На производственную практику проектнотехнологическая
Скачать 0.64 Mb.
|
ОТЗЫВ 8 ВВЕДЕНИЕ 5 1 Разработка технико-экономического обоснования создания централизованной защиты регионального уровня 6 1.1Законодательство 6 1.2Анализ используемого антивирусного ПО 11 1.3Анализ коммерческих предложений 17 2. Обзор решений на рынке 21 2.1Kaspersky Security для бизнеса Стандартный 21 2.2 Dr.Web Security Space 24 ЗАКЛЮЧЕНИЕ 28 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 29 ВВЕДЕНИЕ Производственная практика проходила на базе Министерства цифрового развития Республики Мордовия. Актуальность исследования. В современном обществе защита информации стала неотъемлемой частью работы любой компании и государства. В современном мире угрозе несанкционированного доступа к информации подвержены все, от маленьких компаний до государственных систем. Главной задачей каждого специалиста в этой сфере является обеспечение надежной защиты для предотвращения взлома. Надежная централизованная антивирусная защита убережет информацию от вредоносных программ и несанкционированного доступа. Это гарантия соблюдения на должном уровне безопасности компании от вирусов. Объект исследования – централизованная антивирусная защита регионального уровня. Предмет исследования – основы разработки технико-экономического обоснования создания централизованной антивирусной защиты регионального уровня. Цель практики – разработка технико-экономического обоснования создания централизованной антивирусной защиты регионального уровня. Задачи практики: привести краткую справку по нормативным документам и законодательным актам провести аудит используемого антивирусного ПО в органах власти проанализировать коммерческие предложения провести сравнительный анализ выбранного ПО Практическая значимость. Полученные результаты могут быть востребованы при создании централизованной антивирусной системы. 1 Разработка технико-экономического обоснования создания централизованной защиты регионального уровняЗаконодательствоС увеличением в современном обществе процессов глобальной информатизации возрастает и число угроз в сфере обеспечения информационной безопасности органов местного самоуправления (далее – ОМСУ) а также министерств и иных органов исполнительной власти (далее – ИОГВ). Для обеспечения наилучшей защиты информации, необходимо использовать основные меры обеспечения этой защиты. Основными мерами защиты являются: правовые (законодательные) организационные технические Чтобы выстроить современную и эффективную систему антивирусной защиты органов власти необходимо руководствоваться государственными стандартами, требованиями и законодательными актами, регулирующими вопросы защиты информации. Одним из основных законодательных актов в данной сфере является Постановление Правительства РФ от 16 ноября 2015 г. N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд" Данное постановление устанавливает правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных и единого реестра программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации а также порядок подготовки обоснования невозможности соблюдения запрета на допуск программного обеспечения, происходящего из иностранных государств (за исключением программного обеспечения, включенного в единый реестр программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации), для целей осуществления закупок для обеспечения государственных и муниципальных нужд. Постановление устанавливает запрет на допуск программ для электронных вычислительных машин и баз данных из иностранных государств, которые не внесены в реестр российского программного обеспечения. Исключением являются программы, классу которых не соответствует ни одна из программ, включенных в реестр российского программного обеспечения. Также под исключение попадает программное обеспечение, не внесенное в реестр российского программного обеспечения (рисунок 1), если только оно по своим функциональным, техническим и (или) эксплуатационным характеристикам соответствует установленным заказчиком требованиям к планируемому к закупке программному обеспечению. Рисунок 1 – Реестр российского программного обеспечения Реестр российского программного обеспечения (рисунок 1) функционирует с 2016 года и на данный момент включает в себя более 16000 программных продуктов. Он был создан Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Наличие сведений о программном обеспечении в данном реестре является подтверждением соответствия этого программного обеспечения установленным требованиям и стандартам. На данный момент, в данный реестр включены два антивирусных программных продукта: ПО компаний Kaspersky и Dr. Web. Вместе с данным постановлением прикреплены два приложения: «Правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных и единого реестра программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации», которые определяют порядок формирования и ведения реестра российского программного обеспечения, порядок внесения и исключения ПО из данного реестра, а также критерии и порядок определения операторов, привлекаемых к формированию и ведению реестров и «Порядок подготовки обоснования невозможности соблюдения запрета на допуск программного обеспечения, происходящего из иностранных государств (за исключением программного обеспечения, включенного в единый реестр программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации), для целей осуществления закупок для обеспечения государственных и муниципальных нужд, который содержит случаи, при которых это обоснование может быть создано и требования к содержанию подобного обоснования». Приказ ФСТЭК России от 20 марта 2012 г. № 28. В нормативном документе «Требования к средствам антивирусной защиты» реализованы результаты, полученные Центром безопасности информации в рамках научно-исследовательской работы, выполненной в интересах ФСТЭК России. Документ базируется на использовании методологии ГОСТ Р ИСО/МЭК 15408. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (Утверждены приказом ФСТЭК России от 11.02.2013 N 17 (ред. от 28.05.2019). В документе устанавливаются требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее - информация), от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней (далее - защита информации) при обработке указанной информации в государственных информационных системах. Настоящие Требования могут применяться для защиты общедоступной информации, содержащейся в государственных информационных системах, для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации". В документе не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. Данные требования являются обязательными при обработке информации в государственных информационных системах (далее – ГИС), и в муниципальных информационных системах. Требования описывают, что является объектом защиты, кто является ответственным за защиту, какие средства защиты могут применяться для обеспечения этой защиты, а также какие мероприятия должны быть применены. Отдельным пунктом описываются требования к мерам защиты информации, содержащейся в информационной системе, что они должны обеспечивать, что должен включать выбор мер защиты. Также, данные требования определяют класс защищенности информационной системы (Приложение N 1 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах) (Таблица 1) и состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы. (Приложение N 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах) (рисунок 2). Таблица 1 – Класс защищенности информационной системы
Рисунок 2 – Часть таблицы состава мер защиты информации Целью создания системы антивирусной защиты является обеспечение защищенности информационно-телекоммуникационной системы от воздействия различного рода вредоносных программ и несанкционированных массовых почтовых рассылок, предотвращения их внедрения в информационные системы. Документы, рассмотренные выше, регулируют вопросы использования ПО в органах власти и требования к защите информации. Руководствуясь данными нормативными актами, можно выстроить централизованную антивирусную защиту ОМСУ и ИОГВ Республики Мордовия. |