- •Аннотация
- •1. Разработка отчета об обследовании
- •2. Разработка Модели угроз и нарушителя безопасности информации
- •3. Разработка технического задания на создание системы защиты информации
- •4. Разработка технического проекта системы защиты конфиденциальной информации
- •Приложение 1 – Список используемой литературы
- •Приложение 2 – Задание
- •Приложение 3 – Пример схемы ЛВС организации
- •Приложение 4 – Пример схемы информационных потоков ИСПДн/АС
Аннотация
В результате выполнения работы по дисциплине, должны быть разработаны следующие документы:
1.Отчет об обследовании объекта информатизации
2.Модель угроз и нарушителя безопасности информации
3.Техническое задание на создание системы защиты информации
4.Технический проект системы защиты информации
|
Оглавление |
|
Аннотация................................................................................................................................... |
1 |
|
1. |
Разработка отчета об обследовании ................................................................................. |
3 |
2. |
Разработка Модели угроз и нарушителя безопасности информации ........................... |
5 |
3. |
Разработка технического задания на создание системы защиты информации............ |
6 |
4.Разработка технического проекта системы защиты конфиденциальной информации.
..............................................................................................................................................7
1. Разработка отчета об обследовании
Отчет об обследовании должен содержать исчерпывающий перечень сведений об информационных системах (ИС), порядке обработки защищаемой информации и текущем уровне обеспечения безопасности информации в ИС.
В ходе разработки отчета об обследовании:
−должны быть описаны сведения о защищаемой информации, обрабатываемой в информационных системах;
−должны быть описаны сведения о информационных и бизнес-процессах, информационных потоках и системах;
−должны быть определены цели защиты информации и проведен их анализ:
•конфиденциальность;
•целостность;
•доступность;
•неотказуемость от совершения действий над информацией и другие;
•пр.
−должна быть проведены типизация и категорирование информации, обрабатываемой в ИС (типизация и категорирование персональных данных (ПДн) и конфиденциальной информации (КИ);
−должен быть определен состава и характеристики информационных систем;
−должны быть построены информационные модели обработки защищаемой информации в ИС;
−должна быть проведена предварительная классификация автоматизированных систем (АС) и информационных систем персональных данных (ИСПДн) с учетом требований законодательства;
−должны быть описаны сведения о техническом и программном составе защищаемой информационной системы, в том числе о:
•автоматизированных рабочих местах (АРМ) пользователей и администраторов ИС;
•серверах ИС;
•сетевом и телекоммуникационном оборудовании;
•каналах связи и точках подключений;
•составе системного программного обеспечения АРМ и серверов;
•составе прикладного программного обеспечения АРМ и серверов;
•другом оборудовании в составе ИС;
−должна быть описана архитектура защищаемой информационной системы, в том
числе о:
•физической топологии сети;
•адресации, маршрутизации, протоколах и принципах взаимодействия между компонентами защищаемой ИС;
−должны быть описаны технологические процессы обработки защищаемой информации в ИС с:
•определением типовых операций, производимых в защищаемой ИС и их последовательности;
•определением входных потоков ресурсов, информации, которые преобразуются в результате работы технологических процессов;
•определением ресурсов, информации передаваемых между процессами;
−должны быть описаны сведения о процессах обеспечения информационной безопасности, технических системах и средствах защиты информации в ИС:
•количества и места размещения;
•режимов работы;
•наличие сертификатов соответствия уполномоченных государственных органов;
−должны быть описаны сведения об организационной структуре Организации, в том числе:
•описание кадрового состава различных подразделений, участвующих в обработке информации в ИС;
•описание кадрового состава подразделений, участвующих в администрировании ИС;
•описание функций подразделений, участвующих в обработке информации в ИС;
•описание функций подразделений, участвующих в администрировании ИС;
•описание функциональных связей между подразделениями.
−должны быть определены основания и сроки хранения обработки ПДн в Организации;
−должен быть определен перечень внутренних организационнораспорядительных документов Организации, необходимых для выполнения требований Нормативных документов.