Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Реферат звіт по проекту: 68 стор., 28 джерел, додатків

Реферат звіт по проекту: 68 стор., 28 джерел, додатків




Сторінка18/18
Дата конвертації10.03.2017
Розмір1.79 Mb.
ТипРеферат
1   ...   10   11   12   13   14   15   16   17   18

РОЗДІЛ 4. ТИПОВЕ ТЕХНІЧНЕ ЗАВДАННЯ НА КОМПЛЕКСНУ СИСТЕМУ ЗАХИСТУ ІНФОРМАЦІЇ ОРГАНІЗАЦІЇ ЧИ УСТАНОВИ НАН УКРАЇНИ

4.1. Порядок створення КСЗІ


Комплексні системи захисту інформації в інформаційних (автоматизованих) системах організацій та установ НАН України повинні створюватися згідно до вимог, що викладені в НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі».

Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІАС яких обробляється інформація, яка є власністю держави, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством.

Вла́сність - результат привласнення[Джерело?], тобто ставлення людей до певних речей, як до своїх.
Організаці́йно-правова́ фо́рма господарюва́ння - тип суб’єкта права, що визначає форму здійснювання його господарської діяльності. Організаційно-правові форми та їх особливості визначаються законодавством певної країни.
Якщо в ІАС обробляються інші види інформації, то вимоги цього нормативного документа суб’єкти системи ТЗІ можуть використовувати як рекомендації.

Порядок створення КСЗІ в ІАС розглядається цим НД як сукупність впорядкованих у часі, взаємопов’язаних, об’єднаних в окремі етапи робіт, виконання яких необхідне й достатнє для КСЗІ, що створюється.

Етапи робіт, які виконуються під час створення КСЗІ в конкретній ІАС, їх зміст та результати, терміни виконання визначаються ТЗ на створення КСЗІ на підставі цього НД. Етапами робіт, які виконуються під час створення КСЗІ є наступні:



1. Формування загальних вимог до КСЗІ

1.1 Обґрунтування необхідності створення КСЗІ

1.2. Обстеження середовищ функціонування ІТС

1.3 Формування завдання на створення КСЗІ



2. Розробка політики безпеки інформації

2.1 Вивчення об’єкта, на якому створюється КСЗІ, проведення науково-дослідних робіт

2.2 Вибір варіанту КСЗІ

2.3 Оформлення політики безпеки



3. Розробка технічного завдання на створення КСЗІ

4. Розробка проекту КСЗІ

4.2. Ескізний проект КСЗІ

4.3.

Ескі́зний прое́кт (англ. Preliminary design) - проектна конструкторська документація, яка містить принципові конструктивні рішення і дає загальне уявлення про будову та принцип дії виробу, а також дані, що визначають його відповідність призначенню.
Технічний проект КСЗІ

4.4.

Техні́чний прое́кт - стадія розробки виробу і проектна конструкторська документація, яка містить остаточне технічне рішення і дає повне уявлення про будову розроблюваного виробу або стадія створення автоматизованої системи.
Робочий проект КСЗІ



5. Введення КСЗІ в дію та оцінка захищеності інформації в ІТС

5.1 Підготовка КСЗІ до введення в дію

5.2 Навчання користувачів

5.3 Комплектування КСЗІ

5.4 Будівельно-монтажні роботи

5.5 Пусконалагоджувальні роботи

5.6 Попередні випробування

5.7 Дослідна експлуатація

5.8 Державна експертиза КСЗІ

6. Супроводження КСЗІ

Для організації робіт зі створення КСЗІ в ІАС установи НАН України повинна бути створена служба захисту інформації установи, порядок створення, завдання, функції, структура та повноваження якої визначено в НД 1.4-001-2000.

СЗІ створюється після прийняття рішення про необхідність створення КСЗІ.

Експерти́за (від лат. expertus - досвідчений, знавець) - розгляд, дослідження експертом-фахівцем якихось справ, питань, що потребують спеціальних знань. У найбільш загальному вигляді експертиза - це спосіб аналізу причинно-наслідкових зв'язків не тільки стосовно того, що вже відбулося, але й того, що очікується, має або може відбутися; це спосіб пізнання певної реальності у тих випадках, коли ця реальність не піддається прямому вимірюванню, обрахуванню і взагалі якому завгодно «об'єктивному дослідженню».
Тео́рія рі́шень - царина досліджень, яка математичними методами досліджує закономірності вибору людьми найвигідніших із можливих альтернатив і має застосування в економіці, менеджменті, когнітивній психології, інформатиці та обчислювальній техніці.
Як виняток СЗІ може створюватися на більш пізніх етапах робіт, але не пізніше етапу підготовки КСЗІ до введення в дію.

В даному документі викладені основні вимоги щодо створення комплексної системи захисту інформації в автоматизованих інформаційних системах установ НАН України.

На основі данного документу організаціям та установам НАН України необхідно розробити Технічне завдання на КСЗІ у складі ІАС конкретної організації чи установи НАН України. Враховуючи вищевикладене, перед розробкою Технічного завдання необхідно:


  • сформувати загальні вимоги до КСЗІ в ІАС установи НАН України;

  • розробити політику безпеки інформації в ІАС установи НАН України. Політика безпеки інформації в ІАС установи може використовувати рішення, що наведені в документі 05540149.90000.043.ПБ-01, «Правила (політика) комп'ютерної безпеки для організацій та установ НАН України».

4.2. Склад Типового Технічного завдання на комплексну систему захисту інформації


В Типовому технічному завданні на комплексну систему захисту нформації наведені основні вимоги до КСЗІ ІАС організації чи установи НАН України.

Повний текст Типового Технічного завдання на комплексну систему захисту нформації наведений в документі: «Типове Технічне завдання на комплексну систему захисту інформації організації чи установи НАН України». 05540149.90000.045.И3-06



В документі наведені наступні розділи:

1. Загальні відомості, що включає:

  • Повну назву роботи, її шифр;

  • Назву підприємства-розробника підсистеми та його реквізити;

  • Назву замовника роботи та його реквізити;

  • Перелік документів, на підставі яких виконується робота;

  • Планові терміни початку і закінчення роботи зі створення КСЗІ;

  • Відомості про джерела та порядок фінансування робіт;
    Реквізити - сукупність постійних елементів, з яких складаються документи. Сукупність реквізитів становить формуляр документів. До елементів документів (реквізитів) належать дата, підпис, адреса, заголовок та ін.
    Фінансування бізнесу - забезпечення наявним грошовим капіталом для використання в комерційних цілях. Потреби компанії в капіталі можуть бути короткостроковими і довгостроковими. Основні джерела короткострокового і довгострокового капіталу можуть бути підрозділені на внутрішні і зовнішні.


  • Порядок оформлення і надання Замовнику результатів робіт.

2. Мета і призначення КСЗІ, що включає:

  • Мету створення КСЗІ

  • Призначення КСЗІ

  • Нормативно-правові документи, які регламентують порядок захисту інформації

3. Загальна характеристика автоматизованої системи установи і умов її функціонування, що включає:

  • Загальну структурну схему та склад обчислювальної системи автоматизованої ситеми

  • Технічні характеристики каналів зв’язку

  • Характеристики інформації, що обробляється

  • Характеристики персоналу

  • Характеристики фізичного середовища

  • Загальну технічну характеристику АС

  • Особливості функціонування АС

  • Особливості реалізованих або припустимих заходів організаційних, фізичних та інших заходів захисту

  • Потенційні загрози інформації

  • Клас АС

4. Вимоги до КСЗІ ІАС установи НАН України, що включає:

  • Вимоги до організаційних заходів захисту інформації

  • Вимоги до КСЗІ ІАС установи НАНУ в частині захисту від несанкціонованого доступу

  • Вимоги до політики безпеки

  • Вимоги до функцій (послуг) забезпечення захищеності від НСД в ІАС установи НАНУ

  • Вимоги до рівня гарантій

  • Вимоги до КСЗІ в частині захисту інформації від витоку технічними каналами

  • Вимоги до заземлення

  • Вимоги до електроживлення

  • Вимоги до захищеності інформації від витоку каналами ПЕМВН

  • Вимоги до захисту інформації від витоку візуально-оптичним каналом

  • Вимоги до захисту інформації від витоку каналами, чутливими до акустичних полів

5.
Аку́стика (від грец. ακουστικός - чутний, такий, що сприймається на слух), у вузькому значенні слова - вчення про звук, тобто про пружні коливання та хвилі у газах, рідинах і твердих тілах, чутних людським вухом (частоти таких коливань знаходяться у межах від 16 Гц до 20 кГц); у широкому сенсі - область фізики, що досліджує властивості пружних коливань та хвиль від найнижчих частот (умовно від 0 Гц) до гранично високих частот 1012 - 1013 Гц, їхньої взаємодії з речовиною і застосування одержаних знань для вирішення широкого кола інженерних проблем. Терміном акустика зараз також часто характеризують систему звуковідтворюючої апаратури.
Вимоги до складу проектної та експлуатаційної документації


6. Етапи виконання робіт

7. Порядок внесення змін і доповнень до технічного завдання на КСЗІ ІАС НАНУ

8. Порядок проведення випробувань КСЗІ ІАС установи НАНУ
Типове Технічне завдання на комплексну систему захисту інформації організації чи установи НАН України може бути використане як основа для розробки Технічних завдань на КСЗІ ІАС організацій та установ НАН України.


ВИСНОВКИ


    1. Запропоновані рішення щодо захисту серверів можуть бути використані адміністраторами систем для побудови надійних систем захисту серверів всіх типів від зовнішніх та внутрішних порушників безпеки.

    2. Рішення InfoWatch забезпечують ефективний контроль і аудит стану інфраструктури внутрішньої ІТ-безпеки організації. Завдяки багаторівневому моніторингу дій користувачів InfoWatch дозволяє створити комплексний захист конфіденційної інформації проти навмисних і необережних дій персоналу. Реалізація такої стратегії допомагає протистояти промисловому шпигунству та внутрішньому саботажу, мінімізувати операційні ризики, пов'язані із втратою конфіденційності даних.
      Промисло́ве шпигу́нство стосовно бізнесу - це різновид економічного шпигунства, якому властиве звуження масштабів завдань з одержання інформації, що цікавить, від державного - до масштабу однієї або декількох фірм-конкурентів.


    3. Типове Технічне завдання на комплексну систему захисту інформації організації чи установи НАН України повинно допомогти адміністраторам систем розробити Технічні завдання на КСЗІ АІС установ та організацій НАН України.

ПРОПОЗИЦІЇ ЩОДО ПРОДОВЖЕННЯ ПРОЕКТУ


Роботи по проекту можуть бути продовжені по наступним напрямкам:

  • Розробка типових рішень по управлінню інцидентами інформаційної безпеки;

  • Розробка засобів централізованої установки, настройки і управління компонентами захисту інформації;

  • Підготовка аналітичних матеріалів з питань захисту інформації;
    Централізо́вана держа́ва - держава, підкорена єдиній центральній владі.
    Аналітика (від грец. άναλυτικά ) - основа інтелектуальної, логіко-мисленевої діяльності, спрямованої на рішення практичних завдань. У її основі лежить не стільки принцип констатації фактів, скільки принцип «випередження подій», що дозволяє організації або індивідові прогнозувати майбутній стан об'єкту аналізу.


  • Аналіз нових загроз інформації і підготовка пропозицій по їх нейтралізації;
    По́пит і пропози́ція (правильно українською: попит і пропонування) - економічна модель, що описує процес ціноутворення на ринку. Ця модель вводить поняття попиту та пропозиції як універсальні характеристики ринку та доводить, що, за умовами певних припущень, ці характеристики урівноважуються та приводять до встановлення певної ціни на даний товар.


  • Аналіз, апробація і підготовка пропозицій по використанню нових сучасних засобів захисту інформації. При необхідності розробка експлуатаційної документації.

  • Інформування організацій НАН України про нормативні документи ДССЗЗІ в області КСЗІ;

  • Інформування про вимоги по проведенню експертизи об'єктів захисту для отримання сертифікатів на КСЗІ;

  • Ведення сторіночки по КСЗІ на сайті інституту.

ПЕРЕЛІК ПОСИЛАНЬ





  1. 2005 CSI/FBI Computer Crime and Security Survey (http://www.infowatch.ru/threats?chapter=147151396&id=169660266).

  2. 2006 CSI/FBI Computer Crime and Security Survey (http://www.infowatch.ru/threats?chapter=147151396&id=2926721).

  3. Внутренние ИТ-угрозы в России 2005 (http://www.infowatch.ru/downloads/docs/iw2005.pdf).

  4. Онлайновий словник Мерріама Вебстера (http://www.m-w.com/).

  5. Windows Server 2003. Автори: Марк Майнази, Криста Андерсон, Мишель Беверидж. Розділ 3.

  6. Міжмережеві екрани (http://en.wikipedia.org/wiki/Firewall_(networking)).

  7. Смарт-карти (http://www.infobezpeka.com/publications/?id=118).

  8. Біометрія (http://www.gs1ru.org/art1/art103.html).

  9. Windows Server 2003. Автори: Марк Майнази, Криста Андерсон, Мишель Беверидж.

  10. NetRecon

(http://www.symantec.com/avcenter/security/Content/2002.04.25.html)

  1. Internet Scanner (http://www.iss.net/support/index.html)

  2. Retina (http://www.eeye.com/html/support/index.html)

  3. Cyber Cop Scanner

(http://www.nss.co.uk/grouptests/va/edition2/nai_cybercop_scanner/nai_cybercop_scanner.htm)

  1. World Wide Digital Security (http://www.pcworld.com/article/id,143371-c,privacysecurity/article.html)

  2. Nessus Security Scanner

(http://security.ittoolbox.com/topics/t.asp?t=372&p=382&h1=372&h2=382)

  1. Шифрування (http://www.vstu.vinnica.ua/ies2000/doclad/a/a22.htm)

  2. Механізми фізичного захисту

(http://www.bezpeka.com/ru/lib/spec/art41_forprint.html)

  1. Сімейство продуктів InfoWatch (http://www.infowatch.ru/solution)

  2. Traffic Monitor (http://www.infowatch.ru/solution?chapter=204274952)

  3. MS ISA Server (http://www.microsoft.com/isaserver/default.mspx)

  4. СУБД Oracle (http://www.oracle.com/global/ru/products/index.html)

  5. Red Hat Enterprise Linux (http://www.redhat.com/rhel/server/)

  6. Postfix (http://www.postfix.org)

  7. Microsoft Windows XP

(http://www.microsoft.com/windows/products/windowsxp/default.mspx)

  1. Конфігурування Postfix (http://www.freebsd.org.ru/how-to/mail/postfix.html)

  2. О поштовій системі Microsoft Exchange

(http://www.microsoft.com/rus/exchange/)

  1. О поштовій системі Lotus Notes

(http://ru.wikipedia.org/wiki/IBM_Lotus_Notes)

  1. Встановлення СУБД Oracle

(http://www.bifit.com.ua/distrib/ua/docs/it_dep/iBank2UA_DBMS_Install_Guide.pdf).


1   ...   10   11   12   13   14   15   16   17   18



  • 4.2. Склад Типового Технічного завдання на комплексну систему захисту інформації
  • ВИСНОВКИ
  • ПРОПОЗИЦІЇ ЩОДО ПРОДОВЖЕННЯ ПРОЕКТУ
  • ПЕРЕЛІК ПОСИЛАНЬ