-источники информации (как внешние, так и внутренние); 

-получатели информации; 

-объекты хранения и обработки информации; 

-способы передачи информации.  

8. Определение  класса защищенности автоматизированной  системы  на основании модели угроз безопасности конфиденциальной информации и ПДн. Класс защищенности автоматизированной системы задает конкретные требования, меры и правила по защите информации.  
 
9. Определение степени участия персонала в обработке (передаче, хранении) информации и ПДн, характер взаимодействия пользователей между собой и службой информационно безопасности, изучение существующей организационной структуры ЛПУ. При этом выявляется степень возможного влияния «человеческого фактора» на защищенность информации. 

 
10. Разработка аналитического обоснования необходимости создания комплексной системы защиты ПДн и конфиденциальной информации в автоматизированной системе.  

      Аналитическое обоснование должно содержать: 

-информационную характеристику и организационную структуру объекта информатизации; 

-характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации; 

-возможные каналы утечки информации и перечень мероприятий по их устранению или ограничению; 

-перечень предлагаемых к использованию сертифицированных средств защиты информации; 

-оценку материальных, трудовых и финансовых затрат разработку и внедрение системы защиты информации; 

-ориентировочные сроки разработки и внедрения комплексной системы защиты информации; 

-перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования.

 

    3.3 Необходимая организационно-распорядительная  документация

 

       В ходе выполнения работ разрабатывается  вся необходимая организационно-распорядительная документация по защите конфиденциальной информации и ПДн (регламенты, приказы, инструкции и другие документы), вся необходимая эксплуатационная документация, включая регламенты обслуживания и эксплуатации системы защиты конфиденциальной информации и ПДн в автоматизированной системе, все необходимые инструкции и руководства по эксплуатации технических и программных средств защиты для всех пользователей, администраторов системы, администраторов безопасности, администраторов и пользователей средств защиты информации), а также для работников службы защиты информации и вся необходимая документация по организации информационной безопасности для дальнейшей аттестации в том числе, например: 

-положение о порядке организации и проведения работ по комплексной защите конфиденциальной информации и ПДн; 

-перечень сведений конфиденциального характера; 

-перечень объектов информатизации; 

-перечень лиц, допущенных к персональным данным; 

-акт классификации системы как АС; 

-акт классификации системы как ИСПДн; 

-акты установки средств защиты информации; 

-журнал учета носителей информации ОВТ (Приложение 1); 

-журнал учета персональных идентификаторов (при их наличии); 

-положение по организации антивирусной защиты информации ОВТ (Приложение 2); 

-инструкции по антивирусному контролю;

-матрица доступа пользователей к ресурсам информационной СПД (Приложение 3); 

-инструкции пользователя АРМ (Приложение 4); 

-схема границ контролируемой зоны; 

-инструкция о порядке учёта, хранения, выдачи, списания и уничтожения курсовых проектов (работ) и выпускных квалификационных работ (Приложение 5);

-акт на списание и уничтожение электронных носителей информации (Приложение 6);

-перечень защищаемых помещений; 

-инструкция администратора по обеспечению безопасности ИСПДн (Приложение 7); 

-технический паспорт на защищаемое помещение (Приложение 8); 

-инструкции лица, ответственного за обеспечение информационной безопасности; 

-инструкции по инсталляции и эксплуатации СКЗПДн; 

-регламент безопасного функционирования подсистемы криптографической защиты информации; 

-регламент подключения удаленных пользователей к ИСПДн; 

-вся необходимая академии организационно-эксплуатационная документация. 

    3.4 Внедрение комплексной системы  защиты, ее аттестация

 

       Внедрение системы защиты ПДн включает в себя поставку, установку и настройку средств защиты персональных данных, проведение ряда организационных мероприятий (ввод в действие нормативных документов, назначение ответственных лиц и др.).

       Аттестация  информационной системы ПДн является ключевым этапом, в ходе которого проверяется соответствие параметров установленной системы защиты информации требованиям нормативных документов. По итогам аттестации кафедра получит аттестат соответствия информационной системы требованиям по безопасности, который подтверждает, что она выполнила все необходимые требования по защите ПДн и может обрабатывать ПДн. В результате проведения полного комплекса работ академия получит аттестованную информационную систему ПДн, которая обладает реальной защищенностью и отвечает всем требованиям руководящих документов ФСТЭК и ФСБ по защите персональных данных и требованиям Федерального закона № 152-ФЗ «О персональных данных», что дает право обработки ПДн. 

       В работы по аттестации информационной системы ПДн входит: 

-анализ исходных данных по аттестуемой ИСПДн; 

-составление акта обследования, в котором отражается: 

-конфигурация и топология ИСПДн, физические, функциональные и технологические связи; 

-перечни технических средств ИСПДн, общесистемного и прикладного программного обеспечения; 

-режим обработки ПДн и режим разграничения прав доступа пользователей к информационным ресурсам ИСПДн; 

-перечень используемых в ИСПДн средств защиты информации. 

-определение объема предстоящих аттестационных испытаний, перечня необходимых технических и программных средств зашиты, видов специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа; 

-разработка программы аттестационных испытаний;

-проведение экспертного обследования ИСПДн и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов; 

-проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа; 

-анализ результатов комплексных аттестационных испытаний, оформление и утверждение заключения по результатам аттестации. 

       Заключение  по результатам аттестационных испытаний  содержит: 

-результаты испытаний внедренного комплекса организационных, технических и программных мер защиты со ссылками на соответствующие протоколы; 

-вывод о возможности выдачи аттестата соответствия ИСПДн требованиям по безопасности информации.

 

Заключение

 

       В современном мире информационный ресурс стал одним из наиболее мощных рычагов  экономического развития. Владение информацией  необходимого качества в нужное время  и в нужном месте является залогом  успеха в любом виде хозяйственной  деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет, тем самым, высокую цену информационного фактора. Широкое внедрение персональных компьютеров вывело уровень информатизации деловой жизни на качественно новую ступень. Ныне трудно представить себе фирму или предприятие (включая самые мелкие), которые не были бы вооружены современными средствами обработки и передачи информации. В ПК на носителях данных накапливаются значительные объемы информации, представляющей большую ценность для ее владельца.

       Однако  создание индустрии переработки информации, давая объективные предпосылки для грандиозного повышения эффективности жизнедеятельности человечества, порождает целый ряд сложных и крупномасштабных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в распределенных информационных системах.

       На  основании поставленных задач, а  также изученных вопросов в данной курсовой работе, можно сделать ряд выводов и заключений, касающихся разработки нормативных правовых документов кафедры социально-гуманитарных дисциплин и регионоведения академии ИМСИТ по обеспечению информационной безопасности и организации комплексной защиты общедоступной информации и информации ограниченного доступа на предпроектной стадии, а также на стадии проектирования и реализации.

       При организации глобальной системы  защищенной передачи информации следует  рассмотреть все возможные виды доступа к компьютерной системе кафедры. Для каждого вида доступа и типа связи необходимо разработать и реализовать правила и действия, регламентирующие политику безопасности системы.

       Необходимо, чтобы для обеспечения безопасности компьютерной системы кафедры было выделено отдельное подразделение. На всех машинах должны быть установлены средства защиты от несанкционированного доступа, межсетевые экраны, antispyware, средства криптографической защиты, аутентификации и антивирусное ПО, средства обеспечения беспроводной связи.

       Серверное оборудование (в обязательном порядке  оснащенное средствами резервного копирования) должно быть размещено в специальных  соответствующих помещениях. Кроме  того, на узлах выхода в Интернет необходимо установить системы обнаружения атак. В серверной части в целях защищенного электронного документооборота следует разместить средства ЭЦП. Также в системе должны быть установлены средства аудита.

       К мероприятиям можно отнести как  аттестацию объектов автоматизированной системы кафедры, так и последующий аудит АС. Для управления информационной безопасностью сети в исключительных случаях можно обращаться к услугам посторонних специалистов.

       В целях автоматизации обработки  персональных данных рекомендуется  дополнительно указывать внутренний идентификационный номер (личный код) субъекта персональных данных, присваиваемый на весь период обучения или работы. Это позволит обезличить базы данных, если в них не содержатся иные персональные данные, и существенно сократить затраты на защиту информации.

       Таким образом, концепция и политика информационной безопасности являются основополагающими документами в области защиты информации. Данные документы формируют базу для дальнейшего построения комплексной системы информационной безопасности, а также системы управления информационной безопасностью. 

       Концепция политики информационной безопасности разрабатывается на основе результатов  обследования, анализа источников и  видов угроз информационной безопасности и динамики их развития. Она представляет собой систематизированное изложение целей и задач защиты, основных принципов и способов достижения требуемого уровня безопасности информации, которые должны закладываться в основу комплексной системы защиты информации (КСЗИ). Концепция учитывает требования отечественных и зарубежных стандартов и законодательных актов, действующих на территории России.  

       Политика  информационной безопасности в общем  виде представляет собой совокупность правил, процедур, практических приемов  и руководящих принципов в  области информационной безопасности и определяет регламент обеспечения защиты информационных ресурсов информационных систем, а также процедуры управления информационной безопасностью.  

       В результате получается руководство в виде  нормативных документов, которое объединяет в себе весь необходимый перечень положений, регламентирующих деятельность компании в области обеспечения информационной безопасности.