Добавлен: 25.10.2023
Просмотров: 978
Скачиваний: 28
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
ГЛАВА 1. СИСТЕМА КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ
1.1 Анализ обрабатываемой информации и классификация ИСПДн
2.1 Организационные мероприятия по защите ПДн в ИСПДн СКУД машиностроительного завода
2.2 Физические мероприятия по защите информации в ИСПДн
2.3 Система охранно-пожарной сигнализации
ГЛАВА 3. БИОМЕТРИЧЕСКИЕ ИДЕНТИФИКАТОРЫ С СКУД
3.1 Обзор рынка биометрических считывателей
По результатам анализа, на основе модели угроз безопасности персональных данных определение класса специальных информационных систем и подготовка актов классификации систем.
4. Внедрение биометрических считывателей для режимных помещений в СКУД, с целью дополнительного контроля санкционированного допуска и предотвращение несанкционированного прохода.
5. Разработка положения об обработке и защите персональных данных.
Положение об обработке и защите персональных данных должно быть разработано в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года №781, а также в соответствие с требованиями методических документов Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации.
6. Сбор и анализ имеющихся и используемых СЗИ, в том числе СКЗИ. Определение класса СВТ в соответствие с регламентирующими документами Федеральной службы по техническому и экспортному контролю Российской Федерации.
7. Разработка и сравнительный анализ вариантов реализации системы защиты персональных данных.
На основе результатов работ будет принято решение о необходимости, варианте и порядке реализации системы защиты персональных данных для информационной системы персональных данных.
безопасность биометрический информационный предприятие
В первую очередь необходима разработка организационных мер защиты информации. При отсутствии надлежащей организации работы, отсутствии системы контроля и надзора за деятельностью сотрудников, все технические средства могут оказаться бессмысленными.
С одной стороны, организационные мероприятия должны быть направлены на обеспечение правильности функционирования механизмов защиты, и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.8
К организационным мерам можно отнести такие
, как:
- идентификация пользователей ИС по паролю;
- регистрация входа \ выхода пользователей в ИС;
- разграничение доступа пользователей к средствам защиты и информационным ресурсам в соответствии с матрицей доступа;
- учет всех материальных носителей информации, регистрация их выдачи;
- физическая охрана ИСПДн, контроль доступа в помещение;
- блокирование терминалов пользователей;
- очистка освобождаемых областей оперативной памяти компьютера и внешних накопителей;
- регистрация фактов распечатки документов с указанием даты, времени и имени пользователя;
- наличие администратора (службы) безопасности, ответственных за ведение, нормальное функционирование и контроль работы средств защиты информации.
Также, к организационным мерам можно отнести отдельные мероприятия на стадии проектирования ИСПДн:
- разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;
- определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн;
- разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно распорядительной документации по защите информации (приказов, инструкций и других документов).
В организации должны быть разработаны такие документы, как:
- положение о работе с персональными данными;
- инструкция администратора безопасности;
- инструкция пользователя ИСПДн;
- положение о парольной защите;
- положение об антивирусной защите;
- регламент проведения проверок безопасности ИСПДн;
- порядок учета и регистрации магнитных носителей информации.
В Положении о работе с персональными данными отражается (Приложение №8):
- порядок получения, обработки, использования и хранения персональных данных;
- порядок передачи персональных данных третьим лицом;
- гарантии конфиденциальности персональных данных.
В инструкции администратора безопасности устанавливаются:
- правовая основа деятельности администратора;
- требования к уровню его знаний, квалификации и опыту;
- перечень вверенного ему оборудования и порядок доступа к нему;
- перечень и периодичность плановых мероприятий по контролю осуществления надлежащего функционирования системы защиты ИСПДн;
- полномочия администратора по контролю за деятельностью пользователей ИСПДн, в частности, разработка и внедрение системы паролей доступа пользователей, организация разграничения доступа пользователей к техническим средствам защиты ИСПДн и информационным ресурсам ИСПДн, выявление допущенных пользователями нарушений инструкций и приостановление / прекращение их доступа в ИСПДн;
- ответственность за допущенные нарушения.
В инструкции пользователя ИСПДн указываются:
- требования к уровню владения техническими средствами обработки информации;
- полномочия доступа к техническим средствам защиты информации;
- полномочия доступа к информационным ресурсам, периферийным устройствам, материальным носителям информации;
- обязанности по соблюдению правил антивирусной защиты ИСПДн;
- ответственность за несоблюдение установленных правил работы в ИСПДн.
Такие документы, как положение о парольной защите, положение об антивирусной защите и регламент проведения проверок безопасности ИСПДн носят технический характер и составляются в соответствии необходимым уровнем обеспечения безопасности ИСПДн, обусловленного ее классом.
2.2 Физические мероприятия по защите информации в ИСПДн
Физические меры защиты - различные механические, электро- или электронно-механические устройства, предназначение для создания физических препятствий на путях проникновения потенциальных нарушителей к защищаемой информации, а также техника визуального наблюдения, связи и охранной сигнализации.
Защита серверов
Физическая безопасность серверов - это очевидный, но в тоже время очень важный аспект безопасности, поскольку физическая незащищенность сервера ведет к большому риску, который может выразиться в неавторизованном доступе к нему и его порче, что повлияет на целостность сервера, всей сети и ее ресурсов.
В первую очередь надо подготовить помещение, где будут стоять серверы. Обязательное правило: сервер должен находиться в отдельной комнате, доступ в которую имеет строго ограниченный круг лиц. На окнах обязательно должны быть жалюзи. Расположение помещения внутри здания также является важной частью защиты. Доступ в данное помещение осуществляется, конечно же, через дверь, она должна быть единственной, в том понимании, что через нее должен осуществляться единственный доступ в комнату. Дверь должна быть надежно укреплена, оборудована кодовыми замками, рассчитана на преднамеренные попытки взлома, а с другой стороны являться неприметной для злоумышленника, существенно не отличаясь от остальных дверей.
Всё оборудование в серверной должно быть размещено в закрытых шкафах или на открытых стойках, число которых определяется исходя из имеющегося оборудования, его типоразмеров и способов монтажа. Закрытые шкафы позволяют организовать дополнительные ограничения доступа к оборудованию с использованием подсистемы контроля доступа. Однако такие шкафы требуют обеспечения необходимого температурного режима, для чего применяются дополнительные вентиляторы, встраиваемые системы охлаждения и модули отвода горячего воздуха. При распределении оборудования по шкафам или стойкам следует учитывать его совместимость, а также распределение мощности, габариты, массу и оптимальность проведения коммуникаций.
Разумным шагом станет отключение неиспользуемых дисководов, параллельных и последовательных портов сервера. Его корпус желательно опечатать. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник каким-то образом проникнет в серверную комнату. Не стоит пренебрегать и такими тривиальными мерами защиты, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно вести запись всего, что происходит в ключевых помещениях офиса.
Защита помещений
Основным моментом физической защиты является доступность в помещение, в котором находится оборудование, способное помочь проникнуть в сеть.
Для защиты от прямого доступа к оборудованию применяются стандартные методы защиты имущества. А именно, установление соответствующей системы безопасности, включающей в себя замки, сигнализацию, квалифицированную охрану, имеющую доступ только до внешнего периметра комнат. То есть не имеющая прямого доступа к оборудованию, которое охраняет.
В помещениях с рабочими компьютерами высокий уровень защиты, необходимый для серверных комнат, не требуется. Поэтому для них используют немного другие методы. Первым делом необходимо препятствовать проникновению посторонних лиц на территорию компании без необходимости. Методом противодействия может служить сопровождение человека от вахты до того места, куда он направляется и обратно. Также следует опасаться стажеров и людей, приходящих на собеседование в компанию. На окнах обязательно должны быть жалюзи. На двери необходимо установить кодовые замки. Ключи от помещения с рабочими компьютерами должны выдаваться сотрудникам, согласно утвержденному списку. Данные помещения не должны оставаться незапертыми при отсутствии в них сотрудников даже на короткое время.
На системных блоках АРМ проходных и корпусов должны быть отключены все дисководы, параллельные и последовательные порты, корпусы опечатаны.
Защита электронных архивов
Методом защиты целостности информации, на случай взлома, является создание архивной копии. Частота создания архивной копии определяется важностью и объемами поступления новой информации. Но в любом случае, методы защиты архивной копии должны не уступать методам защиты основного источника информации.
Важное правило: резервные копии нельзя хранить в одном помещении с сервером. Часто об этом забывают и в результате, защитившись от информационных атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором предусмотрительно сделанные копии гибнут вместе с сервером.