Главная страница
Навигация по странице:

  • ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «ЛИПЕЦКИЙ ГОСУДАРСТВЕННЫЙ ПЕДАГОГИЧЕСКИЙ УНИВЕРСИТЕТ ИМЕНИ П.П. СЕМЕНОВА ТЯН-ШАНСКОГО»

  • Гладких Данил Евгеньевич « Структура содержание и состав организационно-распорядительной документации, разрабатываемой на этапе эксплуатации системы защиты информации».

  • Глава 1. Системы защиты информации Информация, защищаемая СЗИ

  • Виды СЗИ и их методы защиты информации

  • Глава 2. Эксплуатация системы защиты информации

  • Глава 3. Организационно-распорядительная документация на этапе эксплуатации системы защиты информации ОРД этапа эксплуатации системы защиты информации

  • Список используемой литературы

    		•

    Структура содержание и состав организационно-распорядительной документации, разрабатываемой на этапе эксплуатации системы защиты. Министерство просвещения российской федерации федеральное государственное бюджетное образовательное учреждение высшего образования липецкий государственный педагогический университет имени п. П. Семенова тяншанского


    Скачать 45.56 Kb.
    НазваниеМинистерство просвещения российской федерации федеральное государственное бюджетное образовательное учреждение высшего образования липецкий государственный педагогический университет имени п. П. Семенова тяншанского
    АнкорСтруктура содержание и состав организационно-распорядительной документации, разрабатываемой на этапе эксплуатации системы защиты
    Дата08.02.2023
    Размер45.56 Kb.
    Формат файлаdocx
    Имя файлаKursovaya_rabota_3sem_Gladkih_IB2.docx
    ТипРеферат
    #927058

    МИНИСТЕРСТВО ПРОСВЕЩЕНИЯ

    РОССИЙСКОЙ ФЕДЕРАЦИИ

    ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ

    ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

    «ЛИПЕЦКИЙ ГОСУДАРСТВЕННЫЙ ПЕДАГОГИЧЕСКИЙ УНИВЕРСИТЕТ ИМЕНИ П.П. СЕМЕНОВА ТЯН-ШАНСКОГО»

    (ЛГПУ имени П.П. Семенова-Тян-Шанского)

    Институт естественных, математических и технических наук

    Кафедра информатики, информационных технологий и защиты информации

    Гладких Данил Евгеньевич

    «Структура содержание и состав организационно-распорядительной документации, разрабатываемой на этапе эксплуатации системы защиты информации».
    (курсовая работа)

    выполнена в рамках изучения дисциплины

    «Организационно-распорядительные документы по защите информации»

    Направление подготовки: 10.03.01

    ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

    Профиль:
    «Организация и технология защиты информации»

    Научный руководитель:

    Ст. преподаватель

    Ананьев С.В.

    Липецк – 2022

    Оглавление


    Введение 3

    Глава 1. Системы защиты информации 5

    Информация, защищаемая СЗИ 5

    Виды СЗИ и их методы защиты информации 10

    Глава 2. Эксплуатация системы защиты информации 15
    Глава 3. Организационно-распорядительная документация на этапе эксплуатации системы защиты информации 18

    ОРД этапа эксплуатации системы защиты информации 18

    Заключение 22

    Список используемой литературы 24

    Введение

    В течении эксплуатации системы защиты информации поддержание её в рабочем состоянии является важнейшей задачей. В случае попытки реализации или реализации одной из информационных угроз или угроз для информационной системы должны быть приняты меры по защите информации. Для этого создаются системы защиты информации, которые решают следующие задачи:

    • исключение неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

    • исключение неправомерного уничтожения или модифицирования информации (обеспечение целостности информации);

    • исключение неправомерного блокирования информации (обеспечение доступности информации).

    Этап эксплуатации СЗИ является чрезвычайно важным, так как система защиты на этом этапе обязана работать исправно и на любые попытки создания информационных угроз должны быть приняты меры.

    Каждое из действий по эксплуатации системы защиты информации обязательно сопровождается организационно-распорядительной документацией, которую мы рассмотрим в этой работе.

    Организационно-распорядительные документы по защите информации включают, как правило, политики, стандарты организации, положения, планы, перечни, инструкции или иные виды документов, разрабатываемые оператором для регламентации процедур защиты информации в информационной системе в ходе ее эксплуатации.

    Актуальность

    С развитием технологий развивается и информационное общество. значимой становится та информация, владение которой позволит ее бытующему и вероятному собственникам заполучить какой-либо выигрыш: материальный, политический, военный и т.п. Но с ростом информационного сообщества вырастают также риски угроз в этой области. Еще 25-30 лет назад проблема защиты информации могла быть эффективно решена с помощью координационных мер и отдельных программно-аппаратных средств разделения допуска и шифрования. Возникновение индивидуальных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, действенной технической разведки и конфиденциальной информации значительно осложнило вопрос защиты информации.

    Проблема надежного обеспечения сохранности информации представляется одной из главнейших задач современности, что решается системой защиты информации.

    Цель

    Рассмотреть организационно-распорядительную документацию, касающуюся непосредственно этапа эксплуатации системы защиты информации

    Задачи

    1. Рассмотреть аспекты и виды информации, которые защищает СЗИ;

    2. Изучить способы защиты информации системой ЗИ;

    3. Исследовать этап эксплуатации системы защиты информации;

    4. Проанализировать организационно-распорядительную документацию на этапе эксплуатации СЗИ.


    Глава 1. Системы защиты информации

    Информация, защищаемая СЗИ

    Системой защиты информации называется комплекс технических и организационных мер, которые направлены на обеспечение информационной безопасности организации. Система защиты информации должна быть комплексной, то есть применять не только технические, но также правовые и административные средства защиты. Задачи, решаемые системой защиты информации:

    • исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

    • исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

    • исключение неправомерного блокирования информации (обеспечение доступности информации).

    Система защиты характеризуется не только гибкостью, но и адаптацией к быстро меняющимся условиям окружающей среды. При этом главную роль играют административные мероприятия (например, регулярная смена паролей, строгий порядок их хранения, а также правильное распределение пользовательских полномочий и анализ журналов регистрации событий в системе). Область применения систем защиты зависит от уровня защиты, сложности объекта и стоящих перед защитой задач.

    В соответствии с классификацией, все системы защиты делятся на системы защиты от несанкционированных попыток доступа, защиту информации от физического доступа и защиты от разрушающих воздействий (блокировка программного обеспечения, возможность вывода из строя или уничтожения и т.п.).

    В ФЗ 149 указано что информация, в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

    В зависимости от порядка предоставления или распространения информация может более подробно подразделяться также на:

    • информацию, свободно распространяемую;

    • информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

    • информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

    • информацию, распространение которой в Российской Федерации ограничивается или запрещается.

    Согласно статье 7 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен, а также общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. К такой информации могут относиться, например СМИ.

    К общедоступной также относится информация, доступ к которой нельзя ограничить. Перечень сведений, доступ к которым не может быть ограничен, указан в ст.10 Федеральный закон РФ от 27 июля 2006 г. N 149-ФЗ:

    • нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

    • информации о состоянии окружающей среды;

    • информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

    • информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

    • иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

    Эта "иная информация" устанавливается в федеральных законах, касающихся некоторых специфических сфер деятельности, например, в законах о благотворительной деятельности и некоммерческих организациях или в законах об акционерных обществах.

    Конфиденциальная же информация должна быть защищена не только со стороны целостности и доступности, но и со стороны конфиденциальности. К конфиденциальной информации относятся любые сведения, доступ к которым ограничен законодательством: персональные данные, информация, составляющая профессиональную (адвокатскую, банковскую, аудиторскую и пр.), коммерческую, служебную тайну. Защита такой информации является одной из самых важных задач, так как к ней относится также государственная тайна. Конфиденциальная информация подразделяется на:

    • Персональные данные. Информация о конкретном человеке: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. В России действует Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» — закон, который обязывает охранять эту информацию;

    Сам субъект персональных данных в праве предоставить их операторам и иным лицам, но распространение такой информации запрещено без согласия самого субъекта: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».

    • Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль. Здесь действует Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне»;

    «Обладатель информации, составляющей коммерческую тайну, а также органы государственной власти, иные государственные органы, органы местного самоуправления, получившие такую информацию в соответствии с частью 1 настоящей статьи, обязаны предоставить эту информацию по запросу судов, органов предварительного следствия, органов дознания по делам, находящимся в их производстве, в порядке и на основаниях, которые предусмотрены законодательством Российской Федерации».

    • Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. Здесь действует свод законов (к примеру, Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», относящийся к врачебной тайне);

    • Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу;

    • Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования (Закон РФ «О государственной тайне» от 21.07.1993 N 5485-1).

    • Личные конфиденциальные данные: Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Исключением является только информация, которая распространяется в СМИ.

    «Органы государственной власти, предприятия, учреждения и организации, располагающие сведениями, составляющими государственную тайну, в случаях изменения их функций, форм собственности, ликвидации или прекращения работ с использованием сведений, составляющих государственную тайну, обязаны принять меры по обеспечению защиты этих сведений и их носителей. При этом носители сведений, составляющих государственную тайну, в установленном порядке уничтожаются, сдаются на архивное хранение либо передаются:

    1. правопреемнику органа государственной власти, предприятия, учреждения или организации, располагающих сведениями, составляющими государственную тайну, если этот правопреемник имеет полномочия по проведению работ с использованием указанных сведений;

    2. органу государственной власти, в распоряжении которого в соответствии со статьей 9 настоящего Закона находятся соответствующие сведения;

    3. другому органу государственной власти, предприятию, учреждению или организации по указанию межведомственной комиссии по защите государственной тайны».


    Виды СЗИ и их методы защиты информации

    Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути, представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств. Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределённость компонентов, а также взаимодействие с открытыми сетями передачи данных. Основными задачами систем защиты является предотвращение утечки информации, обеспечение ограничения доступа к информации и ее фрагментация, а также защита от несанкционированного доступа, в том числе от попыток внешнего воздействия (физического взлома).

    Методы защиты информации системой ЗИ могут быть различными. Для защиты информации могут использоваться методы криптографической защиты, например, с помощью симметричных и ассиметричных ключей, ведущих или не ведущих ключа. Прямое применение ключей может быть ограничено по ряду причин. Например, это может зависеть от производителя сервера.

    Вторым методом защиты информации является разделение информации на части, чтобы обеспечить доступ к ним отдельных пользователей. Так для пользователей с определёнными полномочиями разрабатывается специальный пароль. В системе ЗИ необходимо учитывать различие прав доступа для различных пользователей. К недостаткам данного метода можно отнести его сложность и низкую степень реализации.

    Также, одним из основных методов защиты информации, используемым в системах ЗИ, является децентрализация полномочий. Он может быть использован не только в СЗИ, но и в распределённых информационных системах, в которых для каждого пользователя создаётся свой файл конфигурации и/или определённый набор инструкций. Таким образом, пользователю на сервер устанавливается свой файл инициализации, свой набор правил и свои ключи. В этом методе решения задач ЗИ используется так называемая «обратная связь» для контроля исполнения правил и инструкций, то есть для получения обратной связи от разработчика и пользователей и исключения двоякого толкования и различных толкований одних и тех же инструкций.

    Средства защиты от несанкционированного доступа (CЗИ от НСД) — это программные и/или аппаратные средства, позволяющие предотвратить попытки несанкционированного доступа, такие как неавторизованный физический доступ, доступ к файлам, хранящимся на компьютере, уничтожение конфиденциальных данных.

    Функции СЗИ от НСД:

    • идентификация и аутентификация пользователей и устройств;

    • регистрация запуска (завершения) программ и процессов;

    • реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;

    • управление информационными потоками между устройствами;

    • учет носителей информации и другие функции.

    Существуют 5 видов защиты информации: правовая, организационная, программно-аппаратная, инженерно-техническая, криптографическая. В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

    1. Технические (аппаратные) средства.

    Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, блокирует доступ к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую — генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

    1. Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.

    Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

    1. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

    2. Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия).

    Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

    1. По степени распространения и доступности выделяются программные средства, другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

    На сегодняшний день можно выделить множество направлений защиты информации и технических средств, которые им соответствуют:

    • Защита информации от несанкционированного доступа тех ресурсов, которые работают автономно, а также от сетевых ПК. Данная функция может быть реализована программно-аппаратными, программными и аппаратными средствами.

    • Защита отдельных пользователей сети Интернет и серверов от злонамеренных хакеров, что приникают извне. Для этого применяются специальные межсетевые брандмауэры или экраны, которые в современной жизни приобретают широкое распространение.

    • Защита конфиденциальной, секретной и личной информации от чтения ее посторонними лицами, а также от ее искажения. Для этого используются криптографические средства, которые выделяются в отдельный класс. Сюда относится и подтверждение подлинности сообщений посредством электронной цифровой подписи. Использование криптографических систем с электронной подписью и открытыми ключами приобрело огромную популярность в сфере электронной торговли и в банковском деле.

    • В последние годы широкое распространение получила защита программного обеспечения от незаконного копирования при помощи электронных ключей.

    • Защита информации от возможной утечки посредством побочных каналов (цепи питания, каналы электромагнитного излучения от монитора или ПК). В данном случае используются такие испытанные средства, как специальный подбор мониторов, применение генератора шума и экранирование помещений, а также специальный подбор комплектующих ПК, которые обладают наименьшим излучением в том частотном диапазоне, что максимально удобен для дистанционного распознавания и расшифровки сигнала злоумышленниками.

    • Защита информации от шпионских устройств, которые непосредственно устанавливаются в комплектующие персонального компьютера, так же, как и измерение зоны излучения, выполняемого спецслужбами, что обладают всеми необходимыми лицензиями.


    Глава 2. Эксплуатация системы защиты информации

    Эксплуатация системы защиты информации всегда являлась наиболее длительным и важным этапом в существовании системы защиты информации.

    К эксплуатации СЗИ подводит сертификация средства. Орган по сертификации проводит оценку поступивших материалов сертификационных испытаний средства защиты информации на соответствие требованиям настоящего Положения и требованиям по безопасности информации, в том числе наличие в средстве защиты информации уязвимостей или недекларированных возможностей, несоответствие средства защиты информации требованиям по безопасности информации, наличие информации об угрозах безопасности, связанных с применением средства защиты информации. Срок проведения оценки материалов сертификационных испытаний устанавливается договором между заявителем и органом по сертификации и не должен превышать 45 календарных дней с даты поступления в орган по сертификации всех документов. По результатам оценки материалов сертификационных испытаний средства защиты информации орган по сертификации оформляет экспертное заключение о возможности (невозможности) выдачи сертификата соответствия.

    В случае наличия в экспертном заключении вывода о возможности выдачи сертификата соответствия орган по сертификации подготавливает проект сертификата соответствия

    Сертификат соответствия в течение 10 рабочих дней после подписания вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении. ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.

    Решение о вводе системы защиты информации в эксплуатацию оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.

    После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации. По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.

    По завершении ввода в эксплуатацию системы защиты информации проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.

    При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации, возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.

    В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие.

    Вместе с тем, на этапе эксплуатации необходимо соблюдать ряд необходимых мер, таких как:

    • Поддержание технических средств в рабочем состоянии;

    • Своевременное исправление ошибок в системе ЗИ;

    • Анализировать угрозы для безопасности системы и отслеживать малейшие изменения в системе;

    • Систематическое повышение квалификации персонала, работающего с системой защиты информации;

    • Проведение мер по противодействию информационным и техническим угрозам, подготовка к случаю реализации каких-либо угроз;

    • Своевременное обновление компонентов системы защиты и её дополнение.


    Глава 3. Организационно-распорядительная документация на этапе эксплуатации системы защиты информации

    ОРД этапа эксплуатации системы защиты информации

    Одним из важных этапов эксплуатации является разработка организационно-распорядительных документов. Организационно-распорядительная документация (ОРД) — комплекс документов, закрепляющих функции, задачи, цели, а также права и обязанности работников и руководителей по выполнению конкретных действий, необходимость которых возникает в операционной деятельности организации.

    Среди большого разнообразия видов деловых документов, обращающихся на предприятиях и в организациях, организационно-распорядительная документация (ОРД) занимает особое место. Можно утверждать, что организационная и управленческая деятельность главным образом заключается в разработке и реализации решений, документируемых в ОРД. ОРД является наиболее широко используемым видом документации.

    ОРД делится на 4 вида:

    • Постановление

    • Распоряжение

    • Приказ

    • Инструкция, поручения и др.

    Документация на систему ЗИ в соответствии с ГОСТ Р 7.0.97-2016 составляется следующим образом:

    1. Наименование организации;

    2. Дата;

    3. Место;

    4. Гриф утверждения;

    5. Заголовок;

    6. Текст;

    7. Подпись;

    8. Отметка о наличии приложения (если требуется);

    9. Гриф/виза согласования;

    А порядок составления распорядительного документа в свою очередь во многом зависит от того, как он прописан в инструкции по делопроизводству организации, так как все ГОСТы, существующие на данный момент, носят рекомендательный характер.

    К основным организационно-распорядительным документам, регламентирующим этап эксплуатации системы защиты информации относятся:

    • Приказ о безопасности эксплуатации средств криптографической защиты информации

    • Приказ о порядке хранения и эксплуатации средств криптографической защиты информации (СКЗИ)

    • Форма журнала учета средств защиты информации

    • Форма-перечень сотрудников, допущенных к работе с СЗИ

    • Инструкция по обеспечению безопасности эксплуатации СЗИ

    • Правила эксплуатации системы защиты информации

    • Порядок администрирования системой защиты информации.

    • Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.

    • Порядок управления конфигурацией объекта и его системы защиты информации.

    • Порядок контроля за обеспечением уровня защиты обрабатываемой информации.

    • Порядок защиты информации при выводе из эксплуатации объекта

    • Перечень систем защиты информации в организации

    • Инструкция по резервированию и восстановлению работоспособности технических средств и программного обеспечения, баз данных, средств защиты информации и средств криптографической защиты информации

    • Инструкция по организации антивирусной защиты

    • Инструкция по резервированию и восстановлению работоспособности технических средств и программного обеспечения, баз данных, средств защиты информации и средств криптографической защиты информации

    • Порядок доступа сотрудников

    • Журнал учета событий информационной безопасности

    • Перечень должностных лиц, имеющих физический доступ к машинным носителям информации

    • Документация о внесении изменений в сертифицированное средство защиты информации

    • Переоформление сертификата соответствия

    Разработка эксплуатационной документации на систему защиты информации.

    Состав документации на систему защиты информации описывается в Приказе ФСТЭК РФ от 11.02.2013 N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». В такой документации обязательно должны присутствовать:

    1. Структуры системы защиты информации информационной системы;

    2. Состав, места установки, параметры и порядок настройки средств защиты информации, программного обеспечения и технических средств;

    3. Правила эксплуатации системы защиты информации информационной системы.

    А также:

    • Описание структуры системы защиты информации.

    • Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств.

    • Перечень параметров настройки средств защиты информации.

    • Правила эксплуатации средств защиты информации.

    • Технический паспорт с указанием состава и мест установки ее технических и программных средств.

    • Описание технологического процесса обработки информации.

    • Описание параметров и порядка настройки средств защиты информации.

    • Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.

    • Ведомость и журнал учета применяемых машинных носителей информации.

    • Правила эксплуатации системы защиты информации.

    • Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации.


    Заключение

    Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая в соответствии с требованиями о защите информации.

    Этап эксплуатации СЗИ является чрезвычайно важным, так как система защиты на этом этапе обязана работать исправно и на любые попытки создания информационных угроз должны быть приняты меры. Для данного этапа необходима организационно-распорядительная документация.

    ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения» понятие организационно-распорядительного документа трактует следующим образом: «Организационно – распорядительные документы – это вид письменного документа, в которых фиксируют решения административных и организационных вопросов, а также вопросов управления, взаимодействия, обеспечения и регулирования органов власти, предприятий, организаций и должностных лиц». Решения, представленные в распорядительных документах, различны по своему содержанию и могут быть направлены на совершенствование организационной структуры учреждения, выбор средств и методов осуществления основной деятельности, обеспечение организации различными видами ресурсов (финансовых, трудовых, материальных, информационных).

    ОРД классифицируют на три группы (в скобках приведены основные виды документов данной группы):

    • организационно-правовая документация (уставы, положения, правила, штатные расписания, инструкции);

    • распорядительная документация (приказы, распоряжения, постановления, решения, указания);

    • информационно-справочная документация, которую, в свою очередь, можно условно подразделить на:

      • оперативно-информационную (письма, телефонограммы, факсы и т.п.);

      • справочно-информационную (акты, протоколы, докладные, служебные записки, справки и др.).

    В Данной курсовой работе мы рассмотрели нормативно-правовую базу в области систем защиты информации и информационной безопасности в целом. Были изучены системы защиты информации, этап их эксплуатации и вся необходимая организационно-распорядительная документация для данного этапа.

    Были выполнены задачи, поставленные курсовой работе:

    1. Рассмотрены аспекты и виды информации, которые защищает СЗИ;

    2. Изучены способы защиты информации системой ЗИ;

    3. Исследован этап эксплуатации системы защиты информации;

    4. Проанализирована организационно-распорядительная документация на этапе эксплуатации СЗИ.

    А также достигнута цель:

    Рассмотрена организационно-распорядительная документация, касающаяся непосредственно этапа эксплуатации системы защиты информации.

    Список используемой литературы




    1. Приказ ФСТЭК РФ от 11.02.2013 N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

    2. Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»

    3. Москвитин, Г.И. Комплексная защита информации в организации / Г.И. Москвитин. - М.: Русайнс, 2017. - 400 c.

    4. Бузов, Г.А. Защита информации ограниченного доступа от утечки по техническим каналам / Г.А. Бузов. - М.: ГЛТ, 2016. - 586 c.

    5. Ю. Родичев Нормативная база и стандарты в области информационной безопасности – ПИТЕР, 2017. - 256 с.

    6. Крамаров, С.О. Криптографическая защита информации: Учебное пособие / С.О. Крамаров, Е.Н. Тищенко, С.В. Соколов и др. - М.: Риор, 2019. - 112 c.

    7. Снытников A.A. Лицензирование и сертификация в области защиты информации. - M.: Гелиос АРВ, 2003. - 192 c.

    8. Малюк A.A. Введение в защиту информации в автоматизированны системах: Учебн. пособие для вузов / Малюк A.A., Пaзизин C.B., Погожий H.C. - M.: Горячая линия - Телеком, 2004. - 147 c.

    9. ГОСТ Р 50.1.053—2005 Основные термины и определения в области технической защиты информации.

    написать администратору сайта