Филиал «Котельники» федерального государственного бюджетного образовательного учреждения высшего образования «Университет «Дубна» Специальность: 10.02.01 «Организация и технология защиты информации» КУРСОВАЯ РАБОТА по МДК 01.01 «Обеспечение организации системы безопасности предприятия» на тему: Проектирование комплексной системы защиты информации организации Выполнил студент 4 курса Макаров.А.И группы 46 Проверил: руководитель _______________________ «_____» ________________ Оценка _________________ Котельники, 2024 СОДЕРЖАНИЕ ВВЕДЕНИЕ……………………………………………………..………………….3 1. Основы организации комплексной системы защиты информации…….4 1.1. Основные понятия, термины и определения ………………………….4-7 1.2. Основные положения и концепция КЗСИ …………..…………………8-9 1.3. Цели и задачи ……………………………………………………………10-11 2. Анализ и описание объекта защиты ………………….……… .…………12 2.1. Структурная модель защищаемой информации …………………...12-13 2.2. Выявление защищаемой информации ………………………………14-15 2.3 Описание информационной системы предприятия ……………......16-17 2.4. Выявление объектов защиты ………………………………………….…18 3. Разработка организационно-распорядительной и нормативной документации по защите информации……………………………………....19 3.1. Разработка перечня сведений конфиденциального характера…...19-20 3.2. Разработка политики информационной безопасности…………….21-22 4. РАЗРАБОТКА ПОДСИСТЕМ КОМПЛЕКСНОЙ СЗИ ПРЕДПРИЯТИЯ ……………………………………………………………………………………..23 4.1. Общие требования по проектированию систем безопасности…….23-24 4.2. Разработка подсистемы контроля и управления доступом………..25-26 4.3. Разработка подсистемы видеонаблюдения…………………………..27-28 4.4. Разработка подсистемы охранно-пожарной сигнализации………..29-30 4.5. Разработка системы противодействия утечке информации по техническим каналам………………………………………………………..31-32 ЗАКЛЮЧЕНИЕ……………………………………………………………….…33 СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ………………………34-35 2 Введение С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, в связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации. Следовательно, возрастет необходимость ее защиты. Для того чтобы защита была полной необходимо прорабатывать ее комплексно. Утечка любой информации может отразиться на деятельности организации, предприятия. Особую роль играет конфиденциальная информация, потеря которой может повлечь большие изменения в самой организации и материальные потери. Поэтому мероприятия по защите информации в данное время очень актуальны и важны. Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию. Целью курсовой работы является: разработка комплексной системы защиты информации организации. Объектом защиты является Автошкола “Звезда” ул. Вильчиковского, 1Л, Барановичи (этаж 2) 3 1. Основы организации комплексной системы защиты информации 1.1 Основные понятия, термины и определения Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от их формы и представления. Данные – факты, понятия или команды, представленные в формализованном виде и позволяющие осуществлять их передачу или обработку как вручную, так и с помощью средств автоматизации. Защита информации (ЗИ) – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Формы защиты информации: правовая – ЗИ правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по ЗИ, применение этих документов (актов), а также надзор и контроль за их исполнением. техническая (ТЗИ) – ЗИ, заключающаяся в обеспечении не криптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. криптографическая – ЗИ с помощью ее криптографического преобразования. физическая – ЗИ путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Организационные мероприятия по обеспечению физической ЗИ предусматривают установление режимных, временных, территориальных, 4 пространственных ограничений на условия использования и распорядок работы объекта защиты. К объектам ЗИ могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации. Способ ЗИ – порядок и правила применения определенных принципов и средств защиты информации. Различают защиту информации от: утечки – ЗИ, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами. несанкционированного воздействия – ЗИ, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. непреднамеренного воздействия – ЗИ, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств ИС, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. разглашения несанкционированного – ЗИ, направленная доведения защищаемой на предотвращение информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации. 5 несанкционированного доступа (НСД) – ЗИ, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации. преднамеренного воздействия – ЗИ, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях. [иностранной] разведки – ЗИ, направленная на предотвращение получения защищаемой информации [иностранной] разведкой. Замысел ЗИ – основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации. Цель ЗИ – выявление, предотвращение, нейтрализация, пресечение, локализация, отражение и уничтожение угроз. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию. Система защиты информации – совокупность органов и/или исполнителей, используемой ими техники ЗИ, а также объектов ЗИ, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области ЗИ. Безопасность информации [данных] – состояние защищенности информации [данных], при котором обеспечены конфиденциальность, доступность и целостность. 6 ее [их] Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Угроза (безопасности информации) – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Угрозы проявляются в нарушении: конфиденциальности (разглашение, утечка, НСД), достоверности (фальсификация, подделка, мошенничество), целостности (искажения, ошибки, потери), доступности (нарушение связи, воспрещение получения) информации. Модель угроз (безопасности информации) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации. Аудиторская проверка (аудит) ИБ в организации – периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению ИБ. Аудит ИБ в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит). Мониторинг безопасности информации – постоянное наблюдение за процессом обеспечения безопасности информации в ИС с целью установить его соответствие требованиям безопасности информации. 7 1.2 Основные положения и концепция КЗСИ Под Концепцией информационной безопасности - понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов и т.д., решающих задачи защиты конфиденциальной информации. В автоматизированной системе организации Концепция определяет систему взглядов на проблему обеспечения безопасности информации организации, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации. Основные положения и требования Концепции распространяются на все структурные подразделения организации, в которых осуществляется автоматизированная обработка информации, подлежащей защите, а также сопровождение, обслуживание и обеспечение нормального функционирования АС. Правовой основой Концепции должны являться Конституция РФ, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы, документы Гостехкомиссии при Президенте РФ, ФАПСИ и другие нормативные документы, регламентирующие вопросы ЗИ в АС. При разработке Концепции принципы создания КСЗИ, организационно-технических должны учитываться характеристики методов и и современных основные возможности аппаратно- программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий. 8 Положения Концепции предусматривают существование в рамках проблемы обеспечения безопасности информации в АС двух относительно самостоятельных направлений, объединенных единым замыслом: • защита информации от утечки по техническим каналам; – защита информации в АС от несанкционированного доступа. В Концепции информационной безопасности должны быть отражены следующие вопросы: • характеристика АС организации, как объекта информационной безопасности (объекта защиты): • назначение, цели создания и эксплуатации АС организации, • структура, состав и размещение основных элементов АС организации, информационные связи с другими объектами, • категории информационных ресурсов, подлежащих защите, • категории пользователей АС организации, режимы использования и уровни доступа к информации, • интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений; • уязвимость основных компонентов АС организации • цели и задачи обеспечения информационной безопасности организации и основные пути их достижения (решения задач системы защиты) • перечень основных опасных воздействующих факторов и значимых угроз информационной безопасности: • внешние и внутренние воздействующие факторы, угрозы безопасности информации и их источники, • пути реализации непреднамеренных субъективных угроз безопасности информации в АС организации, • умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала, • утечка информации по техническим каналам, неформальная модель возможных нарушителей. 9 1.3. Цели и задачи Цели и задачи проектирования комплексной системы защиты информации автошколы могут включать в себя следующее: 1. Защита персональных данных учеников и сотрудников: обеспечение конфиденциальности персональных данных, предотвращение несанкционированного доступа и утечки конфиденциальной информации. 2. Защита финансовых данных: обеспечение безопасности финансовых данных, включая защиту от мошенничества, кражи информации и других видов атак. 3. Защита интеллектуальной интеллектуальной собственности собственности: автошколы, включая защита управление авторскими правами, защиту от плагиата и других нарушений прав на интеллектуальную собственность. 4. Защита информационных систем: обеспечение защиты информационных систем автошколы от кибератак, вирусов и других видов угроз. 5. Обеспечение доступности информации: обеспечение доступности информации для авторизованных пользователей и предотвращение сбоев в работе информационных систем. 6. Соблюдение требований законодательства: обеспечение соблюдения требований законодательства по защите информации и конфиденциальности данных. Для достижения указанных целей и задач необходимо разработать комплексную систему защиты информации, которая будет включать в себя меры по защите информации на всех уровнях: техническом, программном, организационном и человеческом. Это может включать в себя: - Установку и настройку антивирусных программ и систем защиты от взлома на компьютерах и серверах; - Шифрование данных для защиты конфиденциальной информации; 10 - Установку систем мониторинга и аудита для отслеживания несанкционированного доступа к системам и данным; - Обучение сотрудников правилам безопасности информации; - Организацию контроля доступа к информации и управление правами доступа; - Разработку политик и процедур по защите информации и конфиденциальности данных; - Регулярное проведение аудитов безопасности информации и обновление систем защиты. 11 2. Анализ и описание объекта защиты 2.1 Структурная модель защищаемой информации Задача моделирования объекта защиты состоит в объективном описании и анализе источников конфиденциальной информации и существующей системы ее защиты. Моделирование объекта защиты включает в себя: - Категории информации: информация может быть разделена на категории в зависимости от ее важности и конфиденциальности. Например, категории могут включать персональные данные учеников, финансовые отчеты, инструкции по вождению, технические данные об автомобилях и т.д. - Уровни доступа: информация может быть доступна только тем, кто имеет определенный уровень доступа. Например, ученики могут иметь доступ только к инструкциям по вождению, а инструкторы и администраторы могут иметь доступ ко всей информации. - Системы защиты: информация должна быть защищена с помощью соответствующих систем защиты, таких как пароли, шифрование, биометрическая аутентификация и т.д. - Аудит и мониторинг: системы защиты должны быть подвергнуты аудиту и мониторингу, чтобы обнаруживать и устранять уязвимости и препятствовать несанкционированному доступу к информации. - Резервное копирование: информация должна регулярно резервироваться и храниться в безопасном месте, чтобы в случае необходимости ее можно было восстановить - Политика безопасности: автошкола должна иметь политики и процедуры безопасности, которые определяют, каким образом информация должна храниться, передаваться и использоваться, а также каким образом сотрудники должны обращаться с информацией. 12 - Для структурирования информации в качестве исходных данных используются: перечень сведений, составляющих государственную, ведомственную и коммерческую тайны; перечень источников информации в в организации. Основными объектами защиты являются: - Персональные данные учеников: информация о личности учеников, включая ФИО, дату рождения, адрес и другие личные данные, которые могут использоваться для идентификации личности и могут быть использованы в качестве инструментов мошенничества. - Данные о финансовых операциях: информация о финансовых операциях, таких как оплата за обучение, расчеты с инструкторами и другие финансовые транзакции, которые могут стать объектом кражи и мошенничества. - Инструкции по вождению: информация, содержащаяся в учебных пособиях и курсах обучения вождению, которая может быть использована злоумышленниками для подготовки к мошенничеству, в том числе для подготовки фальшивых водительских удостоверений. - Технические данные об автомобилях: информация, содержащаяся в технической документации и отчетах об автомобилях, которые могут быть использованы злоумышленниками для подготовки к мошенничеству, в том числе для подготовки фальшивых техосмотров и других документов. - Системы управления автошколой: информация, содержащаяся в системах управления автошколой, таких как базы данных, системы учета и другие системы, которые могут быть использованы злоумышленниками для получения доступа к конфиденциальной информации. - Личные данные сотрудников: информация о личности сотрудников автошколы, включая ФИО, дату рождения, адрес и другие личные данные, которые могут быть использованы злоумышленниками для идентификации личности и могут стать объектом кражи личности. В результате анализа Автошколы “Звезда” была разработана структурная модель защищаемой информации. 13 2.2. Выявление защищаемой информации Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые. Для выявления защищаемой информации автошколы необходимо произвести анализ информационных процессов и данных. Ниже представлены некоторые шаги, которые можно выполнить для выявления защищаемой информации автошколы: 1. Определить категории информации: классифицировать информацию, которая используется в автошколе, на категории в зависимости от степени конфиденциальности и важности. Например, личные данные учеников могут относиться к категории информации: определить "конфиденциальная информация". 2. Определить местонахождение местонахождение информации в системах и приложениях, которые используются в автошколе. Например, данные учеников могут храниться в базе данных автошколы. 3. Определить потоки информации: определить потоки информации и пути передачи, обработки и хранения информации в автошколе. Например, информация может передаваться через электронную почту или облачные сервисы. 4. Оценить угрозы: определить потенциальные угрозы для информации автошколы, которые могут включать в себя кибератаки, кражу личности, мошенничество и другие виды атак. 5. Оценить уязвимости: оценить уязвимости информационных систем и процессов, которые могут привести к утечке или компрометации защищаемой информации. 14 6. Определить меры защиты: выбрать меры защиты, которые могут помочь защитить информацию автошколы от потенциальных угроз и уязвимостей. Это может включать в себя шифрование данных, использование антивирусного программного обеспечения, аутентификацию и авторизацию пользователей, и другие меры. 15 2.3. Описание информационной системы предприятия Информационная система автошколы - это комплекс технических и программных средств, который позволяет эффективно управлять всеми процессами, связанными с обучением вождению и управлением автошколой в целом. Информационная система автошколы может включать в себя следующие компоненты: 1. Система управления учебными программами: система позволяет разработать и организовать учебные программы в соответствии с требованиями законодательства и установленными стандартами. 2. Система управления расписанием занятий: система позволяет управлять расписанием занятий, назначать инструкторов и учеников на занятия, а также изменять расписание в случае необходимости. 3. Система управления финансами: система позволяет управлять финансовыми операциями, такими как оплата за обучение и зарплата инструкторов. 4. Система управления автомобилями: система позволяет управлять автомобилями, используемыми в автошколе, включая планирование обслуживания, контроль технического состояния автомобилей и другие аспекты управления автопарком. 5. Система управления персоналом: система позволяет управлять персоналом автошколы, включая назначение задач, управление рабочим временем и контроль выполнения заданий. 6. Система управления клиентами: система позволяет управлять клиентами автошколы, включая регистрацию их на обучение, управление личными данными и контроль оплаты за обучение. Кроме того, информационная система автошколы может включать в себя системы защиты информации, такие как системы аутентификации и авторизации, системы мониторинга и аудитинга, а также другие меры, направленные на обеспечение безопасности информации. 16 Таблица 1 – Аппаратное обеспечение учебных ЭВМ № Наименование Характеристики Год выпуска Количество 1 Универсальный тренажер легкового автомобиля Forward с одним монитором Экран с диагональю 54,61 сантиметров: 1 штука Обратная связь руля: механическая Панель приборов: виртуальная КПП: совмещенная автоматическая и механическая 2015 2 2 Системный блок: Core i5-6500, 2x 2400 Гц, 4 Гб, HP ProDesk 490 250 ГБ, AMD Radeon R5 310, G3 Ethernet, DVD±RW 2015 6 3 Монитор: Acer V226HQLAb LED 21.5", 1920x1080 2015 6 4 Клавиатура: Genius KM122 Тип — проводная; Интерфейс — USB; Количество клавиш — 116; 2015 6 5 Мышь: Genius KM-122 Оптическая светодиодная, 1200 dpi; 2015 6 Таблица 2 – Программное обеспечение учебных ЭВМ № Наименование 1 Windows 7 Professional 3 Интерактивная автошкола. Профессиональная версия 4 5 Описание Версия Операционная система, установленная на 6.1.7601.22616 АРМ сотрудников. Программное обеспечение предназначено 8.3.4.437 для проведение групповых занятий по подготовке к теоретическому экзамену в ГИБДД кандидатов в водители транспортных средств категорий «B» и «C» и подкатегорий «В1», «С1» Интерактивная Программное обеспечение предназначено 8.3.4.437 автошкола. для проведение групповых занятий по Мотосредства подготовке кандидатов в водители транспортных средств категорий «А», «M» и подкатегории «А1». Теоретический экзамен в Программное обеспечение предназначено 7.34.66.103 ГИБДД. Сетевая версия для экзаменационных билетов для приёма теоретических экзаменов на право управления транспортными средствами 17 2.4. Выявление объектов защиты Для выявления объектов защиты автошколы необходимо произвести анализ информационных процессов и данных, а также провести оценку рисков и угроз для информационной безопасности. Ниже представлены некоторые шаги, которые можно выполнить для выявления объектов защиты автошколы: 1. Определить информационные системы: определить информационные системы, которые используются в автошколе, включая базы данных, программное обеспечение, сетевое оборудование и другие технические системы. 2. Определить типы данных: определить типы данных, которые обрабатываются в информационных системах автошколы, например, персональные данные учеников, финансовые данные, данные об автомобилях и другие конфиденциальные данные. 3. Определить потоки данных: определить потоки данных, которые проходят через информационные системы автошколы, включая передачу, обработку и хранение данных. 4. Оценить угрозы: оценить потенциальные угрозы для информационной безопасности автошколы, включая кибератаки, кражу личности, мошенничество и другие виды атак. 5. Оценить уязвимости: оценить уязвимости информационных систем и процессов, которые могут привести к утечке или компрометации защищаемой информации. 6. Определить меры защиты: выбрать меры защиты, которые могут помочь защитить информацию автошколы от потенциальных угроз и уязвимостей. Это может включать в себя шифрование данных, использование антивирусного программного обеспечения, аутентификацию и авторизацию пользователей, системы мониторинга и аудитинга и другие меры. 18 3. Разработка организационно-распорядительной и нормативной документации по защите информации 3.1. Разработка перечня сведений конфиденциального характера Перечень разрабатывается в соответствии с требованиями ФСТЭК России и включает перечисление сведений, которые в рамках данного предприятия имеют конфиденциальный характер (составляют служебную, профессиональную или коммерческую тайну, персональные данные), а также названия документов и электронных информационных ресурсов, содержащих такие сведения. Конфиденциальные сведения в перечне группируются по видам конфиденциальной информации и ответственным за ее обработку подразделениям организации (отделам, службам) или должностным лицам. Перечень сведений конфиденциального характера автошколы может включать в себя следующие данные: 1. Личные данные учеников, такие как ФИО, адрес, дата рождения, номер телефона, электронная почта, паспортные данные и другая личная информация. 2. Результаты тестирования и экзаменов учеников. 3. Финансовые данные, такие как данные о платежах, счетах, банковская информация и другие финансовые сведения. 4. Данные об автомобилях, используемых в автошколе, такие как марка, модель, год выпуска, номерной знак и другая информация. 5. Данные о сотрудниках автошколы, такие как ФИО, адрес, дата рождения, номер телефона, электронная почта, паспортные данные, данные о зарплате, сведения о прошлом опыте работы и другая личная информация. 6. Информация о договорах и контрактах с поставщиками, партнерами и другими третьими лицами. 7. Информация о бизнес-плане, финансовых показателях, стратегии развития и другие коммерческие сведения. 19 8. Все остальные данные, которые могут быть связаны с работой и деятельностью автошколы и которые могут быть определены как конфиденциальные сведения в соответствии с требованиями законодательства. По законодательству, все персональные данные учеников и сотрудников автошколы считаются конфиденциальными и должны быть защищены в соответствии с требованиями закона. Также коммерческая тайна и другие конфиденциальные данные, связанные с деятельностью автошколы, должны быть защищены от несанкционированного доступа и раскрытия. 20 3.2. Разработка политики информационной безопасности Политика информационной безопасности с одной стороны представляет собой набор формальных правил, а с другой – комплекс документов, отражающих все основные требования к обеспечению защиты информации на предприятии. Целями разработки официальной политики предприятия в области информационной безопасности являются определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Политика информационной безопасности автошколы - это документ, который определяет основные принципы и цели безопасности информации в автошколе, а также меры по обеспечению безопасности информации и конфиденциальности данных. Ниже представлены шаги, которые можно выполнить для разработки политики информационной безопасности автошколы: 1. Определить цели и задачи: определить цели и задачи политики информационной безопасности, например, защита персональных данных учеников и сотрудников, защита финансовых данных, защита интеллектуальной собственности и др. 2. Определить объекты защиты: определить объекты защиты, включая информационные системы, базы данных, документы, оборудование и другие элементы, которые нужно защитить. 3. Определить угрозы: оценить потенциальные угрозы для информационной безопасности автошколы, такие как кибератаки, кража личности, мошенничество и другие виды атак. 4. Оценить уязвимости: оценить уязвимости информационных систем и процессов, которые могут привести к утечке или компрометации защищаемой информации. 21 5. Определить меры защиты: выбрать меры защиты, которые могут помочь защитить информацию автошколы от потенциальных угроз и уязвимостей. Это может включать в себя шифрование данных, использование антивирусного программного обеспечения, аутентификацию и авторизацию пользователей, системы мониторинга и аудитинга и другие меры. 6. Определить правила и процедуры: разработать правила и процедуры по обеспечению безопасности информации, включая правила паролей, правила удаления данных, правила доступа к информации и другие правила и процедуры. 7. Обучение сотрудников: обучить сотрудников автошколы правилам безопасности информации и процедурам, связанным с политикой информационной безопасности. 8. Регулярное обновление: регулярно обновлять политику информационной безопасности и производить анализ ее эффективности, в том числе после внесения изменений в информационные системы, процессы и технологии. Политика информационной безопасности должна быть доступна для всех сотрудников автошколы и должна регулярно обновляться в соответствии с изменениями в информационных технологиях и угрозах для информационной безопасности. 22 4. РАЗРАБОТКА ПОДСИСТЕМ КОМПЛЕКСНОЙ СЗИ ПРЕДПРИЯТИЯ 4.1. Общие требования по проектированию систем безопасности Проектирование – обязательная часть создания систем безопасности объекта. В соответствии с действующими правилами и нормами проектирование выполняется для различных объектов любого назначения. Благодаря оптимальному расчету проекта затраты на расходные материалы, оборудование и работы сводятся к минимуму. Грамотно разработанная проектная документация значительно сокращает сроки монтажа оборудования и пусконаладочных работ, экономит человеческие и материальные ресурсы, способствует повышению качества результатов работы. проектирование системы безопасности включает следующие этапы: – предпроектное обследование ОИ; – формулирование технического задания (ТЗ); – разработку эскизного проекта (ЭП); – разработку технического проекта (ТП); – разработку рабочей и эксплуатационной документации Предпроектное обследование предполагает изучение точных параметров объекта с целью определения комплекса мероприятий и разработки технических предложений с учетом сформированных типовых решений по защите информации и безопасности объекта. По результатам обследования проектировщик совместно с заказчиком разрабатывают ТЗ на проектирование комплекса технических средств. Формулирование ТЗ заключается в разработке и оформлении технических требований заказчика. Кроме технических требований на первых этапах работы по проектированию в качестве исходной информации используются сведения, полученные в процессе предпроектного обследования объекта. На основе технического задания создается эскизный проект. Разработка ЭП заключается в выполнении предварительных проектных решений и технического предложения. Документация на данном этапе имеет 23 общий характер и небольшой объем. Как правило, в результате эскизного проекта заказчик получает комплект документов, состоящий из сметы на оборудование, материалы и работы. Разработка ТП заключается в детальной проработке и обосновании проектных решений по системе в целом и по ее отдельным частям. На этом этапе проектирования прорабатываются основные принципы работы системы, а также решения конкретных задач и пожеланий заказчика для каждой из систем для каждого конкретного объекта. Разработка РД заключается в подготовке чертежных и графических материалов, которыми будут руководствоваться монтажники при проведении работ по созданию системы. РД обеспечивает детальную привязку компонентов системы к объекту и содержит чертежи, схемы, таблицы соединений и подключений, планы расположения оборудования и проводок и другие документы. Таким образом, проектирование реальной системы защиты информации – процесс многоэтапный, трудоемкий и длительный, охватывающий широкий круг разнообразных задач и требующий привлечения значительного числа специалистов. В связи с этим в данном курсовом проекте рекомендуется не детализировать отдельные этапы проектирования и ограничить разработку подсистем комплексной СЗИ выполнением соответствующих работ по анализу информации и расчету параметров подсистем в соответствии с требованиями, представленными ниже. 24 4.2. Разработка подсистемы контроля и управления доступом В данном разделе должны содержаться следующие сведения о необходимости оснащения системой контроля управления доступом объектов защиты Подсистема контроля и управления доступом автошколы - это программная система, которая предназначена для автоматизации процессов управления доступом учеников и инструкторов в автошколе. Она может включать следующие функции: 1. Регистрация учеников и инструкторов в системе: для использования системы контроля и управления доступом, каждый ученик и инструктор должен быть зарегистрирован в системе. 2. Выдача и управление пропусками: система должна позволять выдавать пропуски для доступа к определенным зонам автошколы (например, к учебным классам, автомобилям и т.д.), а также управлять этими пропусками (например, блокировать пропуска учеников, которые пропустили несколько занятий). 3. Отслеживание доступа: система должна отслеживать доступ учеников и инструкторов к различным зонам автошколы и записывать данные о доступе в журнал. 4. Управление правами доступа: система должна позволять управлять правами доступа учеников и инструкторов на основе их роли и уровня доступа. Например, инструкторы должны иметь доступ к учебным автомобилям, а ученики - нет. 5. Интеграция с другими системами: система может быть интегрирована с другими системами автошколы, такими как система учета учеников и т.д. 6. Безопасность: система должна иметь механизмы защиты данных и обеспечивать безопасность информации. 7. Отчетность: система должна иметь возможность генерировать отчеты о доступе учеников и инструкторов к различным зонам автошколы. 25 8. Настройка параметров: система должна иметь возможность настройки параметров доступа, например, установка ограничений на время доступа к определенным зонам автошколы. При разработке подсистемы контроля и управления доступом автошколы следует руководствоваться принципами безопасности и обеспечения конфиденциальности данных. Кроме того, необходимо учитывать локальные законодательные требования и особенности организации работы автошколы. 26 4.3. Разработка подсистемы видеонаблюдения В данном разделе должны содержаться следующие сведения об оснащении системой видеонаблюдения одного из блоков защиты объекта (выделенной территории, здания, защищаемого помещения): Подсистема видеонаблюдения автошколы - это программное обеспечение и оборудование, которое предназначено для обеспечения безопасности и контроля в автошколе с помощью системы видеонаблюдения. Разработка подсистемы видеонаблюдения может включать следующие шаги: 1. Анализ требований: необходимо провести анализ требований и определить, какие зоны в автошколе должны быть покрыты системой видеонаблюдения, а также какие особенности должны быть учтены при разработке системы (например, требования к качеству изображения, углам обзора камер и т. д.). 2. Выбор оборудования: на основе анализа требований необходимо выбрать подходящее оборудование для системы видеонаблюдения (например, камеры видеонаблюдения, видеорегистраторы, мониторы и т. д.). 3. Разработка системы видеонаблюдения: разработка системы видеонаблюдения должна включать установку камер, подключение и настройку оборудования, установку программного обеспечения и настройку параметров системы. Важно учитывать, что система должна быть легко расширяемой, чтобы можно было добавлять новые камеры и другие устройства при необходимости. 4. Настройка параметров системы: система должна быть настроена на основе требований автошколы, включая установку параметров камер, установку режимов записи и сохранения записей, настройку доступа к системе и т. д. 5. Обучение сотрудников: необходимо обучить сотрудников автошколы, ответственных за использование системы видеонаблюдения, правилам работы с системой и мониторингу записей. 6. Обеспечение безопасности и конфиденциальности: при разработке системы видеонаблюдения необходимо учитывать требования по обеспечению 27 безопасности и конфиденциальности данных, включая хранение записей и защиту доступа к системе. 7. Техническая поддержка и обслуживание: после установки системы видеонаблюдения необходимо предоставить техническую поддержку и обслуживание системы, включая регулярное обновление программного обеспечения и оборудования. Важно учитывать, что использование системы видеонаблюдения в автошколе должно быть согласовано с законодательством и нормами конфиденциальности. При разработке подсистемы видеонаблюдения необходимо учитывать все требования и особенности организации работы автошколы. 28 4.4. Разработка подсистемы охранно-пожарной сигнализации В данном разделе должны содержаться следующие сведения об оснащении охраны внутренней территории объекта техническими средствами системы охранно-пожарной сигнализации Подсистема охранно-пожарной сигнализации автошколы - это программное обеспечение и оборудование, которые предназначены для обеспечения безопасности и контроля в автошколе с помощью системы охраннопожарной сигнализации. Разработка подсистемы может включать следующие шаги: 1. Анализ требований: необходимо провести анализ требований и определить, какие зоны в автошколе должны быть покрыты системой охраннопожарной сигнализации, а также какие особенности должны быть учтены при разработке системы (например, наличие окон, дверей, требования к чувствительности датчиков и т. д.). 2. Выбор оборудования: на основе анализа требований необходимо выбрать подходящее оборудование для системы охранно-пожарной сигнализации (например, датчики дыма и тепла, звуковые и световые сигнализаторы и т. д.). 3. Разработка системы охранно-пожарной сигнализации: разработка системы должна включать установку датчиков, подключение и настройку оборудования, установку программного обеспечения и настройку параметров системы. Важно учитывать, что система должна быть легко расширяемой, чтобы можно было добавлять новые датчики и другие устройства при необходимости. 4. Настройка параметров системы: система должна быть настроена на основе требований автошколы, включая установку параметров датчиков, установку режимов работы и сохранения записей, настройку доступа к системе и т. д. 29 5. Обучение сотрудников: необходимо обучить сотрудников автошколы, ответственных за использование системы охранно-пожарной сигнализации, правилам работы с системой и мониторингу сигналов. 6. Обеспечение безопасности и конфиденциальности: при разработке системы охранно-пожарной сигнализации необходимо учитывать требования по обеспечению безопасности и конфиденциальности данных, включая хранение записей и защиту доступа к системе. 7. Техническая поддержка и обслуживание: после установки системы охранно-пожарной сигнализации необходимо предоставить техническую поддержку и обслуживание системы, включая регулярное обновление программного обеспечения и оборудования. Важно учитывать, что использование системы охранно-пожарной сигнализации в автошколе должно быть согласовано с законодательством и нормами безопасности. При разработке подсистемы охранно-пожарной сигнализации необходимо учитывать все требования и особенности организации работы автошколы. 30 4.5. Разработка системы противодействия утечке информации по техническим каналам В данном разделе должна содержаться необходимая информация для блокирования утечки информации по техническим каналам, а также необходимые сведения об оснащении объекта техническими средствами защиты информации Система противодействия утечке информации по техническим каналам автошколы - это комплекс мероприятий, программного обеспечения и оборудования, предназначенный для защиты конфиденциальной информации автошколы от утечки через технические каналы связи (например, Wi-Fi, Bluetooth, USB и т.д.). Разработка системы может включать следующие шаги: 1. Анализ рисков: необходимо провести анализ рисков, связанных с утечкой конфиденциальной информации через технические каналы связи, и определить, какие угрозы могут возникнуть и какие меры необходимо принять для их предотвращения. 2. Выбор оборудования: на основе анализа рисков необходимо выбрать подходящее оборудование для защиты от утечки информации через технические каналы связи (например, маршрутизаторы с функцией защиты от вторжения, блокировщики Wi-Fi и Bluetooth сигналов, устройства контроля USB-устройств и т. д.). 3. Разработка программного обеспечения: разработка программного обеспечения для системы может включать установку и настройку антивирусного программного обеспечения, программы для контроля доступа к Wi-Fi и Bluetooth сетям, программы для контроля использования USB-устройств и т. д. 4. Настройка параметров системы: система должна быть настроена на основе требований автошколы, включая установку параметров защиты, установку режимов работы и сохранения записей, настройку доступа к системе и т. д. 31 5. Обучение сотрудников: необходимо обучить сотрудников автошколы, ответственных за использование системы противодействия утечке информации, правилам работы с системой и мониторингу записей. 6. Обеспечение безопасности и конфиденциальности: при разработке системы противодействия утечке информации необходимо учитывать требования по обеспечению безопасности и конфиденциальности данных, включая хранение записей и защиту доступа к системе. 7. Техническая поддержка и обслуживание: после установки системы необходимо предоставить техническую поддержку и обслуживание системы, включая регулярное обновление программного обеспечения и оборудования. При разработке системы противодействия утечке информации необходимо учитывать все требования и особенности организации работы автошколы. Важно учитывать, что использование системы противодействия утечке информации должно быть согласовано с законодательством и нормами конфиденциальности. 32 ЗАКЛЮЧЕНИЕ В ходе выполнения курсовой работы был произведен анализ существующих мер по защите информации автошколы “Звезда”. В процессе выполнения данной курсовой работы, были выстроены цели и задачи, построена структурная модель, описана информационная система организации. Выявил объекты защиты, разработал перечень сведений конфиденциального характера, политику информационной безопасности. И наконец разработал комплексную систему защиты, в неё вошли: разработка подсистемы контроля и управления доступом, разработка подсистемы видеонаблюдения, разработка подсистемы охранно-пожарной сигнализации, разработка системы противодействия утечке информации по техническим каналам Разработка правил эксплуатации технических и программных средств 33 Список используемой литературы Нормативно-правовые акты: 1.Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 года) с поправками от 30 декабря 2008 года // ИПП Гарант 2012 г. 2.Гражданский кодекс Российской Федерации (ГК РФ) от 30.11.1994 N 51-ФЗ - Часть 1, с изменениями и дополнениями на 8 декабря 2011 г. // ИПП Гарант 2012 г. 3.Гражданский процессуальный кодекс Российской Федерации: федеральный закон от 14 ноября 2002 г. № 138 – ФЗ// с изменениями и дополнениями на 23 апреля 2012 г. // ИПП Гарант 2012 г. 4.Федеральный закон от 19.05.1995 N 82-ФЗ "Об общественных объединениях" в редакции от 01.07.2011 // ИПП Гарант 2012 год. 8. Постановление Правительства РФ от 01.06.2004 N 260 (ред. от 27.05.2006) "О Регламенте Правительства Российской Федерации и Положении об Аппарате Правительства Российской Федерации" // Консультант Плюс Литература: 1. Алексеенко В.Н., Древс Ю.Г. Основы построения систем защиты производственных предприятий и банков. – М.: Изд-во МИФИ, 2021. – 68 с. 2. Основы организационного обеспечения информационной безопасности объектов информатизации / Э. Беляков [и др.]. – М.: Гелиос АРВ, 2018. – C. 192. 3. Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам: учеб. пособие. – М.: Горячая линияТелеком, 2020. – 414 с. 4. Герасименко В.А., Малюк А.А. Основы защиты информации: учеб. для вузов. – М.: Изд-во МИФИ, 2018. – 537 с. 34 5. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. – М.: Академия, 2019. 6. Гришина Н.В. Организация комплексной системы защиты информации. – М.: Гелиос АРВ, 2019. – 255 с. 7. Данилов А.Н., Шабуров А.С. Организационное обеспечение информационной безопасности: учеб. пособие. – Пермь: Изд-во Перм. гос. техн. ун-та, 2018. – 276 с. 8. Данилов А.Н., Полшков А.В., Шабуров А.С. Информационная безопасность: учеб. пособие. – Пермь: Изд-во Перм. гос. техн. ун-та, 2020. – 150 с. 9. Завгородний В.И. Комплексная защита в компьютерных системах: учеб. пособие. – М.: Логос: ПБОЮЛ Н.А. Егоров, 2018. – 264 с. 10. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем: учеб. пособие для вузов. – М.: Горячая линия-Телеком, 2019. – 451 с 35