 |
Анализ отечественного рынка средств защиты информации
|
|
|
|
Современный рынок средств защиты информации можно условно разделить на две группы:
· средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов (государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, Министерства обороны РФ и ФСБ РФ);
· средства защиты для коммерческих компаний и структур, позволяющие выполнить рекомендации СТР-К Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408 и ISO 17799:2.
Для защиты конфиденциальной информации в органах исполнительной власти предъявляются следующие требования.
1.Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры внутренней сети; проведение анализа защищенности узла Интернет; использование средств антивирусной защиты; централизованное управление, должен производиться на основании рекомендаций документа Гостехкомиссии РФ СТР-К.
2.АС организации должны обеспечивать защиту информации от НСД (несанкционированного доступа) по классу «1Г» в соответствии с РД Гостехкомиссии РФ "РД. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".
3.Средства вычислительной техники и программные средства АС должны удовлетворять требованиям четвертого класса РД Гостехкомиссии России «РД. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации».
|
|
|
4.Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям «РД. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» по третьему классу защиты.
5.Информационные системы должны удовлетворять требованиям ГОСТ ИСО/ МЭК 15408 по защищенности информационных систем в рамках заданных профилей защиты.
6.Во исполнение приказа Госкомсвязи России от 25 декабря 1997 года N103 «Об организации работ по защите информации в отрасли связи и информатизации при использовании сети Интернет» прямое подключение к сети Интернет АРМ по управлению оборудованием сетей связи, мониторингу, обработки данных должно быть запрещено.
7.Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей, VPN должны иметь сертификаты ФАПСИ.
8.Обязательным является использование средств ЭЦП для подтверждения подлинности документов.
9.Для введения использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей для использования средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).
10. Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и информационных систем требований информационной безопасности.
11. Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности.
Для выполнения перечисленных требований и надлежащей защиты конфиденциальной информации в госструктурах принято использовать сертифицированные средства. Например, средства защиты от несанкционированного доступа (НСД), межсетевые экраны и средства построения VPN, средства защиты информации от утечки за счет ПЭМИН и прочие. В частности, для защиты информации от НСД рекомендуется использовать аппаратно-программные средства семейств Secret Net («Информзащита»), Dallas Lock («Конфидент»), «Аккорд» (ОКБ САПР), электронные замки «Соболь» («Информзащита»), USB-токены («Аладдина») и прочие. Для защиты информации, передаваемой по открытым каналам связи рекомендованы аппаратно-программные межсетевые экраны с функциями организации VPN, например, Firewall-1/VPN-1 (Check Point),«"Застава» («Элвис+»), VipNet («Инфотекс»), «Континент» («Информзащита»), ФПСН-IP («АМИКОН») и другие.
|
|
|
Средства защиты информации для коммерческих структур более многообразны, среди них:
· средства управления обновлениями программных компонент АС;
· межсетевого экранирования;
· построения VPN;
· контроля доступа;
· обнаружения вторжений и аномалий;
· резервного копирования и архивирования;
· централизованного управления безопасностью;
· предотвращения вторжений на уровне серверов;
· аудита и мониторинга средств безопасности;
· контроля деятельности сотрудников в сети Интернет;
· анализа содержимого почтовых сообщений;
· анализа защищенности информационных систем;
· защиты от спама;
· защиты от атак класса «Отказ в обслуживании»;
· контроля целостности;
· инфраструктура открытых ключей;
· усиленной аутентификации и прочие.
Глоссарий
АС – автоматизированная система
ГТ – государственная тайна
КТ – коммерческая тайна
ПрТ – профессиональная тайна
СТ – служебная тайна
ПДн – персональные данные
ИА – информационный актив
ИСПДн – информационная система персональных данных
ЛВС – локальная вычислительная сеть
СВТ – средство вычислительной техники
ФЗ – федеральный закон
УП – указ президента
ПП – постановление правительства
УИ – утечка информации
НСД – несанкционированный доступ
Приложение
Утверждено
на заседании кафедры
«» 20 г
Зав. кафедрой
Задание
| Для курсового проектирования по | ПМ02МДК. Инженерно-техническая защита | ||||||
| информации. ПМ02 МДК. Программно-аппаратные средства защиты информации. | |||||||
| Студенту (ке) «3» курса «Информационная безопасность телекоммуникационных систем» | |||||||
| группы колледжа 9ИБ-35-14 Уфимский колледж радиоэлектроники | |||||||
| телекоммуникации безопасности | |||||||
| наименование среднего специального заведения | |||||||
| фамилия, имя, отчество | |||||||
| Тема задания Комплексный анализ информационной безопасности объекта защиты | |||||||
| (предприятия) с разработкой мероприятий по совершенствованию системы ИБ предприятия | |||||||
| Курсовой проект (работа) на указанную тему выполняется студентом в следующем объёме: | |||||||
| 2 Общая часть 1.1 Проведение классификации АС, согласно РД ФСТЭК и типа ИА обрабатываемых на предприятии 1.2 Определение требований по защите от НСД для АС, необходимые к реализации на предприятии 2 Специальная часть 2.1 Описание объекта защиты 2.1.1 Характеристика объекта защиты 2.1.2 Организационная структура предприятия 2.1.3 Наличие службы по вопросам защиты информации 2.2 Составление модели проникновения нарушителя(злоумышленника) 2.2.1 Карта территории объекта защиты 2.2.2 План помещений с размещением СВТ и АС 2.2.3 Граф-схема возможных угроз проникновения нарушителя (злоумышленника) 2.2.4 Описание выявленных уязвимостей 2.2.5 Методы и средства защиты, существующие на объекте защиты 2.2.6 Методы и средства защиты с учетом выявленных уязвимостей 2.3 Составление схемы информационных активов предприятия 2.3.1 Блок-схема информационных активов объекта защиты(3 уровня) 2.3.2 СВТ и АС обрабатывающие ИА 2.3.3 Схема ЛВС предприятия 2.3.4 Блок-схема законодательных актов, нормативно-правовых документов, политик, регламентов и инструкций 2.3.5 Блок-схему учетных записей, должностных обязанностей и лиц ответственных за работу с конфиденциальной информацией 2.4 Составление перечня видов тайн, обрабатываемых на предприятии 2.5 Составление внутренней нормативно-методической документации 2.5.1 Нормативно-методическая документация КТ 2.5.1.1 ФЗ №98 «О коммерческой тайне» 2.5.1.2 СТР-К 2.5.2 Нормативно-методическая документация ПДн 2.5.2.1 ФЗ № 152-ФЗ «О персональных данных» 2.5.2.2 ПП № 1119 2.5.2.3 Приказ ФСТЭК №21 2.5.2.4 ПП №687 2.5.2.5 ПП №512 2.6 Обработка рисков информационной безопасности объекта защиты и АС 2.6.1 Составление таблицы угроз 2.6.2 Составление плана обработки рисков 2.6.3 Выбор защиты объекта защиты и АС (метод Саати) 2.7 Проведение комплексной оценки информационной безопасности защищаемого объекта. 2.7.1 Составление первоначальной количественной схемы комплексной оценки информационной безопасности 2.7.2 Составление качественной схемы комплексной оценки информационной безопасности 2.7.3 Составление итоговой качественной схемы комплексной оценки информационной безопасности 2.8 Проведение исследований инцидента информационной безопасности. | |||||||
| 2 Расчётная часть проекта | |||||||
| 3 Графическая часть проекта | |||||||
| лист 1 | |||||||
| лист 2 | |||||||
| лист 3 | |||||||
|
|
|
|
|
|
Дата выдачи «» 20 г.
Срок окончания «» 20 г.
Преподаватель.
. Министерство образования Республики Башкортостан
Государственное бюджетное профессиональное образовательное учреждение
|
|
|
