Файл: Содержание введение 3 Основная часть 5 1Анализ структуры Университета 5.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.12.2023

Просмотров: 2097

Скачиваний: 13

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.



  1. Введение

В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также национальных стандартов Российской Федерации в области защиты информации и создания автоматизированных систем (далее - национальные стандарты), НМД ФОИВ, уполномоченных в области безопасности и криптографических средств защиты информации (ФСБ России), в области технической защиты информации и противодействия иностранным техническим средствам разведки (ФСТЭК России), определены требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее - информация), от её утечки по техническим каналам, НСД и специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней (далее - защита информации).

  1. Краткое описание СИЗ

Объект информатизации – СИЗ, являющаяся распределенной ИСПДн. СИЗ разделена на следующие сегменты:

  • центральный сегмент – ЦОД, расположенный по адресу Заказчика: 2-й Кожуховский пр., 12, стр. 1, Москва;

  • сегменты Клиентов Заказчика;

В состав центрального сегмента входят 52 виртуальных серверов и 2 физических сервера БД.

В СИЗ планируется обработка специальных категорий персональных данных с количеством записей более 100000, иных категорий персональных данных и общедоступных категорий персональных данных.

Подключение сегментов Клиентов Заказчика к центральному сегменту СИЗ реализовано с помощью:

    • приложения (поддерживаются только операционные системы Windows)

    • пользовательского интерфейса для работы WEB-браузере

    • мобильного рабочего места, представленного в виде отдельного приложения, машинный код которого исполняется в операционной системе мобильного устройства («нативное» приложение), поддерживаются операционные системы Android и iOS.

Для процессов формирования и проверки электронной подписи в СИЗ используется СКЗИ «КриптоПро CSP 4.0» производства ООО «КРИПТО-ПРО».

3. Требования к защите информации в СИЗ

СИЗ должна соответствовать требованиям к защите информации от несанкционированного доступа для автоматизированных систем класса защищенности и обеспечивать:

    • идентификацию, проверку подлинности и контроль доступа субъектов;

    • запрет доступа к ресурсам СИЗ пользователям, подлинность идентификации которых при аутентификации не подтвердилась;

    • целостность программных средств защиты информации от несанкционированного доступа к обрабатываемой информации, а также неизменность программной среды;

    • обработку информацию с грифом ДСП


Для организации доступа пользователей Клиента Заказчика Исполнитель реализует защиту канала связи между ЦОД Заказчика, в котором функционирует СИЗ, и КСПД Клиента Заказчика. СКЗИ используемые для организации канала размещаются в пределах Защищенного периметра КСПД Клиента Заказчика. Технические средства для организации защищенного канала поставляются Исполнителем. Технические средства для организации защищенного канала должны работать в кластере с горячим резервированием.

Перечень работ и услуг






эта-

па

Наименование работ, услуг

1

Анализ угроз безопасности информации

2

Проектирование подсистемы защиты информации

3

Настройка средств защиты информации

4

Формирование комплекта ОРД

5

Проведение аттестационных испытаний на соответствие требованиям безопасности информации, выдача аттестата соответствия в случае положительных результатов испытаний

4. Цели и задачи работ по проектированию

Целью выполнения работ по созданию подсистемы защиты информации СИЗ является создание подсистемы защиты информации СИЗ, соответствующей требованиям, предусмотренным Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ними НМД ФОИВ.

Для достижения указанной цели требуется решение следующих задач:

  1. сбор и анализ информации о технологическом процессе обработки информации в СИЗ;

  2. определение состава и структурной схемы СИЗ, границ контролируемой зоны объекта информатизации Заказчика;

  3. классификация СИЗ;

  4. определение угроз безопасности информации и разработку на их основе модели угроз и модели нарушителя безопасности информации, обрабатываемой в СИЗ;

  5. регламентация необходимых процедур, связанных с реализацией на объекте информатизации Заказчика организационных и технических мер по защите информации, обрабатываемой в СИЗ;

  6. разработка технического проекта, и эксплуатационной документации СИЗ ;

  7. поставка, пуско-наладка и ввод в эксплуатацию программных и программноаппаратных средств защиты информации в соответствии с техническим проектом;

  8. аттестация объекта информатизации на соответствие требованиям к информационным системам, предназначенным для обработки персональных данных, в соответствии ФЗ №152 от 27 июля 2006 г. «О Персональных данных».


Разрабатываемая ПЗИ СИЗ должна соответствовать требованиям по защите информации, предъявляемым законодательством Российской Федерации.

5. Перечень выполняемых работ

Для решения перечисленных задач требуется проведение следующих упорядоченных во времени и взаимосвязанных мероприятий, сгруппированных в отдельные этапы с целью оптимальной реализации проекта.

Этапы:

      • Анализ угроз безопасности информации, включая проведение комплексного обследования (аудита);

      • Проектирование подсистемы защиты информации;

      • Поставка, установка и настройка средств защиты информации;

      • Формирование комплекта ОРД;

      • Проведение аттестационных испытаний на соответствие требованиям безопасности информации.

Отчетная документация по каждому этапу работ принимается Заказчиком в распечатанном на бумаге и электронном виде.

6. Место выполнения работ по адресу Заказчика:

г. Москва, 2-й Кожуховский пр., 12, стр. 1.
    1. 1   2   3   4   5   6   7   8   9   10

Оценка экономического эффекта от приложения «Secret Net LSP»



Смоделируем, что установить «Secret Net LSP» необходимо на 54 компьютера, так как на них происходит обработка персональных данных студентов. В таблице 8 представлено сравнение цены с другими СЗИ.

Таблица 8Сравнительный анализ СИЗ



Название

Кол-во устройств

Цена за устройство

Итого

1

Комплект «Постоянная защита» Средства защиты информации Secret Net LSP (51-250 лицензий)

54

7930 руб

428 220 руб

2

Dallas Lock 8.0‐K

54

7500 руб

405 000 руб

3

Панцирь-К

54

4500 руб

243 00 руб

4

СЗИ Аура 1.2.4

54

6000 руб

324 000 руб


Несмотря на то, что цена «Secret Net LSP» выше, чем у других средств защиты, именно он лучше всего подходит по оценке характеристик безопасности.

Основной частью показателей экономической эффективности является расчет сметы затрат на разработку программного комплекса средств защиты информации, включающую в себя:

  1. затраты на трудовые ресурсы (заработная плата исполнителей);

  2. отчисления с заработной платы;

  3. затраты на оборудование;

  4. затраты на расходные материалы;

  5. прочие расходы.

Состав и содержание работ по внедрению программно-аппаратного комплекса СЗИ представлен в таблице 9.

Таблица 9 – Состав и содержание работ

№ пункта



Содержание работ

Начало

Окончание

Длительность

Исполнители

Стадия 1. Техническое задание

1

Постановка задачи

0

1

1

Инженер

2

Сбор исходных информационных материалов

1

2

1

Инженер

3

Обоснование необходимости внедрения

программно-аппаратного комплекса СЗИ

1

2

1

Инженер

4

Определение требований к техническим средствам

4

5

1

Инженер

5

Обоснование принципиальной возможно-

сти решения поставленной задачи

3

4

1

Инженер

6

Согласование и утверждение внедрения

программно-аппаратного комплекса СЗИ

5

6

1

Инженер

Стадия 2. Эскизный проект

7

Уточнение методов решения задачи

6

7

1

Инженер

8

Анализ существующих СЗИ

7

8

1

Инженер

Стадия 3. Технический проект

9

Изучение существующей сети организации

7

8

1

Инженер





10

Разработка плана мероприятий по внедрению программно-аппаратного комплекса СЗИ

9

10

1

Инженер

11

Разработка пояснительной записки к ТП

9

11

2

Инженер

12

Согласование и утверждение ТП

11

12

1

Инженер

Стадия 4. Рабочий проект

13

Установка и настройка Secret Net LSP

11

19

8

Инженер

14

Установка программных средств защиты

информации (СЗИ)

13

16

3

Инженер

15

Разработка эксплуатационных документ ов

16

17

1

Инженер

16

Согласование и утверждение порядка и

методики тестирования

17

18

1

Инженер

Стадия 5. Внедрение

17

Подготовкаиустановкапрограммно- аппаратного комплекса, передача документации

19

20

1

Инженер

18

Обучение персонала

20

21

1

Инженер

19

Ввод в эксплуатацию

21

22

1

Инженер