Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Управление компонентами системы ИБСодержание книги
Поиск на нашем сайте
Эффективность системы ИБ и труда администраторов средств информационной безопасности будет чрезвычайно низкой при отсутствии средств сбора, анализа, хранения информации о состоянии системы ИБ, централизованного управления всеми ее составляющими. Дело в том, что каждое средство защиты реализует некоторую составляющую политики безопасности, которая на уровне подсистем задается набором параметров и требований. Политике ИБ должны соответствовать не только каждая подсистема или средство защиты, но и система ИБ в целом. Отслеживание работоспособности компонентов системы, примененных правил и других событий в системе ИБ требует наличия средств мониторинга и управления. Для проведения анализа собираемых данных, построения отчетов и принятия управляющих решений необходимы средства мониторинга, аудита и генерации отчетов. Кроме того, отметим, что распределенная атака на ИС в некоторых случаях может быть зафиксирована и предотвращена только при получении данных из многих точек сети, как от средств защиты, так и от серверов, сетевого оборудования, приложений. Зафиксировать такую атаку можно, имея средства консолидации собираемых данных и корреляции регистрируемых событий. Этапы работ по проектированию системы ИБ 1. Разработка концепции системы информационной безопасности. Определяются основные цели, задачи и требования, а также общая стратегия построения системы ИБ. Идентифицируются критичные информационные ресурсы. Вырабатываются требования к системе ИБ и определяются базовые подходы к их реализации. Концепция информационной безопасности служит методологической основой для:
В концепции системы информационной безопасности для базового предприятия в курсовой работе необходимо отразить:
2. Создание политики ИБ Политика описывает общий подход к ИБ в базовой фирме без специфичных деталей. В курсовой работе рекомендуется ее описать следующими разделами: - «Введение». Описывает необходимость появления данного документа (в ряде случаев отсутствует); - «Цель политики». Описывает цели создания данного документа; - «Область применения». Описывает объекты или субъекты, которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»); - «Политика». Описывает сами требования; - «Ответственность». Описывает наказание за нарушение указанных в предыдущем разделе требований; - «Термины и определения»; - «История изменений данной политики». Дает возможность отследить все вносимые в документ изменения (дата, автор, краткая суть изменения). Такая структура позволяет в курсовой работе на 2–3 страницах описать все основные моменты, связанные с предметом политики безопасности базового предприятия. При этом надо постоянно помнить, что концепция – это не описание способа реализации. В ней нельзя «привязываться» к конкретным техническим решениям, продуктам и производителям. Иначе изменение ситуации в компании, уход с рынка какого-либо из вендоров и т. п. приведет к необходимости изменения концепции ИБ, а этого происходить не должно. Примечание1. Политика безопасности должна пройти через отдел кадров и юридический департамент. Первый, проверив непротиворечивость документа с КЗОТом, сможет использовать его при приеме на работу новых сотрудников (и при аттестации уже работающих). Без юристов не обойтись, потому что документ должен соответствовать всем действующим в стране нормам и законам. В противном случае отдельные положения политики безопасности в конфликтных ситуациях могут быть оспорены в суде. Примечание 2. Что надо не забыть включить в политику безопасности? Обязательно включить вопросов, связанные с безопасностью: - карманных компьютеров, смартфонов, коммуникаторов или обычных мобильных телефонов. Они настолько прочно вошли в нашу жизнь, что воспринимаются как нечто само собой разумеющееся. При этом как-то упускается из виду, что данные цифровые гаджеты могут служить отличным каналом как утечки информации, так и проникновения злоумышленников или вредоносных программ в обход периметровых средств защиты; - портативных мобильных устройств – USB-дисков, «флэшек», iPod'ов и MP3-плейеров, цифровых фотоаппаратов. Первые два типа устройств миниатюрны, а значит, их можно незаметно пронести в офис и вынести всю конфиденциальную информацию. Остальные из названных устройств как носители информации не воспринимаются, но при необходимости идеально справятся с этой ролью; - мобильных пользователей. Их число постоянно растет. Обладая при этом полным доступом к корпоративным ресурсам из любой точки мира, они остаются вне зоны действия периметровых средств корпоративной безопасности и атаковать их гораздо проще, чем центральный офис компании; - экстранет-пользователей. Концепция «экстранет» или сети, открытой для партнеров, поставщиков, заказчиков и других типов внешних пользователей, позволяет не только улучшить показатели бизнеса (за счет сокращения складских запасов, облегчения и ускорения логистики, снижения стоимости продуктов и т. д.), но и открывает потенциальную брешь в системе защиты; - беспроводных пользователей. Технология Wi-Fi повышает не только производительность сотрудников, но и опасность неконтролируемого проникновения внутрь защищаемой сети. Необходимо иметь политику использования точек беспроводного доступа в своей компании. Даже если у вас не разрешено использовать эту новую и эффективную ИТ-технологию, то ваши пользователи могут придерживаться противоположного мнения. По статистике, почти 99% всех несанкционированных установок точек беспроводного доступа совершают «нетерпеливые» сотрудники, жаждущие мобильности и повышения эффективности своей работы. Следовательно, вы должны регулярно контролировать радиоэфир в поисках несанкционированных беспроводных включений; - гостевого доступа. С целью повышения лояльности ваших клиентов вы предлагаете им бесплатный гостевой выход в Интернет из своего офиса? А вы подумали о безопасности такого выхода? Не получат ли они при этом доступ к неразрешенной для них информации? Защищены ли они при выходе в Интернет? Ведь если они пострадают от вирусной эпидемии в момент нахождения в вашем офисе, виноваты будете только вы. При наличии политики безопасности гостевого входа подобных проблем не возникнет; - аутсорсинга. Аутсо́рсинг (от англ. outsourcing: внешний источник) — передача организацией определённых бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области. В последнее время компании все чаще избавляются от непрофильных для себя услуг и передают их на аутсорсинг в специализированные компании. Так поступают с хостингом web-сайтов, IP-телефонией и даже управлением средствами защиты. Но безопасно ли осуществляется отданная в чужие руки услуга? Не станет ли внешний подрядчик причиной утечки информации от вас? А если через канал взаимодействия между вами проникнет злоумышленник или вредоносная программа? Во избежание нежелательных последствий лучше предусмотреть все заранее; - Очень редко разработчики концепции «вспоминают» о наличии лэптопов в компании, а напрасно. Лэптоп (лептоп) (англ. laptop — lap = колени сидящего человека) — более широкий термин, он применяется как к ноутбукам, так и к планшетным ПК. К ноутбукам обычно относят лэптопы, выполненные в раскладном форм-факторе. Лэптопы (особенно те, которые принадлежат начальству) содержат огромные залежи важнейшей информации по всем аспектам жизнедеятельности компании – ее ноу-хау, перспективным разработкам, политике ценообразования, конфиденциальным контрактам и т. п. - взаимодействия с прессой в случае успешного взлома или вырвавшейся наружу эпидемии; - расследования инцидентов; - обучения всех сотрудников (начиная с высшего руководства и заканчивая низовым звеном); - взаимодействия с другими сферами безопасности (секретное делопроизводство, физическая безопасность и т. п.); - взаимодействия с правоохранительными органами или оператором связи и т. п. ресурсов. 3. Подготовка технического задания на создание системы информационной безопасности Основным документом на основе которого разрабатывается ТЗ ИСБ, является "Концепция информационной безопасности". Рекомендованный порядок разработки, согласования и утверждения ТЗ ИСБ определен в приложении №1 ГОСТ 34.602-89. ТЗ ИСБ является обязательным документом для разработки проектно-сметной документации. ТЗ должна составлять организация-заказчик (далее-заказчик). Учитывая, что далеко не каждая организация имеет в своем штате таких специалистов, то для разработки ТЗ может привлекаться на договорной основе специализированная организация, имеющая опыт работ в данной области и соответствующие лицензии (организация-разработчик, далее-разработчик), а также организации, привлекаемые для реализации различных этапов создания ИСБ (организации-исполнители, далее-исполнитель). ТЗ ИСБ утверждается руководством организации-заказчика и организации-разработчика. При необходимости, ТЗ ИСБ может согласовываться с органами вневедомственной охраны МВД РФ, государственной противопожарной службы МЧС РФ, ведомственной охраны, организациями-исполнителями и другими структурами. Все подписи должностных лиц согласующих и утверждающих организаций оформляются на первой странице ТЗ ИСБ и заверяются печатями данных организаций. Допускается согласование по письму. Все замечания заказчика по проекту ТЗ ИСБ должны быть представлены с техническим обоснованием. При возникновении разногласий оформляется протокол разногласий и обе стороны принимают меры к их устранению. Дополнения и изменения к ТЗ ИСБ утверждаются и согласовываются таким же порядком. Не допускается внесение изменений и дополнений после представление системы или ее части на приемо-сдаточные испытания. Состав и содержание текстовой части ТЗ ИСБ Состав и содержание ТЗ ИСБ изложены в ГОСТ 34.602-89, СНиП 11-01-95, РД 25 952-90, а так же будет определяться требованиями конкретного объекта, необходимым составом ИСБ, этапностью развертывания ИСБ и другими факторами. Здесь необходимо дать точное и полное наименование работы по созданию ИСБ, указать название и адрес или местоположение защищаемого объекта, при необходимости может быть присвоен шифр работы.
Основанием для создания ИСБ, как правило, являются решение или документ заказчика, где определена необходимость оборудования объекта ИСБ, а также исходные данные: архитектурно-строительные чертежи, генплан объекта и т.п. 2. Цель и состав работы Целью работы является создание ИСБ объекта, соответствующей определенным техническим, технологическим, производственно-экономическим показателям. Как правило, здесь же указываются критерии по которым делается оценка достижения целей создания ИСБ. Так же можно отразить требования по стадийности и этапности создания ИСБ. 3. Сроки создания ИСБ Минимальные сроки создания ИСБ рассчитываются исходя из трудоемкости работ, нормативных сроков согласования и сдачи работ в надзорных органах. Заказчик или исполнитель может определить большие сроки, учитывая другие факторы. 4. Требования по вариантной разработке На начальном этапе заказчик может привлечь несколько исполнителей для конкурсной организации работ. На этом этапе могут рассматриваться коммерческие предложения. Для проведения конкурса необходимо указать критерии выбора заказчиком варианта построения ИСБ. 5. Исходные данные для проектирования В работе по проектированию задействуется много различных специалистов. Не все они имеют возможность принять участие в обследовании, особенно если это удаленный объект. От полноты и точности исходных данных во многом будет зависеть качество проектных работ.
Описание объекта должно быть выполнено в такой форме и объеме, чтобы было видно на какую материально-техническую базу должна "наложиться" создаваемая ИСБ. В первую очередь это касается инженерных средств защиты (ограждений, заграждений, освещения, связи и т.п.), состояния и организации физической охраны (караулы, посты, маршруты движения и т.п.), а также других факторов, влияющих на построение ИСБ. Необходимо так же дать краткую характеристику криминогенной и пожарной обстановки в месте расположения объекта, а так же соседних объектов, граничащих с защищаемым объектом.
К особым условиям заказчик вправе отнести то, что не нашло отражения в основном тексте. Например, требования к проектной, монтажной, пусконаладочной организации (наличие определенных лицензий, опыта, квалификации специалистов и т.п.), о необходимости согласования проектно-сметной документации в определенных надзорных или взаимодействующих органах, поэтапному развертыванию ИСБ, о частичном использовании некоторых существующих систем безопасности и прочее. 6. Общие требования к ИСБ В этом разделе объединены требования, единые для всех подсистем и системы в целом.
Требования по размещению основного и промежуточного оборудования, кабельным трассам достаточно полно изложены в нормативных документах: ГОСТ Р 50776-95 "Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 4. Руководство по проектированию, монтажу и техническому обслуживанию", ГОСТ 8709-82 "Щитки осветительные для промышленных и общественных зданий", РД 78.145-93 "Системы и комплексы охранной, пожарной и охранно-пожарной сигнализации. Правила производства и приемки работ", НПБ 88-2001 "Установки пожаротушения и сигнализации. Нормы и правила проектирования", ВСН 60-89 "Устройства связи, сигнализации и диспетчеризации инженерного оборудования жилых и общественных зданий. Нормы проектирования", ВСН 59-88 "Электрооборудование жилых и общественных зданий. Нормы проектирования", ОСТН-600-93 "Отраслевые строительно-технологические нормы на монтаж сооружений и устройств связи, радиовещания и телевидения", Правила устройства электроустановок (ПУЭ) и других. Здесь необходимо конкретно указать место расположения центра управления ИСБ, количество, состав и места размещения автоматизированных рабочих мест (АРМ). Если требуется изготовить специальные стойки, стеллажи, тумбы, столы, то необходимо сделать планы, чертежи в виде приложений или просто изложить требования к ним, оставив решение вопроса по дизайну за исполнителем.
Эти требования касаются обеспечения электробезопасности, других мер безопасности при монтаже, наладке, эксплуатации, обслуживании и ремонте ИСБ, соответствии ее санитарным нормам и правилам для лиц эксплуатирующих ИСБ.
Надо дать характеристику имеющейся электрической сети. Необходимо указать места подключения блоков ИСБ к существующей электрической сети. Если на объекте невозможно обеспечить электропитание ИСБ по первой категории, необходимо сформулировать требования по резервным источникам питания. Минимально необходимые требования по резервному электропитанию для различных подсистем ИСБ изложены в нормативных документах. Так же необходимо изложить требования по заземлению или занулению оборудования, грозозащите наружных устройств, устойчивости к перепаду напряжения в электросети, сопротивлению изоляции электропроводок и т.п.
Здесь необходимо изложить требования к персоналу, который будет проводить техническое обслуживание и ремонт ИСБ. Это может быть специально обученный персонал заказчика или специализированная организация, привлекаемая на договорной основе. Так же необходимо указать нормативные документы, которыми необходимо будет руководствоваться при проведении технического обслуживания и ремонта.
7. Требования к подсистемам ИСБ. В этом разделе формулируются специальные требования к каждой подсистеме.
В ИСБ данная подсистема, как правило, представляет собой программно-аппаратный комплекс. Поэтому надо сформулировать требования как к программной, так и к аппаратной части в виде функциональных и технических требований.
Наиболее важным элементом этой подсистемы являются извещатели. Для того чтобы проектная организация могла выбрать оптимальную модель извещателя, очень важно правильно и полно сформулировать признаки событий, которые должны классифицироваться извещателем, как "тревога", "саботаж" и "неисправность", а так же возможные преднамеренные и непреднамеренные помехи работе этих извещателей.
Важным требованием будет тактика постановки и снятия с охраны разделов и зон, которую хотел бы реализовать заказчик. Кроме того, необходимо указать конкретные участки периметра, здания, сооружения, помещения, которые подлежат оборудованию охранной сигнализацией и указать их особенности (например: кассы, комнаты хранения оружия). Если планируется установка кнопок тревожной сигнализации или ловушек, требуется указать их вид и места установки. Необходимо так же сформулировать требования к приемно-контрольным приборам, извещателям, оповещению о тревожных событии (куда и в каком виде должен приходить сигнал).
Противопожарная автоматика может включать несколько различных установок: пожарную сигнализацию, оповещение людей о пожаре, дымоудаление, пожаротушение. В частном случае, учитывая особенности формирования требований по организации и производству работ по этим установкам, можно разработать ЧТЗ или задание на проектирование противопожарной автоматики. Нормы оборудования помещений, зданий и сооружений противопожарной автоматикой, а также требования к ним, достаточно жестко регламентированы, что в свою очередь значительно облегчает задачу формирования требований. o Подсистема контроля и управления доступом Подсистема контроля и управления доступом может быть предназначена для ограничения и санкционированного перемещения людей, транспорта на территории, в зданиях и помещениях. Требования необходимо формулировать с учетом положений ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний". Кроме того, надо указать конкретные требования к подсистеме по организации зон доступа, местам оборудования точек прохода и их пропускной способности, видам идентификационных признаков и устройствам идентификации, видам перекрытия проемов прохода, по штатной процедуре допуска персонала, посетителей и другие. o Подсистема охранная телевизионная Здесь необходимо указать какие элементы объекта подлежат оборудованию данной подсистемой (периметр, контрольно-пропускной пункт, входы, коридоры, помещения и т.п.). В качестве приложения должна быть схема размещения телевизионных камер с обозначенными сценами и их границами освещенности. Для каждой сцены должны быть указаны цели. Отдельно должно быть оговорено применение телевизионных камер на поворотных устройствах и использование трансфокаторов. Остальные требования к телевизионным камерам, устройствам обработки, записи и отображения, соединительным линиям, электропитанию можно сформулировать в соответствии с ГОСТ Р 51558-2000 "Системы охранные телевизионные. Общие технические требования и методы испытаний". 8. Приемка работ и гарантийные обязательства Здесь необходимо указать виды, состав, объем и методы приемо-сдаточных испытаний ИСБ и ее составных частей на предмет ее соответствия заданным требованиям. Программы испытаний должны разрабатываться и утверждаться непосредственно перед испытаниями. Необходимо сформулировать требования к гарантийным обязательствам производителей оборудования и привлекаемых к работе монтажных, пусконаладочных организаций. Можно сформулировать требования к индивидуальному и групповому комплекту запасных частей, инструменту, принадлежностям (ЗИП).
Требования к проектной, конструкторской, рабочей и эксплуатационно-технической документации достаточно полно изложены в действующих нормативных документах. Необходимо указать требуемое количество экземпляров документации, если необходимо - степень ее конфиденциальности, обязанность подрядных организаций не разглашать эти сведения, использование иностранных терминов и другие. При формировании требований к сметной документации необходимо указать метод составления смет, ценники по которым должен производиться сметный расчет, какие коэффициенты и индексы могут быть применены. Примечание. В курсовой работе должны быть отражены не все приведенные выше требования, а только те, выполнение которых необходимо для проектирования СИБ конкретного предприятия.
4. Создание модели системы ИБ В курсовой работе рекомендуется построить процессную модель системы ИБ компании-заказчика, содержащую три уровня процессов:
Определяются взаимосвязи процессов. В результате должна получиться трехуровневая процессно-сервисная модель системы ИБ, соответствующую требованиям стандарта ISO 27001. Рекомендуется при выполнении курсовой работы ознакомиться с содержанием данного стандарта. Модель системы ИБ формализуется в едином комплексе нормативных документов. В этот комплекс входят следующие основные документы. 1. Концепция обеспечения ИБ. 2. Политика информационной безопасности. Примечание. Вышеперечисленные документы могут быть указаны в приложения.
|
||||
Последнее изменение этой страницы: 2016-08-14; просмотров: 281; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.128.94.112 (0.014 с.) |