Защищенность помещения используя программно-аппаратные средства

Локализовка информационной системы и обработки персональных данных, составить физическую и логическую схемы локализованной ИСПДн. Установка необходимого класса защищенности, разработка модель угроз и техническое задание на разработку ИСПДн. Произвести оценку соответствия используемых СЗИ требуемым, согласно разработанному техническому заданию.
21.12.2016
«Комсомольский-на-Амуре колледж технологий и сервиса»
Отлично ...

ВВЕДЕНИЕ
1 Локализовать информационную систему обработки персональных данных, составить физическую и логическую схемы локализованной ИСПДн
2 Устанавливать необходимый класс защищенности ИСПДн
3 Разработать модель угроз ИСПДн
4 Разработать технические задание на разработку СЗИ
5 Оценка соответствия используемых СЗИ требуемым, согласно разработанном ТЗ
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ПРИЛОЖЕНИЕ А (Физические схемы локализованной ИСПДн)
ПРИЛОЖЕНИЕ Б (Схема логической локализованной ИСПДн)

Учебная практика проходила на базе (название предприятия) период с __________ по __________.
Цель практики: приобретение практических навыков и освоение профессиональной компетенции по ПМ 03 МДК 02 «Программно-аппаратные средства защиты».
Задачи практики:
1. Локализовать информационную систему обработки персональных данных, составить физическую и логическую схемы локализованной ИСПДн;
2. Установить необходимый класс защищенности ИСПДн;
3. Разработать модель угроз ИСПДн;
4. Разработать техническое задание на разработку СЗИ;
5. Произвести оценку соответствия используемых СЗИ требуемым, согласно разработанному ТЗ.
Общие компетенции (перечисление)

В параметрах регистрации указываются:- дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;- должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку).Подсистема обеспечения целостности:должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.При этом:- целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;- целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ;- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АСпосторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;- должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.2-й тип защищенности ИСПДнУгрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. 2-й класс защищенности ИСПДнДля обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, , необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).Составила модель угроз осваивая профессиональную компетенцию, так же определила актуальность угрозы ПДн и уровень защищенности – средний.Разработать модель угроз ИСПДнМной были изучены документы и составлена модель угроз ИСПДн:Изучив нормативный документ ФСТЭК «Методика определения угроз безопасности информации в информационных системах от 2015». Я составила модель угроз, с помощью показателей характеризующие проектную защищенность информационной. В ходе создания информационной системы уровень проектной защищенности (Y1П) определяется следующим образом: а) информационная система имеет высокий уровень проектной защищенности (Y1П), если не менее 80% характеристик информационной системы соответствуют уровню «высокий» (суммируются положительные решения по второму столбцу, соответствующему высокому уровню защищенности), а остальные среднему уровню защищенности; б) информационная система имеет средний уровень проектной защищенности (Y1П), если не выполняются условия по пункту а) и не менее 90% характеристик информационной системы соответствуют уровню не ниже «средний», а остальные - низкому уровню защищенности; в) информационная система имеет низкий уровень проектной защищенности (Y1П), если не выполняются условия по пунктам а) и б).Из этого следует вывод что уровень проектной защищённости - средний. Разработать технические задание на разработку СЗИ .Одно из средство мной было изучено это Dallas Lock верия 8.0-С она представляет с собой средства защиты информации, в процессе её хранения и обработки, от несанкционированного доступа. Представляет собой программный комплекс средств защиты информации в автоматизированных системах.Защита в соответствии с законодательством: Сертификаты ФСБ и ФСТЭК России позволяют использовать Dallas Lock для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Г включительно.Основные возможности СЗИ от НСД Dallas Lock 8.0-С:запрет/разрешение последовательных и параллельных портов;запрещение доступа к определенным типам накопителей информации;возможность блокировки файлов по расширению;возможность использования вместо стандартной графической оболочки пользователя Windows специальной защищенной оболочки СЗИ от НСД Dallas Lock 8.0-С, программы, которая отвечает за создание рабочего стола, наличие на нем ярлыков программ, панели задач и меню «Пуск»;ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы;функции прозрачного преобразования локальных жестких дисков и кодирование файлов;наличие функций автоматизации создания замкнутой программной среды (режим обучения, мягкий режим);гарантированная очистка остаточной информации с возможностью выбора количества циклов затирания;Оценка соответствия используемых СЗИ требуемым, согласно разработанном ТЗВ данном ТЗ невозможно описать все положения руководящих и нормативных документов ФСТЭК России, все особенности выбора и применения сертифицированных СЗИ. Требуется заострить внимание при выборе средств защиты. Системы сертификации - отличные. Сертификация средств защиты должна быть обязательной по ФСТЭКу.