защита инфосистем. лабы. Министерство образования и науки калужской области
 Скачать 1 Mb.
|
|
Задания создать Положение о СБ для промышленного предприятия; детского сада; стационарной районной больницы; автотранспортного предприятия; образовательной организации; сетевого магазина. Практическое занятие № 4. Разработка должностных инструкция сотрудников службы безопасности предприятия.(4 часа). Цель работы: Выработка навыков действий по процедуре допуска и доступа к конфиденциальной информации Теоретические сведения Основные условия правомерного доступа персонала к коммерческой информации включают: · подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обязательства; · наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну; · наличие утвержденных руководителем предприятия должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации; · оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями. · составление именных (должностных) списков сотрудников, допускаемых к той или иной информации, составляющей коммерческую тайну предприятия, в обязательном порядке содержащих должности и фамилии сотрудников и категории сведений (документов), к которым они допускаются; · оформление разрешения непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному сотруднику; · указание (перечисление) в организационно-плановых и иных документах предприятия сотрудников (их фамилий), которые при решении конкретных производственных и иных задач должны быть допущены к определенной информации, составляющей коммерческую тайну предприятия. Разработке положения предшествует всесторонний анализ различных документов (материалов), проводимый в целях выявления и классификации всех информационных потоков, существующих на предприятии. В ходе анализа изучаются все направления и стороны деятельности предприятия, в том числе его взаимодействие с организациями-соисполнителями и заказчиками, работа диссертационных советов, образовательная деятельность и т.п. После получения результатов анализа формируется структура положения (готовится его проект). Основными разделами положения являются: · общие требования по доступу работников к коммерческой тайне; · порядок доступа к носителям информации, имеющим различные категории (степени) конфиденциальности; · порядок доступа к делам и документам архивного хранения; · порядок копирования (размножения) документов и рассылки их нескольким адресатам; · порядок доступа к носителям информации командированных лиц, представителей органов местного самоуправления, различных территориальных и надзорных органов; · порядок доступа к информации (ее носителям) в ходе проведения совещаний, конференций, семинаров и других мероприятий. После разработки положение утверждается руководителем предприятия и доводится до сведения непосредственных исполнителей указанных в нем мероприятий (работ), а также до сведения каждого сотрудника предприятия в части, касающейся данного сотрудника (в необходимых случаях — под расписку). Договорное обязательство Обязуюсь:. 1. В период оформления на работу и работы в ___________________________________ не разглашать сведения, составляющие ее коммерческую тайну, которые мне будут доверены или станут известны при исполнений обязанностей, собеседованиях, инструктировании и обучении. 2. Беспрекословно и аккуратно выполнять относящиеся ко мне требования приказов, инструкций и положений по защите коммерческой тайны, с которой я ознакомлен. 3. Не сообщать устно, письменно или иным способом кому бы то ни было сведений, составляющих тайну ______________________________________________________________ 4. В случае отказа от работы, окончания работы или увольнения не разглашать и не использовать для себя и других лиц сведений, составляющих тайну _______________________ Я предупрежден, что в случае нарушения данного обязательства должен возместить причиненный ущерб или буду привлечѐн к дисциплинарной (вплоть до увольнения) или другой ответственности в соответствии с действующим законодательством. Проинструктировал ___________________________________________________________ (должность, ФИО, подпись, дата) Подпись лица, принимающего обязательство _____________________________________ (ФИО, подпись, дата) Подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса Российской Федерации может содержать эти обязательства. Оформление в установленном порядке допуска к сведениям, составляющим коммерческую тайну. Оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями. Составление именных (должностных) списков сотрудников, допускаемых к той или иной информации, составляющей коммерческую тайну предприятия, в обязательном порядке содержащих должности и фамилии сотрудников и категории сведений (документов), к которым они допускаются. Оформление разрешения непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному сотруднику; Практическое занятие №5. «Нормативно-правовое закрепление процесса лицензирования деятельности по защите информации» (6 часов) Цель занятия Выработка навыков нормативно-правового закрепления процесса лицензирования деятельности по защите информации Задание Составить заявление о предоставлении лицензии на деятельность по технической защите конфиденциальной информации юридическому лицу Приложение Приложение № 1 к Административному регламенту Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации Форма
Заявление о предоставлении лицензии на деятельность по технической защите конфиденциальной информации юридическому лицу Прошу предоставить (указываются полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, и организационно-правовая форма юридического лица) лицензию на осуществление деятельности по технической защите конфиденциальной информации по следующим видам работ и (или) услуг: (указываются виды работ и услуг, установленные пунктом 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79, которые намерено осуществлять юридическое лицо) Адрес места нахождения: (указывается адрес места нахождения юридического лица) Адрес для переписки: (указываются почтовый адрес юридического лица и адрес электронной почты (при наличии)) Адреса мест осуществления лицензируемого вида деятельности: (указываются адреса мест осуществления лицензируемого вида деятельности) Государственный регистрационный номер записи о создании юридического лица (ОГРН) Данные документа, подтверждающего факт внесения сведений о юридическом лице в единый государственный реестр юридических лиц (указываются наименование, серия и номер, дата выдачи документа, подтверждающего факт внесения сведений о юридическом лице в единый государственный реестр юридических лиц, наименование и адрес места нахождения органа, осуществившего государственную регистрацию юридического лица) Идентификационный номер налогоплательщика (ИНН) Данные документа о постановке юридического лица на учет в налоговом органе (указываются наименование, серия и номер, дата выдачи документа, подтверждающего факт постановки юридического лица на учет в налоговом органе, наименование и адрес места нахождения налогового органа, осуществившего постановку на налоговый учет) Работник, уполномоченный по вопросам лицензирования (указываются наименование должности, фамилия, имя, отчество, номера телефонов, адрес электронной почты (при наличии)) Практическое занятие № 6. «Организация работы конфиденциального делопроизводства» (2 часа). Цель занятия Выработка навыков организации работы конфиденциального делопроизводства Задание Подготовить план внедрения на предприятии конфиденциального делопроизводства, используя следующую методику: - 1 этап - определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения. Разделение сведений на несколько групп по степени конфиденциальности (например: строго конфиденциальные, конфиденциальные, для служебного пользования); - 2 этап - утверждение перечня сведений конфиденциального характера у руководства, а также определение порядка и сроков переутверждения данного перечня, а также снижение и снятие грифа конфиденциальности; - 3 этап - определение правил конфиденциального бумажного делопроизводства на основе общего бумажного делопроизводства; - 4 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера; - 5 этап - заключение договоров о нераспространении конфиденциальных сведений между сотрудниками, которые будут допущены к работе с конфиденциальной информацией и руководством организации; - 6 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.); - 7 этап – доведение нормативных документов до сотрудников в рамках функциональных обязанностей; - 8 этап - создание механизмов контроля за соблюдением конфиденциального делопроизводства; - 9 этап – создание механизма ответственности за нарушение правил конфиденциального делопроизводства. Практическое занятие № 7. Расчет стоимости системы управления контроля доступом (2 часа). Цель занятия: приобрести практические навыки расчета стоимости системы контроля и управления доступом для обеспечения безопасности объекта и предотвращения несанкционированного проникновения. Проект СКУД может представлять собой как набор автономных элементов, предназначенных для решения простых задач по обеспечению безопасности, так и комплексную систему, отвечающую специфическим требованиям заказчика. Теоретические сведения В процессе проектирования СКУД: Определяется тип решаемых задач; Выбирается состав элементов системы, позволяющий наиболее эффективно решить поставленные задачи; В случае необходимости подбирается специализированное ПО, обеспечивающее возможность учета рабочего времени, централизованного управления системой при помощи АРМ и т.д.; Исходя из особенностей объекта и условий технического задания определяются места установки оборудования. Для повышения эффективности СКУД может быть объединена с системой видеонаблюдения и охранно-пожарной сигнализацией. Проектирование СКУД зависит от потребностей фирмы, количества закрытых помещений, степени контроля, который хотите установить. Установка СКУД осуществляется специалистами. При этом желательна интеграция СКУД с другими системами. Так, интегрировав СКУД в систему пожарно-охранной сигнализации, в случае пожара сможете быстро разблокировать все шлагбаумы, двери и турникеты, включить пожарную сирену.  Задание: Разработать СКУД для Дом или отдельное помещение Малый офис с одной точкой прохода  Офисное здание  Промышленное предприятие   Практическое занятие № 8. Выбор биометрических СКУД (2 часа). Цель занятия: приобрести практические навыки в реализации теоретических основ проектирования систем контроля и управления доступом. Теоретические сведения Принято деление СКУД на 4 класса, в зависимости от количества контролируемых объектов, объединяемых контроллеров и выполняемых ими функций: Класс 1 - системы с ограниченными функциями; Класс 2 - системы с расширенными функциями; Класс 3 - многофункциональные системы; Класс 4- многоуровневые системы большой емкости. В системы любого из классов могут быть введены специальные функции, которые определяются дополнительными требованиями заказчика К СКУД 1-го класса (рис.1) относятся системы с ограниченными функциями малой емкости, работающие в автономном режиме. Они применяются на небольших объектах или в тех случаях, когда заказчику необходимо обеспечить контролируемый доступ сотрудников и посетителей, имеющих соответствующий идентификатор, и если не требуется объединение контролируемых объектов в единую систему для централизованного управления и получения информации по всем пользователям. При этом не ставится задача контроля времени доступа и выхода из помещения, регистрации проходов, передачи данных на центральный компьютер. Примерами подобных систем являются замки со встроенными кодонаборными клавиатурами и считывателями пластиковых карт или других носителей электронного ключа (системы разграничения доступа в жилые помещения). Работа СКУД 1-го класса не контролируется. Обычно администратор (или лицо, ответственное за пропускной режим) имеет мастер-карту (мини-компьютер), с помощью которой он может вносить в список системы коды идентификаторов сотрудников и посетителей или исключать их из списка, а также считывать информацию из буфера системы  Рис.1. Оборудование СКУД 1-го класса помещения с одной дверью Автономная система состоит из контроллера, считывателя и исполнительного элемента. В ряде случаев в таких системах для их удешевления считыватель и контроллер находятся в одном корпусе, однако с точки зрения безопасности такое решение ухудшает защиту от взломов и уменьшает функциональные возможности системы. В качестве идентификаторов в СКУД 1-го класса, как правило, используются магнитные (реже бесконтактные) карточки, электронные ключи "Touch Memory". В зависимости от типа контроллера или замка количество лиц в списках может достигать от 60 до 2800 человек. Автономные системы снабжаются резервным питанием и имеют механический ключ для открывания замка в аварийных ситуациях. Система позволяет подключить, кроме того, электрозамки, кнопки выхода, герконы открывания двери, ИК-датчики, сирену. СКУД 2-го класса (рис.2) также мало функциональные системы, но у них уже имеется возможность расширения и включения их или их составных частей в общую линию связи (сетевой режим). Данные системы имеют ряд дополнительных функций (таблица 1). Эти системы строятся на основе одного или нескольких последовательно соединенных контроллеров. Особенностью таких систем является увеличение числа пользователей и количества обрабатываемой информации. Поэтому в таких системах обязательно использование компьютера. Его ПО позволяет программировать все контроллеры системы, собирать и анализировать информацию, составлять отчеты и сводки, более эффективно отслеживать ситуацию на объекте. Каждый контроллер в таких системах работает независимо от других. Такие системы легко расширяются. На объектах, оборудованных средствами и системами ОПС, СКУД 2-го класса применяются как самостоятельные системы и обычно рассматриваются только как средства усиления режима безопасности объекта.  Рис. 2. Структура СКУД 2-го класса СКУД 3-го класса. СКУД 3-го и 4-го классов обычно называются сетевыми, так как их контроллеры, объединенные в локальную сеть, работают в реальном времени и ведут непрерывный диалог с периферийными устройствами, с ведущим контроллером или с управляющим компьютером, расположенным в пункте охраны. Системы этих классов - крупные и многоуровневые системы, рассчитанные на большое число пользователей (более 1500 человек). СКУД 3-го класса применяются в случае, когда необходимо контролировать время прохода сотрудников и посетителей на объект и в помещения. При этом применяются более сложные электронные идентификаторы (Proxmity, Виганд-карточки, биометрический контроль или их сочетания). Время прохода на каждый день недели и для каждого владельца электронной карточки задается администратором системы. Системы 3-го класса обычно интегрируются с системами ОПС и видеонаблюдения на релейном уровне. Релейный уровень предполагает наличие дополнительного модуля в контроллере (или дополнительных входов/выходов в контроллере), к которому подключаются охранные или пожарные извещатели, релейные выходы для управления телекамерами и другими устройствами. Подобная интеграция применяется, в основном, на малых объектах. |