Организационные и технические мероприятия по обеспечению безопасности информации в организации

Содержание
Введение 3
1.Аналитическая часть 5
2. Проектная часть 9
2.1. Документационное обеспечение системы информационной безопасности 9
2.2. Организационные меры защиты информации 11
2.3. Технологические аспекты системы информационной безопасности 13
Заключение 20
Литература 22

Основные принципы системы АВЗ[2]:- назначение ответственных за АВЗ в подразделениях предпритяия;- использование в работе только лицензионного ПО и последних версий антивирусного ПО, ведущих производителей;- ежедневное обновление антивирусных баз;- проверка на наличие вредоносного ПО всех файлов, полученных на магнитных, оптических и иных внешних носителях, по электронной почте, перед их использованием;- обучение правилам и нормам АВЗ вновь принятых на работу сотрудников.Объектами АВЗ являются [2]:- прокси-серверы;- почтовые серверы;- серверы в локальных вычислительных сетях (ЛВС);- рабочие станции в ЛВС, портативные (переносные) компьютеры.Структура антивирусной защиты на основе решений от Kaspersky Lab представляет собой разветвленную структуру, обеспечивающую централизованное управление системой защиты информации на предприятии (рис.1). Здесь УИТ – подразделение по информационным технологиям.Рис.1. Принципиальная схема организации антивирусной защиты на основе решений от Kaspersky LabГлавный сервер антивирусной защиты предприятия получает обновления с сервера лаборатории Касперского, после чего рассылает его на подчиненные сервера, откуда происходит обновления антивирусного ПО на рабочих станциях, на которые установлено ПО «Агент Администрирования».Также данная система позволяет централизованно настраивать политики антивирусной защиты (управление ключами, управление внешними устройствами, USB-портами, сетевыми подключениями, централизованная установка ПО).2.Системы защиты от несанкционированного доступа (НСД)Организация защиты от несанкционированного доступа предполагает применение как ряда технических решений, связанных с использованием электронных ключей, биометрических сканеров, а также ряда организационных мероприятий. Средства вычислительной техники, с использованием которых производится обработка конфиденциальной информации, подлежат особому порядку учета и обращения.К современным техническим средствам, обеспечивающим защиту автоматизированной системы от несанкционированного доступа, можно отнести:- электронные ключи eToken;- биометрические сканеры (Biolink).Электронный ключ eToken (от англ. electronic — электронный и англ. token — признак, жетон) — персональное средство аутентификации. Различные модели eToken выпускаются фирмой Aladdin Knowledge Systems и российской компанией Aladdin.eToken - персональное средство строгой аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП.eToken выпускается в двух форм-факторах: USB-ключа и смарт-карты.eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure).eToken может выступать в качестве единой корпоративной карты, служащей для визуальной идентификации сотрудника, для доступа в помещения, для входа в компьютер, в сеть, для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL), для проведения финансовых транзакций.Биометрические сканеры BioLink целесообразно применять при аутентификации на объектах, функционирование которых определяет работу автоматизированной системы в целом (VPN-серверы, серверы баз данных). К программным решениям в области защиты от несанкционированного доступа можно отнести ПО «Панцирь-К».Система предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе корпоративной сети. КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС. КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействия атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве). ЗаключениеВ настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании. По сути, информация является одним из ключевых элементов бизнеса. При этом под информацией понимаются не только статические информационные ресурсы (базы данных, текущие настройки оборудования и другие), но и динамические информационные процессы обработки данных.В рамках данной курсовой работы мной проведен анализ существующих проблем в области информационной безопасности, с которыми сталкивается большинство российских предприятий. В ходе работы был проведен анализ существующей нормативной базы в области технологий защиты информации. Показано, что далеко не все предприятия имеют возможность привести свои автоматизированные системы в соответствие с требованиями нормативной базы.Этапами работы над проектом явились:- изучение нормативной базы в области информационной безопасности;- изучение требований к системе информационной безопасности в условиях предприятия – хозяйствующего субъекта;- изучение типовых требований к документационному, организационному, технологическому обеспечению системы защиты информации;- формулировка предложений по типовому технологическому обеспечению системы информационной безопасности;- оценка рисков при внедрении системы информационной безопасности.Показано, что комплекс мер по обеспечению информационной безопасности включает в себя ряд организационных и технологических компонент, позволяющих исполнить требования законодательства и обеспечить безопасность данных информационной системы предприятия.Результаты работы могут быть использованы при проектировании системы информационной безопасности на предприятиях разной формы собственности и различного вида деятельности.ЛитератураБабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - 324 c.Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - 432 c.Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. - 296 cСемененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2010. - 277 cШаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 cЯрочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2008. - 544 c.Максименко В.Н., Афанасьев, В.В. Волков Н.В. Защита информации в сетях сотовой подвижной связи. – М.: Горячая Линия - Телеком, 2007. – 360 с.Малюк А.А, Пазизин С.В, Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая Линия - Телеком, 2011. – 146 с.Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие. – М.: Горячая Линия - Телеком, 2004. – 280 с.Петраков А.В. Основы практической защиты информации. Учебное пособие. – М.: Солон-Пресс, 2005. – 384 с.Хорев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: Академия, 2008. – 256 с.Торокин А. А. Инженерно- техническая защита информации: Учеб. пособие для вузов/А. А. Торокин. - М.: Гелиос АРВ, 2005