Внедрение в эксплуатацию реорганизованной системы защиты информации

Под внедрением в эксплуатацию системы защиты информации понимается выполнение ряда мероприятий по защите информации.К работам по монтажу ипроведениям мероприятий по защите информации должны привлекаться организации, имеющие конкретную лицензию.

Внедрение системы защиты информации организуется обладателем информации (заказчиком).

Внедрение системы защиты информации осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:

· Установку и настройку средств защиты информации в информационной системе;

· Разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации);

· Внедрение организационных мер защиты информации;

· Предварительные испытания системы защиты информации информационной системы;

· Опытную эксплуатацию системы защиты информации информационной системы;

· Анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;

· Приемочные испытания системы защиты информации информационной системы.

К внедрению системы защиты информации привлекается оператор информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту внедрения системы защиты информации и не является заказчиком данной системы.

Установка и настройка средств защиты информации должна проводиться в соответствии с эксплуатационной документацией на систему защиты информации и документацией на средства защиты информации.

Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:

· Управления (администрирования) системой защиты информации информационной системы;

· Выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них;

· Управления конфигурацией аттестованной информационной системы и системы защиты информации информационной системы;

· Контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе;

· Защиты информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации.

При внедрении организационных мер защиты информации осуществляются:

· Реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;

· Проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер защиты информации;

· Отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.

Предварительные испытания системы защиты информации проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (ГОСТ 34.603) и включают проверку работоспособности системы защиты информации, а также принятие решения о возможности опытной эксплуатации системы защиты информации.

Опытная эксплуатация системы защиты информации проводится с учетом ГОСТ 34.603 и включает проверку функционирования системы защиты информации, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты информации информационной системы.

Анализ уязвимостей системы защиты информации проводится в целях оценки возможностипреодоления нарушителем системы защиты информациии предотвращения реализации угроз безопасности информации.

Анализ уязвимостей системы защиты информации включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.

При анализе уязвимостей системы защиты информации проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

В случае выявления уязвимостей системы защиты информации, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

Приемочные испытания системы защиты информации проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к системе защиты информации в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.

ЗАКЛЮЧЕНИЕ

В процессе выполнения курсовойработы был проведен анализ информационной безопасности и методов её защитыдля малого предприятия.Также былирассмотрены вероятныепути проникновения злоумышленника в охраняемое выделенное помещение. После исследования были выявлены слабые места имеющийся системы защиты информации и предложены следующие меры по устранению выявленных недостатков, а именно:

· Заменить деревянную дверь на железную дверь с дополнительным замком и с постановкой сигнализации на пост охраны, а также обеспечить пропускной режим на вход в выделенное помещение;

· Поставить несколько видеокамер в выделенном помещении и на этаже в коридоре;

· Заменить существующие генератор шума и фильтр питания;

· Внедрить в практику использование датчика движения;

· Внедрить датчик разбития стекла;

· Внедрить в практику модуль защиты телефонной линии;

· Внедрить организационные меры;

· Внедрить в практику систему пожарной сигнализации;

· Использовать программныесредства защиты.

Все вышеперечисленные меры, которые предлагаются для защиты малого предприятия позволят снизить к минимуму риски уничтожения, перехвата и изменения информации.Но даже такая степень защиты не сможет обеспечить полную (100%) защиту от НСД на малом предприятии.

 

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Нормативно-правовые акты:

1. Федеральный закон от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»;

2. ГОСТ Р ИСО МЭК 9594-8-98 от 01 января 2011 года. «Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации»;

3. ГОСТ Р ИСО 7498-2-99 от 01 января 2012 года. «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. архитектура защиты информации»;

4. ГОСТ 28147-89 от 01 июля 2012 года. «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

5. ГОСТ Р 50739-95 от 01 апреля 2014 года. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».

Основная литература:

6. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии учеб. Пособие для студ. Выс. учеб. заведений. – М.: Издательский центр «Академия», 2011;

7.  Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др. Технические средства и методы защиты информации: Учебное пособие для вузов. – М.: Издательский дом «Импульс», 2012;

8. Каторин Ю.Ф., Разумовский А.В., Спивак А.И. Защита информации техническими средствами: Учебное пособие. – Спб.: НИУ ИТМО,2012;

9.  Корнеев, И. К., Степанов, Е. А. Защита информации в офисе. – М.: Горячая линия Телеком, 2012;

10.  Кузнецов, А.А. Защита деловой информации (секреты безопасности). – М.: Радио и связь, 2012;

11.  Мельников В.П., Информационная безопасность: Учебное пособие/ В.П. Мельников, С.А. Клейменов, А.М. Петраков; Под ред. С.А. Клейменова. 6-е изд., Стереотип. – М.: Академия, 2011;

12. Хомоненко, А. Д. Основы современных компьютерных технологий. Учебное пособие для Вузов. – СПб.: Корона принт, 2013;

13.  Якименко, А.С. Средства защиты информации. – М.: МГТУ, 2013.

Электронные ресурсы:

14. http://alarmtelecom.net/safe_fire – Охранно-пожарная сигнализация;

15. http://bre.ru/security/21828 – Создание моделей злоумышленника;

16. http://camafon.ru/informatsionnaya-bezopasnost/metodyi-zashhityi – Методы защиты предприятия;

17. http://citforum.ru/security/articles/metodika_zashity – Методика построения корпоративной системы защиты информации;

18. http://infoprotect.net/varia/modelyy_narushitelya – Модель нарушителя информационной безопасности;

19. http://www.220-volt.ru/catalog/datchiki-dvizhenija/ – Датчики движения;

20. http://www.aktivsb.ru/datchiki_razbitiya_stekla – Датчики разбития стекла;

21. http://www.cbi-info.ru/groups/page-74.htm – Генераторы шума;

22. http://www.cbi-info.ru/groups/page-96.htm – Сетевые помехоподавляющие фильтры;

23. http://www.dssl.ru/products/solution/factory – Оборудование видеонаблюдения для обеспечения безопасности промышленных объектов;

24. http://www.pojarnayabezopasnost.ru/dlya-roditelei/tipy-ognetushitelei-i-ih-primenenie – Типы огнетушителей и их применение;

25. http://www.profinfo.ru/catalog/r87/112.html – модуль защиты телефонных линий;

26. https://polyset.ru/article/st514 – Системы безопасности;