02. Складання Плану захисту інформації в ІТС

План захисту інформації в ІТС розробляється на підставі:
- аналізу технологій обробки інформації;
- аналізу ризиків реалізації загроз;
- політики безпеки інформації.

План захисту визначає та документально закріплює:
- об’єкти захисту та завдання їх захисту;
- правила обробки інформації;
- мету побудови КСЗІ;
- заходи захисту інформації;
склад ІТС;
- перелік інформації, що обробляється;
- технологію обробки інформації;
- заходи та засоби захисту інформації;
- склад необхідної документації тощо.

План захисту повинен регулярно переглядатися та за необхідності змінюватись. Зміни та доповнення до Плану захисту затверджуються у тому ж порядку, що і основний документ.

Для АС, в яких обробляється інформація, що становить державну або іншу встановлену законом таємницю, службова інформація, інформація, яка належить до державних інформаційних ресурсів, або інформація, необхідність захисту якої встановлено законом, План захисту є обов'язковим документом. Склад і зміст Плану захисту для таких АС встановлено «Положенням про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в АС», затвердженим ПКМУ № 180-98.

План захисту повинен складатись з таких розділів:
1. Завдання захисту, класифікацію, опис технології обробки службової інформації.
2. Модель загроз інформації в АС.
3. Політика (основні правила) захисту інформації в АС.
4. Перелік нормативних, розпорядчих, організаційно-технічних та інших документів, згідно з якими реалізовано захист інформації в АС.
5. Календарний план робіт із захисту інформації в АС.

План захисту рекомендується розробляти і для всіх інших ІТС, в яких обробляється інформація, що підлягає захисту згідно з законодавством України, згідно вимог «Правил забезпечення захисту інформації в ІТС», затверджених ПКМУ № 373-2006.

План захисту повинен складатись з таких розділів:
1. Завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації.
2. Визначення моделі загроз для інформації в системі.
3. Основні вимоги щодо захисту інформації та правила доступу до неї в системі.
4. Перелік документів, згідно з якими здійснюється захист інформації в системі.
5. Перелік і строки виконання робіт службою захисту інформації.

Крім того, НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в АС» має додаток «Методичні вказівки щодо структури та змісту Плану захисту інформації  в АС».

План захисту повинен складатись з таких розділів:
1. Завдання захисту інформації  в АС.
2. Класифікація інформації, що обробляється в АС.
3. Опис компонентів АС та технології обробки інформації.
4. Загрози для інформації в АС.
5. Політика безпеки інформації в АС.
6. Система документів з забезпечення захисту інформації в АС.

Приклад Плану захисту

План захисту інформації фінансової установи

Зміст

1. Мета і призначення КСЗІ
2. Загальна характеристика АС установи і умов її функціонування
3. Формування моделі загроз для інформації в АС
4. Формування моделі порушника політики безпеки
5. Розробка політики безпеки інформації в АС
6. Система документів з забезпечення захисту інформації в АС

1. Мета і призначення КСЗІ в АС

Метою розробки КСЗІ є впровадження заходів та засобів, які реалізують способи, методи, механізми захисту інформації від несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом:
- підключення до апаратури та ліній зв'язку;
- маскування під зареєстрованого користувача,
- подолання заходів захисту з метою використання інформації або нав'язування хибної інформації;
- застосування закладних пристроїв чи програм,
- використання комп'ютерних антивірусів тощо.

Метою КСЗІ є формування моделі загроз інформації та моделі порушника об'єкта інформаційної діяльності, розробка політики безпеки та системи документів з забезпечення захисту інформації в АС, розрахунок та оцінка ризиків. КСЗІ призначена для захисту інформації, що циркулює та зберігається на робочих станціях і серверах установи.

КСЗІ створюється на основі Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», ДСТУ 3396.1-96, НД ТЗІ 1.1-002-99, НД ТЗІ 1.4-001-2000, НД ТЗІ 2.1-001-200, НД ТЗІ 3.7-001-99, НД ТЗІ 3.7-003-05.

2. Загальна характеристика АС і умов її функціонування

Фінансова компанія займається аналізом рентабельності підприємств на сучасному економічному ринку, залежно від попиту на товари чи послуги. Компанія веде підрахунки затрат та доходу при відкритті нових підприємств, крім цього компанія займається просуванням на ринок нових підприємств та приватних підприємців. Тому компанія займається аналізом ринку попиту на продукцію, що виробляється підприємствами і визначає основні тенденції виробництва у певний часовий період.

Загальна структурна схема обчислювальної системи АС

Обчислювальна система даної компанії є локальною мережею, яка складається з 18 комп'ютерів, що знаходяться в одному приміщенні Офіс знаходиться на одному поверсі будівлі. За генеральним планом у компанії 6 робочих кімнат. З яких 4 кімнати - це робочі відділи компанії; кабінет головного директора компанії і приймальня.

Технічна характеристика обладнання

Комп'ютери, що використовуються для роботи персоналу: HPdc5800 (KV488EA)

Характеристика

Значення

Чіпсет

Intel Q33

Процесор

Тип процесора

Intel Pentium Dual-Core E2180

Частота, GHz

2

Оперативна пам'ять

Об’єм, МВ

1024

Стандарт

PC2-6400

Жорсткий диск

Об’єм, GB

160

Інтерфейс

SATA II

Графічний адаптер

Чіпсет

Intel GMA 3100

Об'єм пам'яті, MB

256

Оснащення

Вбудований оптичний накопичувач

DVD-RW

Звукова карта

HD Audio ADI1884

Зовнішні порти

8xUSB, COM, LPT, 2xPS/2, VGA, audio in/out

Мережевий адаптер

10/100/1000

Характеристика програмного забезпечення

На робочих станціях компанії використовується ліцензована ОС «Windows Vista Business», що має позитивний експертний висновок Держспецзв’язку. Вибір цієї ОС оснований на тому, що дана версія «Windows Vista» спеціально розроблена для підприємств і має посилену політику безпеки і системи захисту. На серверах компанії використовується ліцензована ОС «Windows Server 2008 Standard Edition», що має позитивний експертний висновок Держспецзв'язку.

Для захисту робочих станцій і серверів компанії на них встановлюється ліцензоване антивірусне програмне забезпечення, що має позитивний експертний висновок Держспецзв’язку. В АС компанії використовується ліцензоване прикладне програмне забезпечення, зокрема «Microsoft Office». Для забезпечення цілісності електронних документів можуть використовуваться ліцензійні засоби ЕЦП.

Клас і склад АС

Згідно з НД ТЗІ 2.5-005-99 «Класифікація АС і СФПЗ оброблюваної інформації від НСД» в фінансовій компанії інформація циркулює та обробляється в АС класу «2». АС класу «2» - локалізований багатомашинний багатокористувацький комплекс, який обробляє інформацію різних категорій конфіденційності.

В складі АС функціонують такі додаткові технічні засоби:
- джерела безперебійного живлення;
- кабельне обладнання...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика