Обеспечение информационной безопасности объекта информатизации при использовании аппаратных средств


ГЛАВА 2. Организация функционирования подсистемы аппаратной Защиты информации



страница11/12
Дата14.02.2020
Размер0.68 Mb.
Название файлакурс.docx
ТипКурсовая
1   ...   4   5   6   7   8   9   10   11   12
ГЛАВА 2. Организация функционирования подсистемы аппаратной Защиты информации

2.1 Нормативно-правовая база создания аппаратных и программных средств защиты информации


Главенствующим документом России, нормирующим всю основную совокупность мер и действий, обязательных для разрешения проблем информационной безопасности всех создаваемых, привлекаемых извне и обслуживаемых информационных разработок является Доктрина информационной безопасности РФ, подписанная в 2000 году Президентом Российской Федерации В. Путиным. Опирающаяся на Доктрину совокупность законных и подзаконных актов, так или иначе затрагивающих эту проблему, представляет тот мост, который связывает административные решения и упомянутые выше стандарты непосредственно технологического, проектного предназначения и характера.

Нормативно-правовая база являет собой иерархическую структуру, представленную на рис. 2.1.



Рис. 2.1. Нормативно-правовая база создания АПСЗИ

Нормативную правовую основу создания АПСЗИ составляют:

1) конституция Российской Федерации;

2) федеральные законы:

- «О военном положении»;

- «Об обороне»;

- «О государственной тайне»;

- «Об информации, информатизации и защите информации»;

- «Об участии в международном информационном обмене»;

- «О лицензировании отдельных видов деятельности»;

- «О техническом регулировании»;

3) законы Российской Федерации:

- «О безопасности»;

- «О средствах массовой информации»;

4) Доктрина информационной безопасности Российской Федерации;

5) государственные стандарты в области защиты информации:

- ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения;

- ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметрического криптографического алгоритма;

- ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования;

- ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем;

- ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы;

- ГОСТ 16325 88. Машины вычислительные электронные цифровые общего назначения. Общие технические требования;

- ГОСТ 16504-81. Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения;

- ГОСТ 20397-82. Средства технические малых электронных вычислительных машин. Общие технические требования, правила приемки, методы испытаний, маркировка, упаковка, транспортирование и хранение, гарантия изготовителя;

- ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, правила приемки, методы испытаний, маркировка, упаковка, транспортирование и хранение;

- ГОСТ 23773-88. Машины вычислительные электронные цифровые общего назначения. Методы испытаний;

- ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования;

- ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;

- ГОСТ Р 50543-93. Конструкции базовые несущие средств вычислительной техники. Требования по обеспечению защиты информации и электромагнитной совместимости методом экранирования;

- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;

- ГОСТ Р 50922-96. Защита информации. Основные термины и определения;

- ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство;

- ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;

- ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения;

6) Концепция защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам;

7) Концепция противодействия иностранным техническим разведкам;

8) Концепция информационной безопасности ВС РФ;

9) положения:

- «О государственной системе защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам»;

- «О государственном лицензировании деятельности в области защиты информации»;

- «О сертификации средств защиты информации»;

- «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

10) Приказ ФСБ РФ:

Приказ ФСБ РФ от 16 декабря 2016 г. N 771: Об утверждении порядка получения, учета, хранения, классификации, использования, выдачи и уничтожения биометрических персональных данных об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющих установить его личность, получения биологического материала

11)  Приказ ФСТЭК:

- Приказ ФСТЭК от 14 марта 2014 года N 31, «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

- Приказ ФСТЭК от 18 февраля 2013 года N 21, «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

- Приказ ФСТЭК от 11 февраля 2013 года N 17, «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Таким образом, к настоящему времени выстроена стройная структура нормативно-правовой базы по созданию аппаратных и программных средств защиты информации. Причем это не неподвижная костная структура. Постоянно ведется ее наращивание и совершенствование в соответствии с текущим положением развития информационных систем.



2.2 Реализация построения подсистемы аппаратной защиты информации


Решение вопроса о разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Политика безопасности предприятия зависит от сферы деятельности, конкурентоспособности, уровня развития предприятия, и многих других причин. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции, законам и иным руководящим документам приходится использовать ряд международных рекомендаций. А также использовать методики управления информационными рисками вместе с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия. Современные методики управления рисками позволяют оценить количественно текущий уровень информационной безопасности предприятия и разработать политику безопасности, и планы усовершенствования корпоративной системы защиты информации для достижения требуемого уровня защищенности информационных ресурсов компании. Для этого необходимо:

  • обосновать и произвести расчет финансовых вложений в обеспечение безопасности;

  • выявить и провести первоочередное блокирование наиболее опасных уязвимостей;

  • определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании;

  • создать необходимый пакет организационно-распорядительной документации;

  • разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты;

  • обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации.

Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.

Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности.

Итак, на предприятиях с высокими рисками и угрозами информационной безопасности, необходимо разработать действенную политику безопасности, включающую в себя комплексный подход решения проблем. Изучив и проанализировав средства защиты, я рекомендую применить:


  • преграждающие средства (ворота, заборы, шлагбаумы), контролирующие потоки людей – турникеты;

  • установить двери с электромеханическими замками и доводчиками;

  • оснастить персонал средствами идентификации (брелок или метка), как для контроля доступа, так и для контроля дисциплины на предприятии;

  • использовать серьезную систему видеонаблюдения, как за территорией объекта, так и внутри помещений. Оборудование должно быть выбрано в зависимости от требований, предъявляемых к той или иной точке обзора;

  • организовать аутентификацию и учет пользователей для работы в корпоративной сети;

  • применить подсистему разграничения доступа к ресурсам компании, а так же контроль за работой пользователей, по средствам специального ПО;

  • приобрести пакет антивирусного ПО, удовлетворяющие требованиям по защите;

  • вести контроль и учет работы с конфиденциальными документами, а так же любыми эскизами и черновиками разработок;

  • уничтожать бумажные носители, без возможности дальнейшего восстановления с помощью гриндеров или дезинтеграторов;

  • а так же организовать наблюдение за работой сотрудников, имеющих доступ к конфиденциальной информации (для исключения возможности кражи доверенным лицом).

Для предприятий среднего звена рекомендую использовать:

  • преграждающие средства (ворота, шлагбаумы, турникеты);

  • аутентификацию пользователей в корпоративной системе (к примеру «логин»-пароль);

  • закупить антивирусное ПО, удовлетворяющие требованиям по защите информации, а так же ценовой политике организации;

  • систему видеонаблюдение за территорией объекта, на пропускных пунктах, а также внутри помещения, там, где это необходимо (например, установить видеонаблюдение за кабинетом руководителя или бухгалтерией);

  • для уничтожения бумажных носителей конфиденциальной информации рекомендую использовать шредер.

ЗАКЛЮЧЕНИЕ


Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:

1. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

2. Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

3. Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

4. Необходимо осуществлять постоянный контроль функционирования механизма защиты.

Важно помнить, что прежде чем внедрять какие-либо решения по защите информации необходимо разработать политику безопасности, адекватную целям и задачам современного предприятия. В частности, политика безопасности должна описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения политики безопасности - это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. При этом политику безопасности желательно оформить в виде отдельного документа и утвердить руководством предприятия.





Поделитесь с Вашими друзьями:
1   ...   4   5   6   7   8   9   10   11   12


База данных защищена авторским правом ©genew.ru 2020
обратиться к администрации

    Главная страница
Контрольная работа
Курсовая работа
Лабораторная работа
Рабочая программа
Методические указания
Практическая работа
Методические рекомендации
Теоретические основы
Пояснительная записка
Общая характеристика
Учебное пособие
История развития
Общие сведения
Физическая культура
Теоретические аспекты
Практическое задание
Федеральное государственное
Техническое задание
Теоретическая часть
Направление подготовки
Самостоятельная работа
Дипломная работа
Общие положения
государственное бюджетное
Методическая разработка
Образовательная программа
квалификационная работа
Техническое обслуживание
Технологическая карта
Выпускная квалификационная
учебная программа
Решение задач
История возникновения
Методическое пособие
Краткая характеристика
Исследовательская работа
Рабочая учебная
Общие требования
Общая часть
Основная часть
История создания
Рабочая тетрадь
Метрология стандартизация
Техническая эксплуатация
Название дисциплины
Математическое моделирование
Организация работы
Современное состояние
Экономическая теория
Информационная безопасность
Государственное регулирование