Вход

Информационная безопасность и защита информации в ДОУ

Рекомендуемая категория для самостоятельной подготовки:
Дипломная работа*
Код 194028
Дата создания 10 июля 2017
Страниц 74
Мы сможем обработать ваш заказ (!) 11 ноября в 12:00 [мск]
Файлы будут доступны для скачивания только после обработки заказа.
3 880руб.
КУПИТЬ

Описание

Результаты комплексного анализа системы информационной безопасности ресурсов ДОУ дают основания сформулировать ряд выводов и предложений:
система безопасности в сфере дошкольного образования обеспечивает защиту его средства управления и активов от угроз, если угрозы классифицированы на основе потенциала злоупотребления защищаемыми активами;
в системе ИБ доверие представляется характеристикой контрмер, которая дает основания для уверенности в их надлежащем влиянии (действии);
угрозы безопасности информационных и телекоммуникационных средств и систем, создаваемых (развернутых) на территории России, включают 14 основных категорий: нарушений технологий оборота (обработки) информации; противоправного сбора и использования информации; и т.д.;
качественное состояние информационной безопасности н ...

Содержание

ВВЕДЕНИЕ 5
1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ИЗУЧЕНИЯ МЕТОДОВ И ФОРМ ЗАЩИТЫ ИНФОРМАЦИИ 10
1.1 . Сущность, понятия и значение информационной безопасности 10
1.2. Общие требования к информационной безопасности и критерии оценки безопасности информационных технологий 18
2. ОСОБЕННОСТИ ЗАЩИТЫ ИНФОРМАЦИИ В РЕСУРСАХ ДОУ 26
2.1. Анализ возможного воздействия на информацию в ресурсах ДОУ 26
2.2. Модели нарушителей и прогноз утечки информации в информационных системах дошкольного образования 37
3. РЕКОМЕНДАЦИИ И МЕРОПРИЯТИЯ ПО КОМПЛЕКСНОЙ ЗАЩИТЕ ИНФОРМАЦИИ В ДОУ 48
3.1. Недостатки в системном подходе к обеспечению информационной безопасности в дошкольных организациях 48
3.2. Предложения по повышению эффективности защиты информации в ресурсе ДОУ 54
ЗАКЛЮЧЕНИЕ 61
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 67
ПРИЛОЖЕНИЕА 74

Введение

В положениях женевской Декларации «Построение информационного общества – глобальная задача в новом тысячелетии», которая принята в 2003 г. на всемирной встрече в ООН по вопросам информационного общества, провозглашено, что крайне важно обеспечить расширение доступа к информационно-коммуникационным инфраструктурам и технологиям, информации и знаниям и сформировать благоприятную (защищенную) на всех уровнях среду для прогресса информационного общества [44, с. 19].
Конституция РФ подтверждает основы фундаментального института информационного общества положениями статьи 29, которые, в частности, гарантируют, что каждый обладает правом свободного поиска, получения, передачи, производства и распространения информации любым законным способом [1].
Система российского образования как проводник инфо рмационной политики государства имеет одной из основных функций сбор, хранение, обработка, обмен и распространение информации. Учреждения дошкольного образования (далее – ДОУ) аккумулируют огромный объем сведений, который включает в себя как информацию, созданную непосредственно в ДОУ, так и данные, поступающие из множества внешних источников. Такая информация включает конфиденциальные сведения о персональных и медицинских данных воспитанников и работников ДОУ, а также может включать сведения, причиняющие вред здоровью (развитию) детей, обозначенные в Федеральном законе от 29.12.2010 N 436-ФЗ [10] (информацию в Интернете [30] и пр.).
В числе важнейших задач, целей и принципов функционирования (развития) российского информационного общества согласно соответствующей Стратегии развития [13], в частности, декларированы механизмы обеспечения национальной безопасности в информационной области, совершенствования государственной системы конституционных гарантий прав человека в информационной сфере, а также противодействия применению потенциала информационных коммуникаций в целях угрозы национальным интересам.
Среди проблем Госпрограммы «Информационное общество (2011 - 2020 годы)» [21] отражены низкий уровень организационно-правовой и технической защиты информации в публичных информационных ресурсах, отсутствие инфраструктуры эффективного обеспечения информационной безопасности при взаимодействии органов власти (муниципалитетов) с другими заинтересованными субъектами информационного оборота. В данной связи для реализации подпрограммы «Безопасность в информационном обществе» государством выделяется более 120 млрд руб. Между тем, развитие информационных технологий и угроз их безопасности не стоят на месте, и сейчас уже необходимо проводить более современные превентивные мероприятия в сфере информационной безопасности. Так в правовых рамках Конвенции о защите физических лиц в отношении автоматизированной обработки данных личного характера [3] и соответствующего Федерального закона "О персональных данных"[7] в России сформированы и актуализируются комплексные системы защиты персональных данных и других сведений ограниченного доступа, включая данные, причиняющие вред здоровью (развитию) детей [26].
Наряду с внешним оборотом, информационные процессы локального уровня обусловлены тем, что сетевая инфраструктура и автоматизированные системы становятся важным активом любого хозяйствующего субъекта. Показатели целостности, конфиденциальности и доступности необходимой информации существенно влияют на деловую репутацию. При этом источники угроз отказов в использовании информационного ресурса в виде компьютерного вируса, компьютерных взломов и атак стали более агрессивны и изощренны. Условия взаимодействия частных сетей с сетями общего пользования и комплексное применение публичных ресурсов осложняет управление доступом к распространяемой информации.
Таким образом, информация – это особо ценный актив любого элемента социально-экономической деятельности в целом и системы дошкольного образования, в частности. При этом прогресс информационного оборота в ДОУ выдвигает новые угрозы безопасности, противостояние которым должно обеспечиваться адекватной системой защиты информации. Организационно-правовые, технические и технологические конструкции информационной безопасности должны защищать ресурс ДОУ от актуальных угроз для обеспечения непрерывной коммуникации с внешними акторами, получения необходимой отдачи от собственной образовательной деятельности, защиты прав и интересов воспитанников и учреждения.
С учетом вышеизложенного актуальность избранной темы дипломной работы обусловлена важность разработки и внедрения системы противодействия угрозам информационной безопасности для информационного ресурса ДОУ.
Объектом исследования является актуальная система отношений в сфере информационной безопасности системы дошкольного образования России.
Предмет исследования включает систему комплексной защиты информации в ресурсе ДОУ.
В рамках проводимого исследования использовалась литература в двух основных направлениях. Во-первых, основные принципы и общая методология построения систем информационной безопасности приведены в работах В.В. Гафнера, Т.В. Ершовой, Ю.Е. Хохлова, С.Б. Шапошника, В. П.Мельникова, С. А. Клейменова, А. М. Петракова, С.Т. Папаева, И.В. Бабайцев,а Н.В. Козака и др. Во-вторых, критерии систем защиты информации, в частности персональных данных и пр. обозначены в трудах Н.И. Петрыкиной, В. А. Семененко, А. Ф. Чипиги, В.Ф. Шаньгина и др. При этом обширный потенциал и недостаточность научных разработок в исследуемой сфере подчеркивается в научных трудах И.В. Машкиной, К.А. Шапченко, Ю.М. Шубина, Д.А. Щелкунова и др. Содержание обозначенных и других работ, используемых в проведенном исследовании обозначает многостороннюю, но недостаточно изученную сферу системной защиты информации в ДОУ.
Цель исследования дипломной работы заключается в комплексном анализе системы информационной безопасности ресурсов ДОУ.
Для реализации отмеченной цели, задачами работы представляются:
провести анализ теоретических основ изучения методов и форм защиты информации;
изучить сущность, значение и понятия информационной безопасности;
обозначить общие требования к информационной безопасности с критериями оценки безопасности информационной технологии;
исследовать особенности защиты информации в ресурсах ДОУ;
провести анализ возможного воздействия на информацию в дошкольном учреждении;
охарактеризовать модели нарушителей и прогноз утечки в информационных системах дошкольного образования;
обобщить рекомендации и мероприятия по комплексной защите информации в ДОУ;
обозначить недостатки системного подхода к обеспечению информационной безопасности в дошкольных организациях;
разработать предложения по повышению эффективности защиты информации в ресурсе ДОУ.
Информационную базу источников исследования составляют нормативные акты в международной и национальной сфере информационной безопасности, учебно-методическая и научная литература по вопросам защиты информации (Министерства связи России, ФСБ России, ФСТЭК России, Рособрнадзора, Роскомнадзора и пр.).
В результате проведенного исследования теоретических вопросов, правовых и организационных основ информационной безопасности в ДОУ автором определены проблемы развития системы защиты информации в сфере дошкольного образования, разработаны и предложены конкретные меры совершенствования средств информационной безопасности в дошкольных организациях.
Структура работы включает 3 главы из 6 параграфов. Первая глава отражает теоретические основы изучения методов и форм защиты информации, включая сущность, терминологию и значение информационной безопасности, а также обзор общих требований к информационной безопасности и критерии оценки безопасности информационных технологий. Во второй главе расмсотрены особенности защиты информации в ресурсах ДОУ, что определяет проведенный анализ возможного воздействия на информацию в ресурсах ДОУ с изучением модели нарушителей и обобщение прогноза утечки информации в информационных системах дошкольного образования. В третьей главе аргументированы рекомендации и мероприятия по комплексной защите информации в ДОУ с учетом обозначенных недостатков в системном подходе к обеспечению информационной безопасности в дошкольных организациях и обобщенных предложений по повышению эффективности защиты информации в ресурсе ДОУ.

Фрагмент работы для ознакомления

в выборе величины звукоизоляции с учетом характеристик помещения, его месторасположения и особенностей обработки ПД в информационной системе.
Для исключения утечки видовой информации (ПД) размещение всех устройств обработки ПД в помещениях осуществляется с условием исключения возможности просмотра посторонним графической и текстовой видовой информации, которая содержит персональные данные [40, с. 94].
Следует добавить, что выбор и реализация способов и методов ЗИ в любой информационной системе осуществляются согласно определенным угрозам безопасности ПД (модели угроз) и с учетом класса такой системы, поскольку такие способы (методы) должны нейтрализовывать предполагаемые угрозы безопасности ПД при их обработке в составе создаваемой системы защиты ПД.
Таким образом, возможная утечка информации в ДОУ минимизируется посредством:
во-первых, проведения комплекса мероприятий по защите информации ограниченного доступа в 7 технических каналах: формирование системы технических и программных СЗИ от НСД совместно со специальным научно-техническим подразделением согласно требований Положения; использование положений ГОСТ Р ИСО/МЭК 27002-2012 для определения защищаемого актива и соответствующих мероприятий защиты и контроля ЗИ; а также использования необходимых технических СЗИ 7 соответствующих категорий;
во-вторых, осуществления комплекса мероприятий по защите персональных данных, которые содержатся в речевой информации, в информации электрических сигналов, в информации физических полей;
в-третьих, разработки соответствующих моделей угроз и определения класса информационной системы ПД в ДОУ [47, с. 20];
в-четвертых, с учетом специфики работы ДОУ необходимо применение специальной категории информационной защиты детей от информации ограниченного доступа, обусловленной негативными последствиями в силу вредного характера для детей определенных сведений.
Кроме этого, следует добавить, что согласно ч. 2 ст. 5 Федерального закона N 436-ФЗ [26] не допускается оборот информационного продукта, содержащего информацию, которая запрещена для распространения среди детей в ДОУ без применения административно-организационных мер, технических и программных средств защиты воспитанников ДОУ от указанной информации.
К сведениям, запрещенным к распространению среди детей относятся данные:
1) побуждающие ребенка к совершению действий, которые представляют угрозу жизни (здоровью) посредством причинения вреда собственному здоровью или самоубийства;
2) способные вызвать у ребенка желание употреблять наркотик, психотропное (одурманивающее) вещество, табачное изделие, алкогольный и спиртосодержащий продукт, пиво и напиток, изготавливаемый на его основе, принимать участие в азартной игре, заниматься проституцией, попрошайничеством или бродяжничеством;
3) обосновывающие или оправдывающие допустимость насилия (жестокости) либо побуждающие осуществлять насильственной действие по отношению к человеку или животному, за исключением случая, предусмотренного законом;
4) отрицающие семейные ценности и формирующие неуважение к родителю (другим членам семьи);
5) оправдывающие противоправное поведение;
6) содержащие нецензурную брань;
7) содержащие информацию порнографического содержания.
Таким образом, анализ возможного воздействия на информацию в ресурсах ДОУ должен отражать комплекс соответствующих мероприятий специальной категории информационной защиты детей от информации ограниченного доступа, обусловленной негативными последствиями в силу вредного характера определенных сведений.
2.2. Модели нарушителей и прогноз утечки информации в информационных системах дошкольного образования
С учетом вышеизложенных доводов, при анализе особенностей ЗИ в ресурсах ДОУ следует отметить, что основными категориями нарушениями ИБ в этой сфере наряду с обычными (см. п. 1.1. предлагаемой работы) являются:
во-первых, общая категория раскрытия актива, наносящего ущерб, несанкционированный получателем (в частности, утрата конфиденциального характера персональных данных воспитанников и работников ДОУ);
во-вторых, общая категория нанесения ущерба активу из-за несанкционированной модификации (потери целостности) или несанкционированного лишения доступа к активу (потеря доступности к сведениям электронного информационного ресурса ДОУ);
в-третьих, специальная категория информационной защиты детей от информации ограниченного доступа, обусловленная негативными последствиями в силу вредного характера определенных сведений.
Формирование модели нарушителей и прогноза утечки информации с учетом специфики деятельности ДОУ целесообразно рассматривать на примере оборота персональных данных, для чего необходимо привести соответствующий понятийный аппарат. Так, согласно Базовой модели угроз безопасности ПД [28]:
1) информационной системой персональных данных (ИСПД) является совокупность персональных данных, которые содержатся в базе данных, а также технических средств и информационных технологий, способствующих обработке этих персональных данных с применением автоматизации или без такового;
2) контролируемой зоной является пространство с исключением неконтролируемого пребывания посетителей и сотрудников оператора, а также посторонних технических, транспортных и др. материальных средств;
3) нарушителем безопасности ПД обозначено физическое лицо, случайно (преднамеренно) совершающее действия, следствием которых является нарушение безопасности ПД при их обработке техническими средствами в соответствующих информационных системах;
4) несанкционированным доступом (несанкционированными действиями, НСД) отмечен доступ к информации (ПД) либо действия с информацией (ПД), которые осуществляются при нарушении определенных прав (правил) доступа к информации (ПД) с использованием штатных средств либо других аналогичных средств;
5) носителем информации определено физическое лицо, материальный объект, физическое поле, в котором информация отражается в виде образов, символов, сигналов, технических процессов и решений, а также количественных параметров физических величин;
6) пользователем ИСПД является участник функционирования такой системы или обладатель результатами функционирования ИСПД;
7) утечкой информации (защищаемой) по техническим каналам установлено неконтролируемое ее распространение от носителя посредством физической среды до технического средства, которое осуществляет перехват защищаемой информации [43, с. 97].
При этом в Базовой модели угроз безопасности ПД обозначены 2 основные категории нарушителей:
1) внешние – лица-нарушители, которые не обладают доступом к ИСПД и реализуют угрозы путем внешнего доступа к связи общего пользования (посредством сетей международного информационного обмена);
2) внутренние нарушители – такие нарушители, которые имеют доступ к ИСПД (например, пользователи ИСПД) и реализуют угрозы непосредственно в информационной системе ДОУ.
Типы внешних нарушителей включают:
представителей разведывательных служб государств;
представителей криминальных структур;
конкурентов (сотрудников конкурирующих организаций);
недобросовестных партнеров;
внешних субъектов (физических лиц).
Внешний нарушитель обладает 5 общими возможностями:
1) осуществления несанкционированного доступа к каналам связи за пределами служебных помещений ДОУ;
2) осуществления несанкционированного доступа посредством автоматизированных рабочих мест, подключенных к сетям общего пользования ДОУ (сетям международного обмена информацией);
3) осуществления несанкционированного доступа к информации (ПД) ДОУ с применением специальных воздействий путем вредоносных программ, программных вирусов, программных или алгоритмических закладок;
4) осуществления НСД посредством элементов инфраструктуры ИСПД, которые на этапах собственного жизненного цикла (сопровождения, ремонта, модернизации, утилизации) оказываются вне пределов контролируемой зоны ДОУ;
5) осуществления несанкционированного доступа посредством информационных систем взаимодействующих субъектов ДОУ (ведомств, учреждений и организаций) при их подключении к ИСПД.
Следует учесть, что с учетом разработки и размножения информации в помещении ДОУ может находиться как минимум 2 вида общих устройства:
во-первых, техническое средство формирования конфиденциальных сведений (например, автоматизированное рабочее место оператора, АРМ)
во-вторых, техническое средство копирования информации ограниченного доступа (например, многофункциональное устройство, МФУ).
Внутренние нарушители утечки ПД – это лица, которые могут проникнуть (обладающие и необладающие доступом) в помещение ДОУ, предназначенное для разработки (размножения) документов, содержащих конфиденциальную информацию (ПД). Среди них следует отметить 5 категорий:
1) работников, которые непосредственно участвуют и в разработке, и в размножении конфиденциальных документов;
2) работников, осуществляющих только размножение документов;
3) работников, осуществляющих только разработку документов;
4) работников, обладающих доступом в помещение, но не участвующих ни в разработке, ни в размножении документов (непосредственных и прямых руководителей, технических специалистов, обслуживающих АРМ и МФУ, работников и пр.);
5) потенциальных субъектов, не обладающих доступом, но проникающих в помещение [39, с. 100].
При этом операторы АРМ и МФУ, а также собственные технические специалисты ДОУ в зависимости от сложности (состава) АРМ и МФУ могут рассматриваться в качестве 8 вышеуказанных общих категорий внутренних нарушителей.
Таким образом, в перечень субъектов, которые не могут рассматриваться как потенциальные внутренние нарушители, могут быть внесены те работники, которые физически не могут проникнуть в защищаемое помещение. При наличии привилегированных пользователей информацией в защищаемом помещении (руководителей ДОУ, их начальников и особо доверенных лиц) такие субъекты также могут быть исключены из перечня потенциальных внутренних нарушителей.
Внешние нарушители – субъекты, осуществляющие НСД в помещение ДОУ, предназначенное для разработки (размножения) документов, содержащих конфиденциальную информацию (ПД). В данной связи с учетом специфичной деятельности ДОУ типология внешних нарушителей может включать:
представителей криминальных структур, заинтересованных в ПД ребенка из интересуемой семьи;
конкурентов ДОУ (работников других ДОУ, противодействующих в сфере приема в ДОУ и предметов госзакупок);
недобросовестных партнеров в области государственных (муниципальных) закупок;
внешних субъектов (физических лиц, заинтересованных в получении иной выгоды от нарушения конфиденциальности информации ограниченного доступа).
То есть, внешний нарушитель в рассматриваемой области должен обладать хотя бы одной из 6 возможностей:
осуществления несанкционированного доступа в защищаемое помещение ДОУ;
осуществления несанкционированного доступа к каналам связи защищаемого помещения (для снятия необходимой информации);
осуществления НСД путем снятия информации с технических каналов утечки;
осуществления НСД посредством технических средств, которые подключены к АРМ защищаемого помещения;
осуществления НСД к информации, формируемой на АРМ, в защищаемом помещении с применением специальных воздействий путем вредоносных программ, программных вирусов, программных или алгоритмических закладок;
осуществления НСД посредством технических элементов АРМ или МФУ защищаемого помещения, которые на этапах собственного жизненного цикла (сопровождения, ремонта, модернизации, утилизации) оказываются вне пределов контролируемой зоны.
Мероприятия прогноза утечки информации в ДОУ с учетом приведенных в п. 2.1. сведений и п. 4 Базовой модели угроз безопасности ПД включают 3 основных фактора:
во-первых, источника угрозы – внутренних нарушителей, которые не могут проникнуть в защищаемое помещение, а также всех потенциальных внешних нарушителей;
во-вторых, среды (пути) распространения информативного сигнала - физической среды, посредством которой информация (сигнал) может быть распространена и принята приемником, содержание которой может быть однородным (например, только воздушным) и неоднородным при переходе информации (сигнала) из одной среды в другую (например, в ходе виброакустических или акустоэлектрических преобразований);
в-третьих, носителя защищаемой информации, которым может быть любой носитель физического поля, в котором защищаемая информация отражается воспроизводимыми сигналами (символами, образами, техническими решениями и процессами, количественными характеристиками физических величин), а именно:
оператор АРМ, формирующий информацию в защищаемом помещении ДОУ;
сотрудник размножающий конфиденциальную информацию на МФУ;
лица в защищаемом помещении ДОУ, которые могут принять и воспроизвести конфиденциальную информацию;
технические средства АРМ и МФУ, которые могут создавать отображение конфиденциальной информации [47, с. 20].
Возникновение угрозы утечки речевой (акустической) информации ограниченного доступа из защищаемого помещения ДОУ обусловлено голосовым вводом конфиденциальной информации (ПД) на АРМ или функциями ее воспроизведения средствами акустики АРМ (МФУ). Перехват подобной информации возможен внешними и внутренними устройствами, которые включают:
1) стационарную аппаратуру, размещенную в близлежащих зданиях (строениях) с бесконтрольным пребыванием внешних нарушителей (посторонних лиц);
2) портативную возимую аппаратуру, размещенную в транспорте вблизи защищаемого помещения;
3) портативную носимую аппаратуру (при бесконтрольным пребывании внешнего или внутреннего нарушителя (посторонних лиц) в защищаемом помещении либо вблизи с ним);
4) автономную автоматическую аппаратуру, скрытно установленную внешним или внутренним нарушителем (посторонним лицом) в защищаемом помещении либо вблизи с ним.
Возникновение угрозы утечки визуальной (видовой) конфиденциальной информации из защищаемого помещения ДОУ связано с ее просмотром:
посредством оптикоэлектронных (оптических) средств с мониторов АРМ и др. средств отображения АРМ и МФУ в защищаемом помещении Минкультуры России;
специальными электронными устройствами съема, внедренными в защищаемом помещении, либо скрытно используемыми внутренними нарушителями при проникновении в защищаемое помещение.
в условиях прямой видимости между носителем конфиденциальной информации в защищаемом помещении и средством наблюдения.
Перехват визуальной (видовой) конфиденциальной информации в защищаемом помещении ДОУ может осуществляться внешними и внутренними устройствами, которые включают:
1) стационарную аппаратуру, размещенную вблизи с защищаемым помещением с бесконтрольным пребыванием внешних нарушителей (посторонних лиц);
2) портативную возимую аппаратуру, размещенную в транспорте вблизи защищаемого помещения;
3) портативную носимую аппаратуру (при бесконтрольным пребывании внешнего или внутреннего нарушителя (посторонних лиц) в защищаемом помещении либо вблизи с ним);
4) автономную автоматическую аппаратуру, скрытно устанавливаемую внешним или внутренним нарушителем (посторонним лицом) в защищаемом помещении либо вблизи с ним.
Возникновение угрозы утечки конфиденциальной информации из защищаемого помещения по каналу побочных электромагнитных излучений и наводок (ПЭМИН) обусловлено перехватом техсредствами информативных электрических сигналов и электромагнитных полей, которые возникают при формировании АРМ и размножении МФУ конфиденциальной информации [43, с. 98].
Регистрация ПЭМИН для завладения конфиденциальной информацией может осуществляться:
аппаратурой радиоприемных (оконечных) устройств восстановления информации;
электронными устройствами перехвата, подключенными к каналам связи или к АРМ и МФУ в защищаемом помещении.
Регистрация ПЭМИН может осуществляться внешними и внутренними устройствами, которые включают:
1) стационарную аппаратуру, размещенную вблизи с защищаемым помещением с бесконтрольным пребыванием внешних нарушителей (посторонних лиц);
2) портативную возимую аппаратуру, размещенную в транспорте вблизи защищаемого помещения;
3) портативную носимую аппаратуру (при бесконтрольным пребывании внешнего или внутреннего нарушителя (посторонних лиц) в защищаемом помещении вблизи с АРМ и МФУ);
4) автономную автоматическую аппаратуру, скрытно устанавливаемую внешним или внутренним нарушителем (посторонним лицом) в защищаемом помещении вблизи с АРМ и МФУ.
При анализе угроз утечки конфиденциальной информации из защищаемого помещения ДОУ по каналу ПЭМИН следует акцентировать внимание на 5 аспектах:
канал утечки, обусловленный наводкой, может образовываться в соединительных линиях АРМ и МФУ и посторонних цепях заземления и электропитания;
наводка электромагнитного излучения возникает в ходе излучения элементами АРМ и МФУ информативных сигналов в случае наличия индуктивной, емкостной либо гальванической связей соединительных цепей АРМ и МФУ и других проводников, в результате чего на случайных антеннах цепей АРМ и МФУ либо других проводников может наводиться информативный сигнал;
информативный сигнал цепи электропитания возникает в условиях индуктивной, емкостной либо гальванической связи источника информативного сигнала в составе АРМ и МФУ и цепей их питания;
информативный сигнал цепи заземления возникает в условиях индуктивной, емкостной либо гальванической связи источника информативного сигнала в составе средств передачи информации АРМ (МФУ) и цепи заземления;
с появлением мобильной и других беспроводных видов передачи данных развиваются специализированные системы (средства) перехвата и контроля информации: перехвата сотовой связи, а также информации из незащищенных каналов передачи данных вычислительных сетей [42, с. 102].
При этом для съема конфиденциальной информации с электроцепей ДОУ могут применяться системы:
1) технических средств съема сигналов, которые содержат конфиденциальную информацию, с цепей АРМ и МФУ, а также линий передачи данных, которые выходят за пределы защищаемого помещения (пробники, токовые трансформаторы, эквиваленты сети и пр.);
2) средств съема наведенного информативного сигнала с цепей электропитания АРМ и МФУ в защищаемом помещении;
3) средств съема наведенного информативного сигналов с шин заземления АРМ;
4) средств съема наведенного информативного сигнала с инженерных проводящих коммуникаций [41, с. 45].
Подытоживая, следует отметить, что обозначенные модели нарушителей и прогноз утечки информации по техническим каналам ДОУ показывают высокий потенциал угрозы информационной безопасности в помещении, предназначенном для разработки и размножения документов, содержащих конфиденциальную информацию, ДОУ.
С учетом специальной категории информационной защиты детей от информации ограниченного доступа, обусловленной негативными последствиями в силу вредного характера определенных сведений, следует указать на основные положения Рекомендаций Минкомсвязи [26], согласно которым:
- знаки информационного продукта (текстового предупреждения) об ограничении распространения среди детей информационного продукта указаны на полосе издания с выходными сведениями;
- обозначение категорий информационного продукта знаком (текстовым предупреждением) об ограниченном распространении информации среди детей должно осуществляться с соблюдением правил Федерального закона N 436-ФЗ ее производителем (распространителем):
1) относительно категории информационного продукта для детей, которые не достигли возраста 6 лет, - в виде цифры "0" и знака "плюс";
2) относительно категории информационного продукта для детей, которые достигли возраста 6 лет, - в виде цифры "6" и знака "плюс" (словосочетания "для детей старше 6 лет").
Таким образом, основной категорией возможного нарушителя ИБ в данном случае является распространитель информации ограниченного доступа:
- покупатель информационного продукта для ДОУ, который обязан проверить категорию информации;
- работник ДОУ, распространяющий информационный продукт детям (например, при групповом чтении или при просмотре видео), который обязан проверить соответствие категории информации возрасту детей, которые ее получают.
3. РЕКОМЕНДАЦИИ И МЕРОПРИЯТИЯ ПО КОМПЛЕКСНОЙ ЗАЩИТЕ ИНФОРМАЦИИ В ДОУ
3.1. Недостатки в системном подходе к обеспечению информационной безопасности в дошкольных организациях

Список литературы


Нормативно–правовые акты

1. Конституция РФ, принята всенародным голосованием 12 декабря 1993 года (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ) // СЗ РФ, 14.04.2014, N 15, ст. 1691.
2. Директива N 95/46/ЕС Европейского парламента и Совета Европейского Союза "О защите физических лиц при обработке персональных данных и о свободном обращении таких данных" (принята в г. Люксембурге 24.10.1995, с изм. и доп. от 29.09.2003) // Источник СПС КонсультантПлюс.
3. Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера" (ETS N 108, заключена в г. Страсбурге 28.01.1981, ратифицирована с заявлениями Федеральным законом от 19.12.2005 N 160-ФЗ)// Источник СПС КонсультантПлюс.
4. Кодекс РФоб административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 05.10.2015) // Российская газета, N 256, 31.12.2001.
5. О техническом регулировании: Федеральный закон от 27 декабря 2002. (в ред. от 15.07.2015)// Российская газета от 31 декабря 2002 г. - № 245.
6. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 № 149-ФЗ (ред. от 31.12.2014)// Парламентская газета от 3 августа 2006 г. № 126.
7. О персональных данных: Федеральный закон от 27 июля 2006 № 152-ФЗ. (ред. от 23.07.2013) // Парламентская газета от 3 августа 2006 г. № 126.
8. О противодействии коррупции: Федеральный закон от 25 декабря 2008 № 273-ФЗ (в ред. 7 мая 2013) // Парламентская газета от 31 декабря 2008 г. № 90.
9. О безопасности: Федеральный закон от 28 декабря 2010 (ред. 05.10.2015)// Парламентская газета от 3 января 2011 г. - № 1.
10. О защите детей от информации, причиняющей вред их здоровью и развитию: Федеральный закон от 29.12.2010 N 436-ФЗ (ред. от 29.06.2015)//Российская газета, N 297, 31.12.2010.
11. Доктрина информационной безопасности РФ , утверждена Президентом РФ от 9 сентября 2000 № Пр-1895 // Российская газета, 2000. № 187.
12. Вопросы Федеральной службы по техническому и экспортному контролю: Указ Президента РФ от 16 августа 2004// СЗ РФ, 2004, - № 34, ст. 3541.
13. Стратегия развития информационного общества в Российской Федерации: Распоряжение Президента РФ от 7 февраля 2008 г. № Пр-212), [Электронный ресурс], URL: http://gtmarket.ru/news/state/2007/07/26/1297. (дата обращения: 20.09.2013).
14. Концепция Правительства РФ создания государственной автоматизированной системы информационного обеспечения управления приоритетными национальными проектами (подписана 24 апреля 2007) // Собрание законодательства РФ, 2007, № 18, ст. 2267.
15. Концепция долгосрочного социально-экономического развития РФ на период до 2020 года (подписана 17 ноября 2008) // Собрание законодательства РФ, 2008, № 47, ст. 5489.
16. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники: руководящий документ РФ (введен в действие приказом Государственной технической комиссии при Президенте РФ от 30 марта 1992 г.) // Источник СПС КонсультантПлюс.
17. О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций: постановление Правительства РФ от 16.03.2009 N 228// Российская газета, N 49, 24.03.2009.
18. Концепция Правительства РФ диной системы информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет (подписана 15 июня 2009) // Собрание законодательства РФ, 2009, № 25, ст. 3061.
19. Положение о единой вертикально интегрированной государственной автоматизированной информационной системе "Управление": постановление Правительства РФ от 25 декабря 2009 № 1088 // Собрание законодательства РФ, 2010, № 1, ст. 101.
20. О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов: постановление Правительства РФ от 24 мая 2010 № 365 // Собрание законодательства РФ, 2010, № 22, ст. 2778.
21. О государственной программе Российской Федерации «Информационное общество (2011 - 2020 годы): распоряжение Правительства РФ от 20 октября 2010 № 1815-р // СЗ РФ от 15 января 2010 г. - № 46. ст. 6026.
22. О лицензировании деятельности по технической защите конфиденциальной информации: постановление Правительства РФ №79 от 3 марта 2012 // СЗ РФ, 2012, - № 7, ст. 863.
23. Об утверждении критериев оценки материалов: приказ Роскомнадзора N 1022, ФСКН России N 368, Роспотребнадзора N 666 от 11.09.2013// Российская газета, N 262, 21.11.2013.
24. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации: приказ ФСБ России 21 февраля 2008 г.// Источник СПС «КонсультантПлюс».
25. Об утверждении типовой формы планов информатизации государственных органов: приказ Минсвязи РФ от 18 октября 2010 № 140 // Источник СПС КонсультантПлюс.
26. Рекомендации по применению Федерального закона от 29 декабря 2010 г. N 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию" в отношении печатной (книжной) продукции" (утв. Минкомсвязи России 22.01.2013 N АВ-П17-531) [Электронный ресурс] : сайт СПС КонсультантПлюс. – Режим доступа : http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=141388 (дата обращения 11.11.2015).
27. Руководящие документы. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: руководящий документ РФ, введен приказом Государственной технической комиссии при Президенте РФ от 19 июня 2002 г. N 187 // Источник СПС КонсультантПлюс.
28. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК 15 февраля 2008// Источник СПС «КонсультантПлюс».
29. Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных: приказ ФСТЭК от 5 февраля 2012// Российская газета от 5 марта 2010 г. - № 46.
30. Информационное сообщение Роскомнадзора "Рекомендации средствам массовой информации по применению Федерального закона "О защите детей от информации, причиняющей вред их здоровью и развитию"// Администратор образования, N 20, октябрь. 2012.
31. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России от 18.02.2013 N 21// Российская газета. N 107, 22.05.2013.
32. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11.02.2013 N 17 // Российская газета, N 136, 26.06.2013.
33. Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных постановлением Правительства РФ от 3 февраля 2012 г. N 79: приказ ФСТЭК от 04.04.2015 // Источник СПС КонсультантПлюс.
34. Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 17799-2005.: национальный стандарт РФ, утвержден приказом Ростехрегулирования от 29 декабря 2005 № 447-ст // изд. Стандартинформ. М.: 2006 г.
35. Защита информации. Техника защиты информации. Номенклатура показателей качества. ГОСТ Р 52447-2005: национальный стандарт РФ, утвержден приказом Ростехрегулирования от 29 декабря 2005 № 448-ст // изд. Стандартинформ. – М.: 2006 г.
36. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности: ГОСТ Р ИСО/МЭК 27002-2012. Национальный стандарт Российской Федерации. (утв. и введен в действие приказом Росстандарта от 24.09.2012 N 423-ст)// М.: Стандартинформ, 2014.
37. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. "Функциональные компоненты безопасности. ГОСТ Р ИСО/МЭК 15408-2-2013// М.: Стандартинформ, 2014.



Литература

38. Бугель Н.В. Защита персональных данных как объект организационно-правового регулирования/ Н.В. Бугель, А.В. Никулин// Вестник Санкт-Петербургского университета МВД России. 2012. Т. 54. № 2. С. 230-233.
39. Бугель, Н.В. Защита персональных данных, основы правового регулирования/ Н.В. Бугель // Вестник Санкт-Петербургского университета МВД России. - 2011. - Т. 43. - № 8. - С. 99-105.
40. Васильев, В.И. Алгоритм проектирования оптимальной структуры комплексной системы защиты информации на основе анализа риска / В.И. Васильев, Т.А. Иванова // Информационное противодействие угрозам терроризма. - 2006. - № 6. - С. 92-98.
41. Васильев, В.И. Проектирование структуры комплексной системы защиты информации на основе анализа риска/ В.И. Васильев, // Информационное противодействие угрозам терроризма. - 2007. - № 1. - С. 43-47.
42. Горковенко, Е.В.Иерархическая структура классификации объектов защиты в системах с мандатной политикой разграничения доступа/ Е.В. Горковенко, С.П. Соколова // Информационное противодействие угрозам терроризма. - 2010. - № 15. - С. 101-106.
43. Гришачев, В.В. Оценка степени защищенности объекта информатизации по физическим параметрам каналов утечки/ В.В. Гришачев, О.А. Косенко // Информационное противодействие угрозам терроризма. - 2010. - № 15. - С. 96-101.
44. Ершова Т . В . Информационное общество для всех сегодня и завтра: совместные действия заинтересованных сторон по реализации стратегии развития информационного общества/ Т.В. Ершова, Ю.Е. Хохлов, С.Б. Шапошник // Информационное общество. - 2008. - №5-6. - С. 18-25.
45. Нагорный, С.И.Правовой аспект защиты персональных данных при создании и ведении баз автоматизированных систем кадровых служб государственных органов / С.И. Нагорный, В.В. Донцов // Спецтехника и связь. - 2008. - № 02. - С. 43-48.
46. Скоробогатов А.А. Уторов О.Р. Проблемы правового регулирования обращения и защиты государственной тайны/ А.А, Скоробогатов, О.Р. Уторов// Вестник УрФО. Безопасность в информационной сфере. 2011. № 1. С. 11-14.
47. Шепитько, Г.Е.Категорирование объектов информатизации, содержащих персональные данные / Г.Е. Шепитько , Е.С.Васильев // Информационное противодействие угрозам терроризма. – 2010. -№ 4. - С. 19-21.
Очень похожие работы
Найти ещё больше
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.00512
© Рефератбанк, 2002 - 2024