Цель работы: изучить перечень нормативных документов на основе которых осуществляется построение системы защиты информации.
Теоретическая часть
Формирование баз данных архивов территориальных фондов корпоративных информационных систем. В 1997 году Системой управления ресурсами Ханты-Мансийского автономного округа было принято решение о создании в территориальном геологическом фонде цифрового архива первичной геолого-геофизической информации. При создании архива использовались программные продукты фирмы Schlumberger GeoQuest: Finder, SeisDB и AssetDB. Все программное обеспечение функционирует под управлением СУБД ORACLE. На рис.1 представлена схема взаимодействия программного обеспечения, которое было использовано при создании архива.
В настоящее время завершен первый этап реализации проекта — разработана модель данных архива. При составлении модели данных за основу был взят утвержденный «Регламент организации информационных потоков данных сейсморазведки», в котором перечислены все типы информации, предназначенные для хранения в архиве, и описаны форматы этих данных.
На рис. 2 и 3 представлены схемы информационных потоков сейсмической информации и этапы прохождения исходных данных при загрузке их в архив. В течение 1998 года аппаратное и программное обеспечение полностью подготовлено к загрузке данных. Было организовано обучение специалистов ТГФ. Проведен контроль качества и анализ сейсмической информации,поступающей из различных источников. Как показывает опыт, в каждой организации существует своя специфика подготовки выходной информации. Разработан ряд дополнительных программ и процедур подготовки данных для загрузки в архив. В основном эти программы ориентированы на форматы данных, утвержденные в «Регламенте». Сейсмическая информация, удовлетворяющая требованиям «Регламента», загружена в базы данных (Finder и SeisDB). В течение 1998 года в ТГФ был сдан материал на магнитных носителях по 12 сейсмопартиям. Был проведен контроль качества информации и загрузка в базу данных проверенного материала.
Проведен контроль качества и анализ существующих и поступающих данных ГИС. Разработан ряд дополнительных процедур, позволяющих проводить контроль качества, подготовку и загрузку данных ГИС в пакетном режиме. Загружено кривых: 38 тыс. по 950 скважинам. Эта работа продолжается по мере поступления информации. На рисунке 4 представлены этапы подготовки и загрузки в базу данных Finder информации по ГИС.
Моделирование и анализ корпоративных информационных систем Успешное развитие любого современного предприятия (корпорации) во многом зависит от его информационной системы (ИС) - от того, как она создавалась, как развивается и как осуществляется ее поддержка. При этом под ИС понимается совокупность всей информации, используемой в работе предприятия, и комплекса программно-технических, методических и организационных компонентов, обеспечивающих создание, обработку, передачу и прием этой информации.
Задача проводимого обзора существующих стандартов и методик реализации обследования защищенности ОИ состоит в определении оценки объективности и полноценности данных стандартов и методик.
Перечень рассмотренных стандартов и методик, описывающих процессы обследования защищенности ОИ, представлены в стандартах ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 27001:2005 и ISO/IEC 17799:2005 а также руководящих документах ФСТЭК.
Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.
- Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
- Аттестация объектов информатизации — комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.
Формирование требований к защите информации, содержащейся информационной системе Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и в том числе включает:
- принятие решения о необходимости защиты информации, содержащейся в информационной системе;
- классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе , и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты информации информационной системы.
- Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы.
- Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Практическое задание
Построить алгоритм анализа информации, циркулирующей в корпоративной информационной системе.
Контора по ремонту и обслуживанию ПК
- От кого поступила информация?
- Что требуется в запрашиваемой информации?
- Законно ли это?
- Данные какого уровня CDO требуется? И являются ли лно дусупными к распространени?
Проанализировать информацию, циркулирующей в корпоративной информационной системе предприятия.
- Заказы клиентов
- Информация по сотрудникам
- Внутриорганизационное сообщение
- Финансовая отчестность
Построить полную диаграмму информационных потоков предприятия.См. отчёт
Контрольные вопросы
Что представляет диаграмма информационных потоков?
- Трафик рассматриваемый как количественную характеристику, описывающую информационные потоки между вершинами графа и распределенную во времени в соответствии со статистическими законами
Какие элементы должны быть отображены на диаграмме информационных потоков?
- Все юниты, организации производящие информационные потоки
Какое программное обеспечение может быть использовано для построения диаграммы информационных потоков?
- COMNET
Какие принципы используется для построения диаграммы информационных потоков?
- коммуникационный (сетевые протоколы различных уровней, активное сетевое оборудование);
- уровень системного ПО (операционные системы);
- уровень платформного (инструментального) ПО (СУБД, почтовые системы);
- уровень прикладного ПО (собственно прикладные программные системы).
Что представляет собой полная диаграмма информационных потоков? Data Flow Diagrams — DFD представляют собой иерархию функциональных процессов, связанных потоками данных. Цель такого представления — продемонстрировать, как каждый процесс преобразует свои входные данные в выходные, а также выявить отношения между этими процессами.