- •Міністерство транспорту та зв’язку України
- •Рецензія на курсовий проект комплексна система захисту інформації системи електронного документообігу
- •1 Формування загальних вимог до комплексної системи захисту інформації в ітс
- •1.1 Обґрунтування необхідності створення ксзі
- •1.2 Обстеження середовищ функціонування ітс
- •1.3 Формування завдання на створення ксзі
- •2 Розробка політики безпеки інформації в ітс
- •2.1 Вивчення об’єкта, на якому створюється ксзі, проведення науково-дослідних робіт
- •2.2 Вибір варіанту ксзі
- •2.3 Оформлення політики безпеки
- •3 Розробка плану захисту
- •3.1 Завдання захисту інформації в ітс
- •3.2 Класифікація інформації, що обробляється в ітс
- •3.3 Опис компонентів ітс та технології обробки інформації
- •3.4 Загрози для інформації в ітс
- •3.5 Політика безпеки інформації в ітс
- •4 Розробка технічного завдання на створення ксзі
- •4.1 Загальні положення щодо створення тз
- •4.2 Визначення вимог до засобів захисту
- •5 Обґрунтування та вибір методів та засобів захисту ітс
- •5.1 Адміністративний рівень забезпечення безпеки
- •5.2 Організаційний рівень забезпечення інформаційної безпеки
- •5.3 Технічний рівень забезпечення інформаційної безпеки
- •5.4 Забезпечення безперебійної роботи організації
- •5.5 Документи по політиці інформаційної безпеки
- •6 Документація щодо забезпечення режиму інформаційної безпеки
- •6.1 Керування доступом користувачів
- •6.2 Організація роботи персоналу
- •Література
3 Розробка плану захисту
План захисту рекомендується розробляти для всіх ІТС, в яких обробляється інформація, що підлягає захисту згідно з законодавством України, користуючись зазначеними вимогами до його складу і змісту.
План захисту повинен складатись з наступних розділів:
завдання захисту інформації в ІТС;
класифікація інформації, що обробляється в ІТС;
опис компонентів ІТС та технології обробки інформації;
загрози для інформації в ІТС;
політика безпеки інформації в ІТС;
система документів з забезпечення захисту інформації в ІТС.
На підставі Плану захисту складається календарний план робіт з захисту інформації в ІТС.
3.1 Завдання захисту інформації в ітс
Повинні бути визначені основні завдання і мета захисту інформації, об’єкти захисту.
Завданнями захисту інформації можуть бути:
забезпечення визначених політикою безпеки властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації ІТС;
своєчасне виявлення та знешкодження загроз для ресурсів ІТС, причин та умов, які спричиняють (можуть привести до) порушення її функціонування та розвитку;
створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні ІТС;
ефективне знешкодження (попередження) загроз для ресурсів ІТС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;
керування засобами захисту інформації, керування доступом користувачів до ресурсів ІТС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби НСД до ресурсів ІТС;
реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації;
створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків порушення безпеки на функціонування ІТС.
Політика безпеки, яка реалізується КСЗІ для захисту інформації від потенційних внутрішніх та зовнішніх загроз, повинна поширюватись на наступні об’єкти захисту:
відомості (незалежно від виду їхнього представлення), віднесені до інформації з обмеженим доступом (ІзОД) або інших видів інформації, що підлягають захисту, обробка яких здійснюється в ІТС і які можуть знаходитись на паперових, магнітних, оптичних та інших носіях;
інформаційні масиви та бази даних, програмне забезпечення, інші інформаційні ресурси;
обладнання ІТС та інші матеріальні ресурси, включаючи технічні засоби та системи, не задіяні в обробці ІзОД, але знаходяться у контрольованій зоні, носії інформації, процеси і технології її обробки. Технічні області, в яких необхідно захищати інформаційне та програмне забезпечення - робоча станція, комунікаційні канали (фізична мережа) та комутаційне обладнання, сервери, засоби друку та буферизації для утворення твердих копій, накопичувачі інформації;
засоби та системи фізичної охорони матеріальних та інформаційних ресурсів, організаційні заходи захисту;
користувачів (персонал) ІТС, власників інформації та ІТС, а також їхні права.
Забезпечення безпеки інформації в ІТС досягається:
організацією та впровадженням системи допуску співробітників (користувачів) до роботи з інформацією, яка потребує захисту;
організацією обліку, зберігання, обігу інформації, яка потребує захисту, та її носіїв;
організацією і координацією робіт з захисту інформації, яка обробляється та передається засобами ІТС;
здійсненням контролю за забезпеченням захисту інформації, яка обробляється засобами ІТС, та за збереженням конфіденційних документів (носіїв).