Разработка политики безопасности ООО

(СЗ) Программа «Проводник» — используется для настройки параметров, относящихся к атрибутам файлов и каталогов, в механизмах полномочного разграничения доступа и шифрования.(С4) Программа «Контроль программ и данных» — предназначена для управления механизмами контроля целостности и замкнутой программной среды.(С5) Средства экспорта и импорта параметров — используются для тиражирования эталонных настроек системы защиты. С помощью средств экспорта и импорта упрощается локальная настройка нескольких компьютеров с одинаковыми параметрами защитных механизмов. Параметры с эталонного компьютера переносятся на другой компьютер (или группу компьютеров) без необходимости повторять весь процесс настройки на каждом из них. В системе SecretNet предусмотрено делегирование полномочий администратора безопасности. Это означает, что некоторые функции по настройке и управлению работой защитных механизмов могут быть возложены на пользователей, не являющихся членами группы доменных администраторов. При этом настройка и управление могут осуществляться только в рамках определенных организационных подразделений, созданных внутри домена. К общим параметрам безопасности Windowsпосле модификации схемы АО добавляются параметры SecretNet, действие которых распространяется на компьютеры сети средствами групповых политик. Доступ к этим параметрам осуществляется в стандартном узле «Параметры безопасности» оснастки «Групповая политика» или «Редактор объектов групповой политики» (в зависимости от операционной системы).Оснастку можно вызывать как отдельный, самостоятельный инструмент или в качестве расширения таких оснасток как ActiveDirectory — пользователи и компьютеры" или «ActiveDirectoryActiveDirectory — сайты и службы».До начала установки системы SecretNet 6.5 следует выполнить ряд подготовительных мероприятий:

Назначить и подготовить сотрудников, которые будут устанавливать и эксплуатировать систему SecretNet 6.

5. Определить режимы работы SecretNet 6.5, для чего на тестовой группе компьютеров провести проверку совместимости используемых в организации приложений с расстановкой прав, выполняемой программой установки SecretNet 6.5, и работой механизмов защиты. Выполнить ревизию функционирования домена и устранить ошибки в его работе (при наличии таковых).Проверить соответствие компьютеров домена требованиям к аппаратному и программному обеспечению. Компоненты SecretNet 6.5 устанавливаются на компьютеры, работающие под управлением ОС Windows 2000/XP Professional/2003/Vista и оснащенные процессорами семейства INTEL X86 или совместимыми с ними. Все разделы жестких дисков компьютеров должны иметь файловую систему NTFS или NTFS5. Все компьютеры, на которых планируется использовать персо-нальные идентификаторы, должны быть оборудованы разъемом для подключения (предъявления) персональных идентификаторов. На этих компьютерах необходимо установить соответствующее программное обеспечение (ПО) для работы с персональными идентификаторами (например, для работы с идентификаторами eToken устанавливается ПО eTokenRunTimeEnvironment).Установка системы осуществляется после выполнения подготовительных мероприятий в следующей последовательности:

Включить все контроллеры домена. Установить на контроллере домена инструментарий WindowsSupportTools из состава дистрибутива ОС. Выполнить модификацию AD и дождаться репликации схемы AD на все контроллеры домена. На компьютерах, которые будут использоваться в качестве серверов безопасности, установить: • ПО сервера безопасности; • ПО клиента. На рабочих местах администраторов SecretNet 6.5 установить: • средство MicrosoftAdministrationToolsPack из состава дистри-бутива ОС Windows серверных платформ; • ПО клиента; • средства управления. Установить ПО клиента системы SecretNet 6.5 на серверы и контроллеры домена, затем на компьютеры сотрудников. При большом количестве компьютеров целесообразно применить автоматическую установку ПО клиента. Параметры пользователей используются механизмами защиты входа, шифрования и полномочного разграничения доступа. Параметры пользователя применяются при входе в систему после выполнения процедуры идентификации и аутентификации пользователя. Параметры доменных и локальных пользователей хранятся, соответственно, в ActiveDirectory или в локальных базах данных защищаемых компьютеров. При копировании объектов «Пользователь» параметры SecretNet 6.5 не копируются. Настройка параметров доменных и локальных пользователей осуществляется в соответствующих оснастках: доменные пользователи представлены в оснастке «ActiveDirectory — пользователи и компьютеры», локальные пользователи — вВызовите нужную оснастку: ActiveDirectory —пользователи и компьютеры.

Активируйте команду «Пуск — Все программыАдминистрирование — ActiveDirectory — пользователи и компьютеры». Для управления параметрами доменных пользователей на компьютере, не являющемся контроллером домена, должны быть установлены средства централизованного управления ОС WindowsУправление компьютером.

Активируйте команду «Пуск — Все ПрограммыSecretNet 6.5 — Управление компьютером» Найдите и выберите папку «Пользователи». В правой части появится список пользователей. Вызовите окно настройки свойств пользователя и перейдите к диалогу «SecretNet 6.5» .В левой части диалога расположена панель выбора режима работы. Переключение между режимами осуществляется выбором соответствующей пиктограммы на этой панели. Предусмотрены режимырпедставленные в таблице 2.1:Таблица 2.1 Режимы работы «SecretNet 6.5Режим.

НазначениеИдентификатор

Управление персональными идентификаторами пользователя.

КриптоключУправление криптографическими ключами пользователя.

ДоступУправление параметрами полномочного доступа.

СервисПроверка принадлежности персональных идентификаторов.

Управление персональными идентификаторами.

Персональный идентификатор — устройство, предназначенное для хранения информации, необходимой при идентификации и аутентификации пользователя. В идентификаторе могут храниться криптографические ключи пользователя. В SecretNet 6.5 используются персональные идентификаторы iButton и USB-ключи eToken.Пояснение. Для хранения криптографических ключей могут также использоваться сменные носители, такие как дискеты, Flash-карты, USB Flash-накопители и т. п. В дальнейшем в данном руководстве термин «идентификатор» будет применяться и к сменным носителям. Персональный идентификатор выдается пользователю администратором. Пользователю можно присвоить неограниченное число идентификаторов. Один и тот же персональный идентификатор не может быть присвоен нескольким пользователям одновременно. Администратор безопасности может выполнять следующие операции с персональными идентификаторами: Инициализация идентификатора.

Форматирование, обеспечивающее возможность использования идентификатора в системе SecretNet 6.

5. Инициализация требуется, когда в персональном идентификаторе по каким-либо причинам была нарушена или отсутствует структура данных. Форматированию подлежат также и сменные носители, предназначенные для хранения ключей.

Присвоение идентификатора. Добавление в базу данных SecretNet 6.5 сведений о том, что пользователю принадлежит персональный идентификатор данного типа с уникальным серийным номером.

Отмена присвоения идентификатора.

Удаление из базы данных SecretNet 6.5 информации о принадлежности данного персонального идентификатора данному пользователю. Далее для простоты эту операцию будем называть «удаление идентификатора» Включение режима хранения пароля в идентификаторе.

Добавление в базу данных SecretNet 6.5 сведений о включении для пользователя режима хранения пароля в идентификаторе. Одновременно с этой операцией выполняется запись пароля в идентификатор. После включения режима пароль пользователя при входе в систему не вводится с клавиатуры, а считывается из идентификатора.

Отключение режима хранения пароля в идентификаторе.

Операция, противоположная предыдущей. Одновременно с отключением режима хранения выполняется удаление пароля из памяти персонального идентификатора. Идентификатор остается закрепленным за пользователем. Запись и удаление криптографических ключей.

Используется для хранения в идентификаторе (или на сменном носителе) криптографических ключей пользователя.

Проверка принадлежности.

С помощью этой операции администратор безопасности может проверить, кому из пользователей присвоен данный персональный идентификатор. При настройке абонентского пункта аппаратно-программный комплекс шифрования «Континент», необходимо учитывать о том, что внесены изменения в список протоколов и портов, используемых для связи между компонентами комплекса. Если на пути зашифрованного трафика находятся межсетевые экраны или другое оборудование, осуществляющее фильтрацию IP-пакетов, необходимо создать для них правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих направлениях. Кроме того, необходимо разрешить прохождение служебных пакетов комплекса «Континент» по протоколам и портам, указанным в таблице 2.

2.Таблица 2.2Изменения в список протоколов и портов, используемых для связи между компонентами комплекса.

Протокол/порт.

НазначениеИсточник/получатель.

ПримечанияIP-250Передача зашифрованного трафика.

КШ / КШ, КШ / ЦУСIP-250Передача зашифрованного трафика.

КШ / Абонентский пункт;

Абонентский пункт / КШАПКШ Континент 3.

01.18 и более ранние версииTCP/4439.

Установка соединения между Абонентским пунктом и Сервером доступа.

Абонентский пункт / Сервер доступа.

АПКШ Континент 2.

00.77 и более поздние версииTCP/4440.

Установка соединения между Абонентским пунктом и Сервером доступа.

Абонентский пункт / Сервер доступа.

АПКШ Континент 2.

00.67 и более ранние версииTCP/4431.

Управление Сервером доступа.

Программа управления Сервером доступа / Сервер доступа.

АПКШ Континент 3.

02.21 и более поздние версииTCP/4441.

Управление Сервером доступа.

Программа управления Сервером доступа / Сервер доступа.

АПКШ Континент версий 3.

1.18 и более раннихTCP/4443.

Установка соединения между Абонентским пунктом и Сервером доступа.

Абонентский пункт / Сервер доступа.

АПКШ Континент 2.

00.67 и более ранние версииTCP/4444.

Передача сообщений от Программы управления ЦУС к ЦУС и обмен сообщениями между ЦУС и Агентом ЦУСПрограмма управления ЦУС / ЦУС;Агент ЦУС / ЦУС;ЦУС / Агент ЦУСTCP/4445.

Передача обновлений ПОот Программы управления ЦУС к ЦУС и обмен сообщениями между Программой управления ЦУС и Агентом ЦУСПрограмма управления ЦУС / ЦУС;Программа управления ЦУС / Агент ЦУС;Агент ЦУС / Программа управления ЦУСАПКШ Континент 3.

01.18 и более поздние версииTCP/5100.

Передача сообщений от ЦУС к КШ и обмен сообщениями между КШ в кластере.

ЦУС / КШ;Основной КШ / Резервный КШ;Резервный КШ / Основной КШАПКШ Континент 3.0X.XX и более поздние версииTCP/5101.

Передача сообщений от КШ к ЦУСКШ / ЦУСАПКШ Континент 3.0X.XX и более поздние версииTCP/5102.

Передача файлов от ЦУС к КШЦУС / КШАПКШ Континент 3.0X.XX и более поздние версииTCP/5555.

Передача сообщений от ЦУС к КШ и обмен сообщениями между КШ в кластере.

ЦУС / КШ;Основной КШ / Резервный КШ;Резервный КШ / Основной КШАПКШ Континент 2.

00.ХХTCP/5556.

Передача сообщений от КШ к ЦУСКШ / ЦУСАПКШ Континент 2.

00.ХХTCP/5560.

Передача файлов от ЦУС к КШЦУС / КШАПКШ Континент 2.

00.ХХUDP/4440.

Обмен сообщениями между сервером доступа и абонентским пунктом.

Сервер доступа / Абонентский пункт;

Абонентский пункт / Сервер доступа.

АПКШ Континент 3.

01.18 и более ранние версииUDP/5101.

Передача сообщений от КШ к ЦУСКШ (исходящий порт 5100) / ЦУСАПКШ Континент 3.0X.XX и более поздние версииUDP/5557.

Передача сообщений об активности между КШ в кластере.

Основной КШ / Резервный КШ;Резервный КШ / Основной КШАПКШ Континент 3.0X.XX и более поздние версииUDP/4433.

Обмен сообщениями между сервером доступа и абонентским пунктом.

Сервер доступа / Абонентский пункт.

АПКШ Континент 3.

02.21 и более поздние версииUDP/7500.

Обмен сообщениями между сервером доступа и абонентским пунктом.

Абонентский пункт / Сервер доступа.

АПКШ Континент 3.

02.21 и более поздние версииIII ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА3.1 Выбор и обоснование методики расчёта экономической эффективности.

Для выработки подхода к оценке экономической эффективности предполагаем, что при нарушении защищенности информации происходит некоторый экономический ущерб, а с другой стороны выполнение мероприятий по обеспечению защиты информации требует финансовых расходов. Стоимость защиты отражается суммой расходов на защиту и потерями нарушения безопасности. Естественное желание снизить расходы, связанные с защитой информации. Считаем, что экономическая эффективность системы защиты информации может быть оценена объемом ущерба, который мог быть нанесен организации в случае отсутствия системы защиты информации. Для применения описанного подхода необходимооценить ожидаемые потери при нарушении защиты информации;

— оценить связь между средствами потраченными на защиту информации и уровняем защищенности. Определим уровень затратRi" который обеспечивает необходимый уровень защищенности. Для этого необходимо иметь полный список угроз информации, оценку опасности каждой из угроз, размеры затрат, необходимых для устранения угрозы. Для определения уровня затрат используем соотношение Ri = 10(Si + Vi — 4), где: Si — коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi — коэффициент, характеризующий значение возможного ущерба при ее возникновении. Используем таблицу 3.1 для определения коэффициентов SiиVi. Таблица 3.1Значения коэффициентов SiиViОжидаемая (возможная).

частота появления угрозы.

Предполагаемое значениеSiПочти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год).

51−2 раза в неделю (примерно 100 раз в год).

63 раза в день (1000 раз в год).

7Значение возможного ущербапри проявлении угрозы, руб. Предполагаемое значение Vi30030013 230 3 300 43 000 530 000 6 300 000 0007.

Суммарная стоимость потерь определяется формулойR= где N — количество угроз информационным активам, определенных в п.

1.2.

3.результаты оценки уровня затрат представим в виде таблицы 3.2Таблица 3.2Величины потерь (рисков) для критичных информационных ресурсовдо внедрения/модернизации системы защиты информации.

АктивУгроза.

Величина потерь (тыс.

руб.)Данные о клиенте.

Намеренное повреждение10 000.

Данные о клиенте.

Вредоносное ПО1000.

Данные о клиентеперехват1000.

Данные о клиентеошибка операторов10 000.

Данные о клиенте.

Ухудшение состояний носителей данных1000.

Персональные данные о сотрудниках.

Намеренное повреждение1000.

Персональные данные о сотрудниках.

Вредоносное ПО100Персональные данные о сотрудникахперехват1000.

Персональные данные о сотрудникахошибка операторов100Персональные данные о сотрудниках.

Ухудшение состояний носителей данных10 000.

Сведения о поставщиках товаров.

Намеренное повреждение1000.

Сведения о поставщиках товаров.

Вредоносное ПО1000.

Сведения о поставщиках товаровперехват10 000.

Сведения о поставщиках товаровошибка операторов1000.

Сведения о поставщиках товаров.

Ухудшение состояний носителей данных100Отчеты о продажах компании.

Вредоносное ПО1000.

Отчеты о продажах компанииперехват100Отчеты о продажах компанииошибка операторов1000.

Отчеты о продажах компании.

Ухудшение состояний носителей данных1000.

Сервер компании.

Намеренное повреждение100Сервер компании.

Неисправности в системе кондиционирования воздуха100Сервер компании.

Экстремальные величины температуры и влажности1000.

Сервер компании.

Кража100Сервер компании.

Ошибка при обслуживании100Сервер компании.

Использование ПО несанкционированными пользователями1000.

Сервер компании.

Незаконное использование ПО1000.

Сервер компанииповреждение линий1000.

Сервер компанииперегруженный траффик1000.

Сервер компанииперехват1000.

Сервер компании.

Неисправности в системе электроснабжения1000.

Сервер компанииошибка операторов1000.

Сервер компаниинедостаточная численность персонала1000.

Сервер компании.

Ухудшение состояний носителей данных1000.

Суммарная величина потерь905 0003.

2 Расчёт показателей экономической эффективности проекта.

Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер. Данные о содержании и объеме разового ресурса, выделяемого на защиту информации приведены в таблице 3.3Таблица 3.3Содержание и объем разового ресурса, выделяемого на защиту информации.

Организационные мероприятия№ пп.

Выполняемые действия.

Среднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.

час)Стоимость, всего (тыс.

руб.)1.Разработка технического задания10 020 202.

Разработка политики информационной безопасности1 005 050.

Разработка приказов на введение политики информационной безопасности10 020,24.Разработка должностных инструкций 10 050 505.

Разработка технического регламента1 005 050.

Стоимость проведения организационных мероприятий, всего170,2Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материалов.

Стоимость, единицы (тыс.

руб)Кол-во (ед.измерения)Стоимость, всего (тыс.

руб.)1Аппаратно-программный комплекс шифрования «Континент901 902.

Система защиты информации SecretNet6,421 134,43.SecurityStudioEndpointProtection2,72 156,74.Сервер доступа TrustAccess3135.

Составление пакета документов121 216.

Программное решение HoneypotManager.16 116.

Стоимость проведения мероприятий инженерно-технической защиты321.

1Объем разового ресурса, выделяемого на защиту информации491.

3Данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации представлены в таблице 3.

4.Таблица 3.4Содержание и объем постоянного ресурса, выделяемого на защиту информации.

Организационные мероприятия№ пп.

Выполняемые действия.

Среднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.

час)Стоимость, всего (тыс.

руб.)1Администрирование системы20 016 503 302.

Аудит системы безопасности20 040 080.

Стоимость проведения организационных мероприятий, всего410Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материалов.

Стоимость, единицы (тыс.

руб)Кол-во (ед.измерения)Стоимость, всего (тыс.

руб.)Регламентные работы и техобслуживание10 110.

Стоимость проведения мероприятий инженерно-технической защиты10Объем постоянного ресурса, выделяемого на защиту информации420Суммарное значение ресурса выделяемого на защиту информации составляет 420+491.

3=911,3Для выполнения дальнейших расчетов спрогнозируем данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации. Результаты представлены в таблице 3.

5.Таблица 3.5Величины потерь (рисков) для критичных информационных ресурсовпосле внедрения/модернизации системы защиты информации.

АктивУгроза.

Величина потерь (тыс.

руб.)Данные о клиенте.

Намеренное повреждение0Данные о клиенте.

Вредоносное ПО0Данные о клиентеперехват0Данные о клиентеошибка операторов10 000.

Данные о клиенте.

Ухудшение состояний носителей данных1000.

Персональные данные о сотрудниках.

Намеренное повреждение0Персональные данные о сотрудниках.

Вредоносное ПО0Персональные данные о сотрудникахперехват0Персональные данные о сотрудникахошибка операторов10Персональные данные о сотрудниках.

Ухудшение состояний носителей данных10 000.

Сведения о поставщиках товаров.

Намеренное повреждение0Сведения о поставщиках товаров.

Вредоносное ПО0Сведения о поставщиках товаровперехват0Сведения о поставщиках товаровошибка операторов1000.

Сведения о поставщиках товаров.

Ухудшение состояний носителей данных100Отчеты о продажах компании.

Вредоносное ПО0Отчеты о продажах компанииперехват0Отчеты о продажах компанииошибка операторов1000.

Отчеты о продажах компании.

Ухудшение состояний носителей данных10Сервер компании.

Намеренное повреждение0Сервер компании.

Неисправности в системе кондиционирования воздуха100Сервер компании.

Экстремальные величины температуры и влажности100Сервер компании.

Кража100Сервер компании.

Ошибка при обслуживании100Сервер компании.

Использование ПО несанкционированными пользователями1000.

Сервер компании.

Незаконное использование ПО0Сервер компанииповреждение линий1000.

Сервер компанииперегруженный траффик1000.

Сервер компанииперехват0Сервер компании.

Неисправности в системе электроснабжения1000.

Сервер компанииошибка операторов1000.

Сервер компаниинедостаточная численность персонала1000.

Сервер компании.

Ухудшение состояний носителей данных1000.

Суммарная величина потерь286,2Оценим динамику величин потерь за период 3 года. Результаты представлены в таблице 3.5а) суммарное значение ресурса, (R∑)выделенного на защиту информации, составило 911,3 тысяч рублей;

б) объем среднегодовых потерь компании (Rср)из-за инцидентов информационной безопасности составлял 905 тыс. рублей;

в) прогнозируемый ежегодный объем потерь (Rпрогн).

составит 326 тыс. рублейг) динамика потерь представлена в таблице 3.5Рассчитаем срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:

Ток = R∑ / (Rср — Rпрогн)= 911,3/(905−286)=1,47 годаи графическим, как это представлено на рис. 3.

1.Таблица 3.5Оценка динамики величин потерь 1кв2 кв3 кв1 год1 кв2 кв3 кв2 год.

До внедрения СЗИ226.

25 452.

5678.

759 051 131.

31 357.

51 583.

После внедрения СЗИ71.

5 143 214.

5 286 357.

5 429 500.

Снижение потерь154.

75 309.

5464.

25 619 773.

75 928.

51 083.

Рис.

3.1 Динамика потерь.

Таким образом, расчет экономической эффективности системы защиты информации показал целесообразность такой разработки это доказывается снижением уровня затрат на уровне 619тыс, руб. Срок окупаемости системы составляет 1.47 года — 18 месяцев.

ЗАКЛЮЧЕНИЕ

В ходе выполнения дипломной работы были достигнуты все поставленные задачи: Анализ информационной системы и циркулирующей в ней информации. Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о клиентах, поставщиках товаров, отчетах о продажах и персональных данных сотрудников предприятия. Такие данные являются персональными, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты персональных данных. Анализ требований российского законодательства в области защиты персональных данных в коммерческих учреждениях. Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение информационной системы, рассматриваемой в дипломномпроекте, в соответствие со всеми требованиями являетсяосновной задачей для компании. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов компании ООО «Виконт». Соответствие требованиям особо актуально ввиду обработки данных касающегосяперсональных данных клиентов, поставщиков, и сотрудников. Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз.

Для устранения списка угроз необходимо создать комплексную систему защиты, а именно предложить решения по обеспечению безопасности конфиденциальной информации при ее обращении в информационной системе ООО «Виконт».Разработка рекомендаций по изменению структуры информационной системы. На первом этапе было были выделены бизнес-процессы, организации, на основании которых сформированы информационные активы предприятия. Затем составлено все множество уязвимостей и угроз для информационных активов. После этого было проведено сужения круга информационных активов нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе, которой с использование руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети. Разработка системы защиты персональных данных. Во первом разделе была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы.

Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требования государственных регуляторов. Разработка рекомендаций по внедрению системы защиты персональных данных. В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты информационной системы персональных данных. Для чего были выбрана необходимые мероприятия. Так же были даны рекомендации по применению комплексной системы защиты информации ООО «Виконт». Для рассматриваемой системы были выбраны следующие технические средства: система защиты информации SecretNet 6.5; аппаратно-программный комплекс шифрования «Континент»;сервер контроля доступа TrustAccessПрограммное решение HoneypotManager. антивирус Касперского7.

0 для WindowsServer. Расчет экономической эффективности предлагаемых решений по защите информации ООО «Виконт» включал в себя как Выбор и обоснование методики расчёта экономической эффективности, так и непосредственную оценку эффективности. Расчет экономической эффективности системы защиты информации показал целесообразность такой разработки это доказывается снижением уровня затрат на уровне 619тыс, руб. Срок окупаемости системы составляет 1.47 года — 18 месяцев. ГЛОССАРИЙАПКШ — аппаратно-программный комплекс шифрования.

АРМ — автоматизированное рабочее место.

БД — база данных.

ГОСТ — государственный стандарт.

ЗИ — защита информации.

ИС — информационная система.

ИСПДнинформационная система персональных данных.

КИ — конфиденциальная информация.

КСЗИ — комплексная система защиты информации.

ЛВС — локальная вычислительная сеть.

МЭ — межсетевой экран.

НСД — несанкционированный доступ.

НДВ — недекларированные возможности.

ОС — операционная система.

ПДн-персональные данные.

ПО — программное обеспечение.

ПК — персональный компьютер

ПЭВМ — персональная электронно-вычислительная машина.

ПЭМИН — побочное электромагнитное излучение и наводки.

СЗ — средство защиты.

СЗИ — средство защиты информации.

СНиП — строительные нормы и правила.

СУБД — система управления базой данных.

ФЗ — федеральный закон.

ФСБ — федеральная служба безопасности.

ФСТЭК — федеральная служба по техническому и экспортному контролюId — идентификаторMSRDP — MicrosoftRemoteDesktopProtocol — протокол удалённого рабочего столаMSSQL — система управления реляционными базами данных, разработанная корпорацией Microsoft. PIN — PersonalIdentificationNumber — личный опознавательный номерSSL — SecureSocketsLayer — уровень защищённыхсокетовTCP/IP — ransmissionControlProtocol/InternetProtocol, Протокол управления передачейTLS — TransportLayerSecurity — криптографический протокол, обеспечивающий защищённую передачу данных между узлами в сети ИнтернетVPN — VirtualPrivateNetwork — виртуальная частная сетьFTP («FileTransferProtocol») — протокол, предназначенный для передачи файлов в компьютерных сетяхHTTP («HyperTextTransferProtocol») — протокол прикладного уровня передачи данных, изначально — в виде гипертекстовых документовHTTPS («HypertextTransferProtocolSecure») — расширение протокола HTTP, поддерживающее шифрование.

СПИСОК ЛИТЕРАТУРЫ

«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.)ГОСТ 34.003−90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».ГОСТ 34.201−89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;ГОСТ 34.601−90 «Информационная технология.

Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания";ГОСТ Р 50 739−95 — Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Домарев В. В., Безопасность информационных технологий.

Системный подход. — К.: ООО ТИД Диа Софт, 2011. — 992 с. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.)Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах. Константинова Л. А., Писеев В.М.МИЭТМетоды и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В. И., Писеев В. М. МИЭТОфициальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru) Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)Положение «О методах и способах защиты информации в информационных системах персональных данных» от 5 февраля 2010 г № 58Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России Мининформсвязи России от 13 февраля 2008 г. № 55/86/20/Постановление правительства № 781 от 17.

11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства Российской Федерации от 15.

08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации"Постановление Правительства РФ № 687 от 15.

09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;Постановление Правительства РФ от 15.

09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.

04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;РД 50−34.698−90 «Автоматизированные системы. Требования к содержанию документов»;Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;Сайт «Персональные данные по-русски. [Электронный документ]: (.

http://www.tsarev.biz)Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;Федеральный закон № 85-ФЗ от 04.

07.1996 г. &# 171;Об участии в информационном обмене. Ст. 2″ Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации"Федеральный закон Российской Федерации от 27 июля 2006 г. N.

152-ФЗ «О персональных данных"Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;