- •Техническое задание Введение
- •Основание для разработки
- •Назначение разработки
- •Требования к ксзи
- •Стадии и этапы разработки
- •Реферат
- •Содержание определения, обозначения и сокращения
- •Введение
- •1 Анализ проблемы и методов ее решения
- •1.1. Общие сведения о защищаемом объекте
- •1.2 Описание защищаемого объекта информатизации
- •1.3. Функции основных структурных подразделений
- •1.4 Объекты и предметы защиты в медицинском учреждении
- •1.5 Угрозы защищаемой информации
- •1.6 Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию
- •1.7 Причины дестабилизирующего воздействия на защищаемую информацию в медицинском учреждении
- •1.8. Каналы и методы несанкционированного доступа к защищаемой информации в медицинском учреждении
- •1.9. Вероятная модель злоумышленника
- •1.10 Фактическая защищенность медицинского учреждения
- •1.11 Прошлые случаи кражи в ск
- •1. 12. Недостатки в защите страховой компании
- •1.13 Финансовые возможности страховой компании "Уникум"
- •1.14 Этапы построения ксзи для страховой компании
- •1.15 Требования руководящих документов к системе безопасности объекта
- •1.15.1 Требования руководящих документов к системам видеонаблюдения
- •1.15.2 Требования руководящих документов к системам охранно-пожарной сигнализации
- •1.15.3 Требования нормативно-методических документов по защите информации на объект
- •Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
- •Закон "Об информации, информационных технологиях и защите информации"
- •1.16 Обоснование выбора методов и средств защиты
- •1.17 Выводы
- •2 Описание постановки задач
- •2.1 Постановка задачи
- •2.2. Цель и назначение системы безопасности
- •3 Описание комплексной системы защиты информации
- •3.1 Правовая защита
- •3.2 Организационная защита
- •3.2.1 Создание службы защиты информации
- •3.2.2 Проверка лояльности персонала медицинского учреждения
- •3.2.3 Организационные меры по системе допуска сотрудников к конфиденциальной информации
- •3.3 Инженерно-техническая защита
- •3.3.2 Выбор аппаратных средств защиты
- •Защита телефонной линии
- •Защита по акустическому каналу
- •Генератор шума гш-1000м
- •Генератор шума гш-к-1000м
- •Устройство защиты цепей электросети и заземления sel sp-44
- •3.3.3 Выбор программных средств защиты
- •3.4 Введение в эксплуатацию системы защиты информации
- •4. Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования
- •Оценка уязвимости
1.11 Прошлые случаи кражи в ск
Случаев кражи информации зафиксировано не было. Также небыло зафиксировано никаких инцендентов, так или иначе указывающих на кражу.
1. 12. Недостатки в защите страховой компании
Внешние недостатки:
недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
Внутренние недостатки:
недостаточное внимание к обеспечению защиты информации со стороны руководства (нет отдельной службы защиты информации);
довольно равнодушное отношение к обеспечению защиты информации со стороны сотрудников фирмы (записывание паролей на бумаге, использование одинаковых паролей и т.д.);
полное отсутствие разграничения доступа
Сервер, на котором хранится база даных имеет прямой доступ в интернет.
недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности в страховой компании (в данный момент в штате нет ни одного специалиста по защите информации).
Система кондиционирования, состоящая из 1-го кондиционера не защищена
Отсутствуют датчики вибро-акустического зашумления на стояках отопления, выходящих за пределы контролируемые зоны (КЗ)
Генераторы электромагнитного шума в помещении не установлены
Окна организации выходят во двор.
Отсутствует защита телефонных, а так же UTP-8 линий.
Для документов по личному составу и постоянного срока хранения за прошедшие годы выделено помещение, не отвечающее нормам и требованиям к хранению архивных документов согласно Основным правилам работы архивов организаций.
Нет документа, четко устанавливающего порядок конфиденциального документооборота в организации, требования к составлению и оформлению конфиденциальных документов, а также к обработке. Не ведется учет объема конфиденциального документооборота.
Медицинское учреждение не имеет в своей структуре службы безопасности.
Не эффективная система конфиденциального делопроизводства в организации.
На предприятии существуют устаревшие методы и принципы организации работы с документами.
Правовое поле сформировано и существует СКЗИ. Но ей не уделяется достаточного внимания. Сотрудники ведут себя халатно по отношению к мерам защиты информации. Плановые и внеочередные проверки не проводятся, а значит нет никакого стимулирования для соблюдения элементарных правил для обеспечения мер защиты информации.
1.13 Финансовые возможности страховой компании "Уникум"
Руководство страховой компании готово потратить серьёзную сумму в размере до 800 тысяч рублей на комплексную систему защиты информации, но с одним условием что бы были соблюдены следующие принципы:
простота защиты;
приемлемость защиты для пользователей;
подконтрольность системы защиты;
постоянный контроль за наиболее важной информацией;
минимизация привилегий по доступу к информации;
независимость системы управления для пользователей;
устойчивость защиты во времени и при неблагоприятных обстоятельствах;
минимизация общих механизмов защиты.