, аварии систем обеспечения ОИ) |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
2. Природные явления, стихийные бедствия |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Субъективные факторы, воздействующие на безопасность защищаемой информации |
||||||
Внутренние факторы |
||||||
Разглашение защищаемой информации лицами, имеющими к ней право доступа через: |
||||||
-лиц, не имеющих права доступа к защищаемой информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-передачу информации по открытым линиям связи |
Неактуальная |
Неактуальная |
Актуальная |
Неактуальная |
Актуальная |
|
-обработку информации на незащищенных ТС обработки информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-опубликование информации в открытой печати и других средствах массовой информации |
Неактуальная |
Неактуальная |
Неактуальная |
Неактуальная |
Неактуальная |
|
-копирование информации на незарегистрированный носитель информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-передачу носителя информации лицам, не имеющим права доступа к ней |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-утрату носителя информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации, путем: |
||||||
-несанкционированного изменения информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-несанкционированного копирования защищаемой информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-подключения к техническим средствам и системам ОИ |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-использования закладочных устройств |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-использования программного обеспечения технических средств ОИ |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-хищения носителя защищаемой информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-нарушения функционирования ТС обработки информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Недостатки организационного обеспечения защиты информации при: |
||||||
-создании требований по защите информации (требования противоречивы, не обеспечивают эффективную защиту информации и т.д.) |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-несоблюдении требований по защите информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-контроле эффективности защиты информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Ошибки обслуживающего персонала ОИ при: |
||||||
-эксплуатации ТС |
Актуальная |
Актуальная |
Актуальная |
Неактуальная |
Актуальная |
|
-эксплуатации программных средств |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-эксплуатации средств и систем защиты информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Внешние факторы |
||||||
Доступ к защищаемой информации с применением технических средств: |
||||||
-разведки (радиоэлектронной, оптико-электронной, акустической и др.) |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-съема информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Несанкционированный доступ к защищаемой информации путем: |
||||||
-подключения к техническим средствам и системам |
Неактуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-использования закладочных устройств |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-использования программного обеспечения технических средств ОИ (внесение программных закладок, применение вирусов и другого вредоносного кода и др.) |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-несанкционированного физического доступа к ОИ |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-хищение носителя информации |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Блокирование доступа к защищаемой информации путем перезагрузки технических средств обработки информации ложными заявками на ее обработку |
||||||
3. Блокирование доступа к защищаемой информации путем перезагрузки технических средств обработки информации ложными заявками на ее обработку |
Неактуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Действия террористических группировок |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
Искажение, уничтожение и блокирование информации с применением технических средств путем: |
||||||
-преднамеренного силового электромагнитного воздействия |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-преднамеренного силового воздействия различной физической природы |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-использования программных и программно-аппаратных средств |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
|
-воздействия программными средствами в комплексе с преднамеренным силовым электромагнитным воздействием |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
Актуальная |
8. Матрица мероприятий АС
Разработка организационных и технических мероприятий по уровням детализации политики информационной безопасности представлена на рисунках 10 - 21. Типовая матрица мероприятий по обеспечению информационной безопасности предприятия приведена в таблице 4.
Рисунок 10 - Политика информационной безопасности
Рисунок 11 - Организационная безопасность
Рисунок 12 - Управление информационными активами
Рисунок 13 - Управление персоналом
Рисунок 15 - Физическая защита от воздействий окружающей среды
Рисунок 16 - Физическая защита от воздействий окружающей среды
Рисунок 17 - Физическая защита от воздействий окружающей среды
Рисунок18 - Управление передачей данных и средствами обработки КТ
Рисунок19 - Управление передачей данных и средствами обработки КТ
Рисунок 20 - Управление контролем доступа пользователя
Рисунок 21 - Управление контролем доступа пользователя
Таблица 4 -Матрица мероприятий по обеспечению информационной безопасности предприятия.
Направление |
Мероприятие |
Организационно-распорядительные и нормативные документы предприятия |
|
1 |
2 |
3 |
|
Политика информационной безопасности |
|||
Разработка политики ИБ |
9. Разработка общей политики ИБ предприятия. |
Концепция политики информационной безопасности АС. |
|
1. |
Политика информационной безопасности предприятия. |
||
1. |
Частная модель угроз АС. |
||
1. |
Модель вероятного нарушителя. |
||
10. Разработка организационных и технических мероприятий по уровням детализации общей политики ИБ: - «Организационная безопасность»; - «Управление информационными активами»; - «Управление персоналом»; - «Физическая защита и защита от воздействий окружающей среды»; - «Безопасное администрирование систем и сетей»; - «Управление контролем доступа пользователя». |
|||
Утверждение и внедрение политики ИБ |
1. Введение режима защиты КТ. |
Приказ о введении режима защиты КТ. |
|
2. Назначение сотрудника, ответственного за защиту КТ. |
Приказ о назначении сотрудника, ответственного за защиту КТ. |
||
3. Создание и утверждение организационно-распорядительных документов. |
Приказ об утверждении и вводе в действие концепции и политики информационной безопасности предприятия. |
||
1. |
Приказ об утверждении и вводе в действие частной модель угроз АС. |
||
1. |
Приказ об утверждении и вводе в действие модели вероятного нарушителя. |
||
4. Разработка и ведение учетных документов. |
Журнал учета изданных конфиденциальных документов. |
||
Мониторинг политики ИБ |
1. Поддержание в актуальном состоянии политики информационной безопасности. |
||
2. Разработка и утверждение графика периодического пересмотра политики ИБ. |
График периодического пересмотра политики ИБ. |
||
3. Контроль соблюдения режима защиты КТ. |
График контроля соблюдения режима защиты КТ. |
||
4. Контроль за соблюдением режима защиты КТ при подключении к сетям общего пользования. |
График контроля соблюдения режима защиты КТ при подключении к сетям общего пользования. |
||
5. Создание и утверждение организационно-распорядительных документов. |
Приказ об утверждении графика контроля соблюдения режима защиты КТ. |
||
1. |
Приказ об утверждении графика периодического пересмотра политики ИБ. |
||
1. |
Приказ об утверждении графика контроля соблюдения режима защиты КТ при подключении к сетям общего пользования. |
||
6. Разработка и ведение учетных документов. |
Журнал учета проверок соблюдения режима защиты КТ. |
||
Организационная безопасность |
|||
Управление информационной безопасности |
1. Назначение и утверждение состава и председателя экспертной комиссии (ЭК). |
Приказ о создании экспертной комиссии и назначении председателя ЭК. |
|
2. Разработка положения об экспертной комиссии. |
Положение об экспертной комиссии. |
||
3. Разработка должностных инструкций членов экспертной комиссии. |
Должностная инструкция председателя и членов экспертной комиссии. |
||
4. Создание и утверждение годового плана работы ЭК. |
План работы экспертной комиссии. |
||
5. Создание и утверждение организационно-распорядительных документов. |
Приказ об утверждении и вводе в действие положения об экспертной комиссии. Приказ об утверждении и вводе в действие должностной инструкции председателя и членов экспертной комиссии. Приказ об утверждении и вводе в действие плана работы экспертной комиссии. |
||
Распределение обязанностей по обеспечению ИБ |
1. Назначение ответственного за защиту КТ. |
||
2. Составление списка сотрудников, допущенных к обработке КТ. |
Список сотрудников, допущенных к обработке КТ. |
||
3. Создание и утверждение организационно-распорядительных документов. |
Приказ о назначении сотрудника, ответственного за защиту КТ. Приказ об утверждении списка сотрудников, допущенных к обработке КТ. |
||
Регламентация процесса использования средств обработки информации |
1. Создание перечня сертифицированных технических, программно-аппаратных и программных средств защиты КТ. |
Перечень сертифицированных технических, программно-аппаратных и программных средств защиты КТ. Сертификаты соответствия требованиям по информационной безопасности на используемые средства защиты информации. |
|
2. Создание и утверждение организационно-распорядительных документов. |
Приказ об утверждении перечня сертифицированных средств защиты КТ. |
||
Аудит информационной безопасности |
1. Назначение сотрудника (комиссии) для проведения аудита. |
||
2. Проведение проверки эффективности политики информационной безопасности предприятия внутренним аудитом. |
План внутренних проверок состояния системы защиты КТ. Отчет о результатах проведения внутренней проверки состояния системы защиты КТ. |
||
3. Разработка инструкции о порядке проведения аудита ИБ внутренним аудитором. |
Инструкция о порядке проведения аудита информационной безопасности внутренним аудитором |
||
4. Создание и утверждение организационно-распорядительных документов. |
Приказ об утверждении плана внутренних проверок состояния системы защиты КТ. Приказ об утверждении отчета о результатах проведения внутренней проверки состояния системы защиты КТ. Приказ об утверждении инструкции о порядке проведения аудита информационной безопасности внутренним аудитором. |
||
Регламентация работы со сторонними организациями |
1. Заключение договоров со сторонними лицами и организациями на выполнение работ с включением требований безопасности. |
Договор со сторонней организацией, регламентирующий выполнение работ на территории контролируемой зоны предприятия. Копии лицензий организаций, выполняющих работы, на право проведения работ по защите информации и аттестации (копия аттестата аккредитации) объектов информатизации. |
|
Управление информационными активами |
|||
Учет активов |
1. Проведение инвентаризации активов на предприятии. |
||
2. Проведение инвентаризации информационных ресурсов АС. |
|||
3. Разработка положения о порядке учета, обработки, маркировки, хранения и уничтожения документов и носителей, содержащих КТ. |
Положение о порядке учета, обработки, маркировки, хранения и уничтожения документов и носителей, содержащих КТ. |
||
4. Создание и утверждение организационно-распорядительных документов. |
Приказ об утверждении и вводе в действие положения о порядке учета, обработки, маркировки, хранения и уничтожения документов и носителей, содержащих КТ. |
||
Классификация информации |
1. Разработка инструкции о порядке проведения классификации информации, о порядке проведения классификации ресурсов АС. |
Инструкция о порядке проведения классификации информации и ресурсов АС. |
|
2. Проведение классификации КТ, АС и информационных ресурсов АС. |
Перечень КТ, подлежащих защите. Перечень документов, содержащих КТ. Перечень информационных ресурсов АС. Перечень АРМ, обрабатывающих КТ. Перечень АС. Акт классификации АС. Технический паспорт АС. |
||
3. Создание и утверждение организационно-распорядительных документов. |
Приказ об утверждении и вводе в действие инструкции о порядке проведения классификации информации и ресурсов АС. Приказ об утверждении перечня КТ, подлежащих защите. Приказ об утверждении перечня документов, содержащих КТ. Приказ об утверждении перечня информационных ресурсов АС. |
||
4. Разработка и ведение учетных документов. |
Журнал учета изданных конфиденциальных документов. Журнал учета машинных носителей конфиденциальной информации (документов). |
||
Управление персоналом |
|||
Подбор персонала |
|||
Включение вопросов ИБ в должностные обязанности |
1. Дополнение трудовых договоров правилами обеспечения ИБ. |
Форма трудового договора с учетом правил обеспечения ИБ. Соглашение о неразглашении КТ. |
|
Обучение персонала |
1. Назначение сотрудника, ответственного за обучение и подготовку персонала по вопросам защиты КТ. |
||
2. Назначение комиссии для проведения проверки знаний по обеспечению защиты КТ. |
|||
3. Проведение обучения и инструктажей сотрудников по вопросам обеспечения защиты КТ. |
График проведения инструктажа и обучения по обеспечению защиты КТ. Протокол результатов проверки знаний по обеспечению защиты КТ. |
||
4. Разработка и ведение учетных документов. |
Журнал регистрации обучения по вопросам защиты КТ. Журнал регистрации инструктажа на рабочем месте по обеспечению защиты КТ. |
||
5. Создание и утверждение организационно-распорядительных документов. |
Приказ о назначении сотрудника, ответственного за обучение и подготовку персонала. Приказ о назначении комиссии для проведения проверки знаний по обеспечению защиты КТ. Приказ об утверждении и вводе в действие графика проведения инструктажа и обучения по обеспечению защиты КТ. |
||
Реагирование на инциденты нарушения ИБ и сбои ПО |
1. Назначение комиссии для разбора инцидентов нарушения ИБ. |
||
2. Создание отчетов и актов о расследовании инцидентов нарушения ИБ и сбоев программного обеспечения. |
Отчет о расследовании инцидента нарушения ИБ и сбоев ПО. |
||
3. Разработка положения о порядке реагирования на инциденты нарушения ИБ и сбои/ |
Положение о порядке реагирования на инциденты нарушения ИБ и сбои ПО. |
||
4. Информирование сотрудников об инцидентах нарушения ИБ, проблемах ИБ и сбоях ПО. |
|||
5. Разработка и ведение учетных документов. |
Журнал регистрации инцидентов нарушения ИБ. |
||
6. Создание и утверждение организационно-распорядительных документов. |
Приказ о назначение комиссии для разбора инцидента нарушения ИБ. Приказ об утверждении и вводе в действие положения о порядке реагирования на инциденты нарушения ИБ и сбои ПО. |
||
Физическая защита и защита от воздействий окружающей среды |
|||
Обеспечение безопасности охраняемых зон |
1. Установление границ и разработка плана контролируемой зоны объекта защиты. |
План контролируемой зоны предприятия. |
|
2. Создание перечня защищаемых помещений. |
Перечень защищаемых помещений. |
||
3. Приведение защищенности конструктивных элементов объекта защиты и защищаемых помещений в соответствии с требованиями РД 78.36.003-2002: - Установление основного ограждения требуемого класса защиты; - Установление ворот требуемого класса защиты; - Установление (усиление) дверных конструкций требуемого класса защиты; - Установление оконных конструкций требуемого класса защиты; - Установление запирающих устройств требуемого класса защиты. |
|||
4. Создание контрольно-пропускной системы. |
Инструкция о порядке сдачи под охрану и приема из-под охраны защищаемых помещений. |
||
5. Установка системы пожаротушения. |
Инструкция о порядке действий должностных лиц при пожаре, аварии или стихийном бедствии в защищаемых помещениях. |
||
6. Установка систем кондиционирования. |
|||
7. Разработка положения об организации пропускного и внутриобъектового режимов. |
Положение об организации пропускного и внутриобъектового режимов предприятия. |
||
8. Разработка технических паспортов на защищаемые помещения. |
Технические паспорта защищаемых помещений. |
||
9. Создание и утверждение организационно-распорядительных документов. |
Приказ об утверждении плана контролируемой зоны предприятия. Приказ об утверждении перечня защищаемых помещений. Приказ об утверждении и вводе в действие положения об организации пропускного и внутриобъектового режимов предприятия. Приказ об утверждении и вводе в действие инструкциио порядке сдачи под охрану и приема из-под охраны защищаемых помещений. Приказ об утверждении и вводе в действие инструкции о порядке действий должностных лиц при пожаре, аварии или стихийном бедствии в защищаемых помещениях. |
||
10. Разработка и ведение учетных документов. |
Журнал регистрации посетителей. Журнал регистрации ключей. |
||
Технические мероприятия 1. Звукоизолирование стен, дверей и окон. |
|||
2. Установка системы акустической и виброакустической защиты. |
Акт установки и ввода в эксплуатацию системы акустической и виброакустической защиты. Инструкция по эксплуатации технических средств системы акустической и виброакустической защиты для пользователей и ответственных за защиту КТ на объекте информатизации. |
||
3. Установка пространственной системы низкочастотного зашумления. |
Подобные документы
Перечень сведений, составляющих коммерческую тайну. Политика информационной безопасности. Основные положения информационной безопасности фирмы. План мероприятий по защите коммерческой тайны. Мероприятия по защите информации в компьютерной сети.
курсовая работа [2,0 M], добавлен 17.02.2011Понятие государственной и коммерческой тайны. Основные нормативные документы по оценке информационной безопасности. Потенциальные угрозы безопасности информации в локальных вычислительных сетях. Криптография и ее применение. Защита от удаленных атак.
курсовая работа [37,3 K], добавлен 24.03.2013Роль информации в коммерческой деятельности. Стратегия коммерческой информации. Общая характеристика и значение автоматизированных банков данных. Особенности информационных продуктов и услуг на технических носителях. Специфика применения видеотекста.
реферат [28,4 K], добавлен 18.11.2010Разработка проекта по созданию базы данных для автоматизации коммерческой деятельности ТЦ Гипермаркет. Исследование заданной предметной области и выбор наиболее существенных атрибутов. Построение концептуальной инфологической модели предметной области.
курсовая работа [889,4 K], добавлен 04.04.2011Определение класса защищённости АС. Разработка модели угроз. Выбор механизмов и средств защиты информационных ресурсов от несанкционированного доступа. Создание структуры каталогов для заданного количества пользователей автоматизированной системы.
курсовая работа [9,7 M], добавлен 12.05.2014Обзор и анализ способов защиты от ошибок и принципы помехоустойчивого кодирования. Проектирование локальной вычислительной сети для компьютеризации рабочих мест персонала коммерческой организации. Выбор топологии сети, оборудования и кабельной системы.
курсовая работа [428,4 K], добавлен 29.04.2015Информационная безопасность телекоммуникационных систем. Проблемы, связанных с информационной безопасностью. Технология анализа защищённости, обнаружения воздействия нарушителя, защиты информации от НСД, антивирусной защиты. Формирование банка данных.
реферат [58,9 K], добавлен 27.02.2009Класс защищённости разрабатываемой подсистемы. Горизонтальная и вертикальная модели сети и меры по устранению в ней угроз безопасности. Основные организационные мероприятия, направленные на повышение уровня информационной безопасности на предприятии.
курсовая работа [25,2 K], добавлен 28.11.2008Организационно-правовое обеспечение, виды, средства и методы защиты информации, основные объекты и степень их значимости. Классификация технических средств защиты, их достоинства и недостатки. Методы, используемые в защите государственной тайны.
курсовая работа [952,6 K], добавлен 13.05.2009Исследование бизнес-процессов, автоматизируемых и реорганизуемых в результате внедрения ЭИС, реализация ее клиентской части. Технология ведения учета и анализа коммерческой деятельности организации. Общие вопросы обеспечения информационной безопасности.
дипломная работа [4,2 M], добавлен 10.04.2017