- •Міністерство транспорту та зв’язку України
- •2 Структура та об’єм курсового проекту
- •2.1. Титул
- •2.2 Завдання на проектування
- •2.3 Реферат
- •2.4 Зміст
- •2.5 Перелік умовних позначень, символів, одиниць, скорочень і термінів
- •2.6 Вступ
- •2.7 Суть роботи
- •2.7.1. Аналіз завдання, що виконується
- •2.7.2 Дослідження існуючого стану
- •2.7.3 Дослідження шляхів та методів виконання завдання
- •2.7.4 Опис творчого процесу виконання завдання
- •2.8 Висновки
- •2.9 Вимоги до переліку використаних джерел
- •2.10 Вимоги до додатків
- •2.10.1 Призначення додатків
- •2.10.2 Типи додатків
- •3 Оформлення пояснювальної записки
- •3.1 Загальні вимоги
- •3.2 Нумерація сторінок пояснювальної записки
- •3.2 Нумерація розділів, підрозділів, пунктів і підпунктів
- •3.4 Ілюстрації
- •3.5 Таблиці
- •4.6 Переліки
- •3.7 Примітки
- •3.8 Формули та рівняння
- •3.9 Посилання
- •3.10 Титульний аркуш
- •3.11 Додатки
- •4 Основні етапи проектування
- •4.1 Формування загальних вимог до ксзі в ітс
- •4.1.1 Обґрунтування необхідності створення ксзі
- •4.1.2 Обстеження середовищ функціонування ітс
- •4.1.3 Формування завдання на створення ксзі
- •4.2 Розробка політики безпеки інформації в ітс
- •4.2.1 Вивчення об’єкта, на якому створюється ксзі, проведення науково-дослідних робіт
- •4.2.2 Вибір варіанту ксзі
- •4.2.3 Оформлення політики безпеки
- •4.3. Розробка плану захисту ітс
- •4.3.1 Завдання захисту інформації в ітс
- •4.3.2 Класифікація інформації, що обробляється в ітс
- •4.3.3 Опис компонентів ітс та технології обробки інформації
- •4.3.4 Загрози для інформації в ітс
- •4.3.5 Політика безпеки інформації в ітс
- •4.4 Розробка технічного завдання на створення ксзі
- •4.4.1 Загальні положення щодо створення тз
- •4.4.2 Визначення вимог до засобів захисту
- •4.5 Обґрунтування та вибір методів та засобів захисту ітс
- •4.5.1 Адміністративний рівень забезпечення безпеки
- •4.5.2 Організаційний рівень забезпечення інформаційної безпеки
- •4.5.3 Технічний рівень забезпечення інформаційної безпеки
- •4.5.4 Забезпечення безперебійної роботи організації
- •4.5.5 Документи по політиці інформаційної безпеки
- •4.6 Документація щодо забезпечення режиму інформаційної безпеки
- •4.6.1 Керування доступом користувачів
- •4.6.2 Організація роботи персоналу
- •Додаток а Приклад оформлення курсового проекту
- •Додаток а.3 Оформлення рецензії на курсовий проект
- •Рецензія
- •На курсовий проект
- •Комплексна система захисту інформації автоматизованої системи класу 2
- •Додаток а.4 Оформлення реферату курсового проекту
- •Додаток а.5 Оформлення змісту курсового проекту
- •Додаток а.6 Оформлення переліку умовних позначень, символів, одиниць, скорочень і термінів Позначення та скорочення
- •Додаток а.7 Оформлення переліку використаних джерел
- •Позначення та скорочення
- •Література
- •1 Загальні положення 2
4.5.5 Документи по політиці інформаційної безпеки
Політика ІБ утримується в наступних документах:
концепція політики ІБ;
аналіз ризиків;
визначення вимог до засобів захисту й вибір основних рішень по забезпеченню режиму ІБ;
посадові інструкції персоналу й користувачів ІТС (розробляється на етапі "Робоча документація, що ставиться до забезпечення режиму ІБ");
забезпечення безперебійної роботи організації.
4.6 Документація щодо забезпечення режиму інформаційної безпеки
4.6.1 Керування доступом користувачів
Для керування процесом надання прав доступу до інформаційних систем потрібно розробити формальні процедури.
Ці процедури повинні містити в собі всі стадії життєвого циклу керування доступом користувачів - від початкової реєстрації нових користувачів до видалення облікових записів користувачів, які більше не мають потреби в доступі до інформаційних сервісів. Особливу увага варто приділити необхідності керування процесом надання привілейованих прав доступу, які дозволяють користувачам обійти засобу системного контролю.
4.6.2 Організація роботи персоналу
Посадові інструкції персоналу
Для персоналу, допущеного до роботи в ІТС, повинні існувати посадові інструкції, у яких установлюються обов'язки й відповідальність за забезпечення інформаційної безпека відповідно до прийнятої політики інформаційної безпеки.
В інструкціях необхідно відбити як загальну відповідальність за проведення в життя або підтримку політики безпеки, так і конкретні обов'язки по захисту певних ресурсів або відповідальність за виконання певних процедур або дій по захисту. При розробці інструкцій рекомендується враховувати наступні аспекти.
Робота з носіями інформації
Повинні бути підготовлені інструкції з роботи з усіма носіями конфіденційних даних: документів, магнітних стрічок, дисків, звітів, і т. ін. Пропонується розглянути наступні пункти:
правила роботи з носіями інформації і їхнє маркування;
реєстрація одержувачів даних, що мають відповідні повноваження;
забезпечення повноти вхідних даних;
підтвердження одержання переданих даних (по необхідності);
надання доступу до даних мінімальному числу осіб;
маркування всіх копій даних для одержувача, що має відповідні повноваження;
своєчасне відновлення списків одержувачів із правом доступу до даних.
Знищення носіїв інформації
В організації повинні існувати інструкції зі знищення носіїв інформації. Пропонуються наступні рекомендації:
Носії даних, що містять конфіденційну інформацію, необхідно знищувати за допомогою їхнього спалювання або здрібнювання (для паперових носіїв), або стирати (для магнітних носіїв) при повторному використанні.
Для ідентифікації носіїв даних, які можуть зажадати знищення, пропонується використати спеціальні ідентифікатори.
У деяких випадках буде простіше знищувати всі непотрібні носії даних, чим намагатися виділити з них носії, на яких записана конфіденційна інформація.
Кожен випадок видалення носіїв конфіденційної інформації необхідно (по можливості) реєструвати в контрольному журналі.
При нагромадженні інформації, що підлягає видаленню, варто враховувати, що найчастіше велика кількість несекретної інформації містить більше важливу інформацію, чим мала кількість секретної інформації.
Адміністрування ІТС
Адміністратор ІТС повинен забезпечувати надійну роботу ІТС і відповідність вимогам інформаційної безпеки.
Обов'язки адміністратора ІТС і процедури по адмініструванню повинні бути викладені в посадовій інструкції.
Повинні бути описані інструкції з виконання кожного завдання, у тому числі:
припустимі процедури оперування з файлами даних;
вимоги до планування виконання завдань;
інструкції з обробки помилок й інших виняткових ситуацій, які можуть виникнути під час виконання завдань, у тому числі обмеження на використання системних утиліт;
звернення за допомогою у випадку виникнення технічних й інших проблем, пов'язаних з експлуатацією ІТС;
порядок одержання вихідних даних і забезпечення їхньої конфіденційності, включаючи процедури надійного видалення вихідної інформації від у випадку збоїв завдань;
процедури перезапуску й відновлення працездатності систем, використовувані у випадку їхньої відмови.
Повинні бути підготовлені інструкції для робіт з обслуговування систем, пов'язаних з адмініструванням АС, у тому числі процедури запуску й останову АС, резервне копіювання даних, технічне обслуговування встаткування.
Робота із представниками сторонніх організацій
Залучення представників сторонніх організацій до роботи в ІТС може привести до додаткового ризику порушення режиму інформаційної безпеки.
Необхідно завчасно виявити такий ризик і вжити заходів по його зменшенню. Варто розглянути наступні питання:
виявити особливо уразливі або критично важливі додатки, винос яких за межі організації небажаний;
одержувати санкції на використання додатків від їхніх власників;
в інструкціях повинні бути описані правила роботи із представниками сторонніх організацій, перевірка дотримання вимог інформаційної безпеки.