Рекомендуемая категория для самостоятельной подготовки:
Дипломная работа*
| Код |
200563 |
| Дата создания |
29 мая 2017 |
| Страниц |
60
|
Мы сможем обработать ваш заказ (!) 26 апреля в 16:00 [мск] Файлы будут доступны для скачивания только после обработки заказа.
|
Описание
В ходе выполнения дипломной работы были достигнуты все поставленные задачи:
1. Анализ информационной системы и циркулирующей в ней информации.
Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о клиентах, поставщиках товаров, отчетах о продажах и персональных данных сотрудников предприятия и клиентов. Такие данные являются персональными, контроль над обработкой таких данных осуществляется государством. В Российской Федерации существует законодательная база регулирующая область защиты конфиденциальной информации.
2. Анализ требований российского законодательства в области защиты конфиденциальной информации и персональных данныхв коммерческих учреждениях.
Не смотря на то, что законодательная база для защиты информации существует давно, и выдвигает жесткие требования к опера ...
Содержание
СПИСОК СОКРАЩЕНИЙ 3
ВВЕДЕНИЕ 4
1 АНАЛИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ ХОЗЯЙСТВУЮЩЕГО СУБЪЕКТА КАК ОБЪЕКТА ЗАЩИТЫ 6
1.1 Анализ организационно-функциональной структуры предприятия 6
1.2 Анализ схемы локально вычислительной сети организации 9
1.3 Анализ информационных потоков организации 12
1.4 Разработка модели угроз и уязвимостей 16
Выводы 17
2 РАЗРАБОТКА СИСТЕМЫ КОНТРОЛЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ 19
2.1 Анализ нормативно-правовой базы защиты конфиденциальной информации в информационной системе и на автоматизированных рабочих
местах 19
2.2 Разработка комплекса правовых и организационных документов 24
2.3 Разработка комплекса технических мероприятий 24
2.4 Разработка комплекса программно-аппаратных мероприятий 32
Выводы 34
3 ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРЕДЛОЖЕННЫХ РЕШЕНИЙ 36
3.1 Выбор средств защиты информации 36
3.2 Рекомендации по внедрению и настройке защиты информации 39
3.3 Экономическое обоснование 50
Выводы 54
ЗАКЛЮЧЕНИЕ 55
СПИСОК ЛИТЕРАТУРЫ 58
Введение
Современные информационные технологии играют важнейшую роль в коммерции и бизнесе, но одной из наиболее серьезных проблем, препятствующих их повсеместному внедрению, является обеспечение защиты информации, в том числе защиты персональных данных граждан и сведений, составляющих коммерческую тайну –данные поставщиков, клиентов, сотрудников организации, используемые программные продукты и базы данных. Актуальность проблемы защиты коммерческих данных сегодня не вызывает сомнений. Доступ физических лиц к базам данных усиливают риск вторжения в сферу частной жизни и нарушения права на ее неприкосновенность. Защита коммерческих данных является одной из наиболее острых проблем в информатизации организаций коммерческой области. Одним из деятельных методов обеспечение безопасности коммерческих данн ых является разработка
Защита персональных данных, как части коммерческой информации, наряду с другими задачами, которые решает система разграничение доступа, в связи с требованиями Федерального закона №152 «О персональных данных», в последнее время затрагивает и интересы граждан, которым принадлежат персональные данные охраняемые законом. С одной стороны, с принятием закона, значительно вырос рынок услуг по обеспечению информационной безопасности, технических и программных средств защиты. С другой стороны, для операторов персональных данных наступили тяжелые времена. И чем более не проработаны вопросы защиты персональных данных в законе и подзаконных актах, тем сложнее их защитить.
В связи с этим, в качестве предметной области для работы задана область деятельности хозяйствующего субъекта ООО «Меридиан». Целью данной работы является разработка системы разграничения доступа в ООО «Меридиан».
В ходе работы будут решены следующие задачи:
1. Анализ информационной системы и циркулирующей в ней информации.
2. Анализ требований российского законодательства в области защиты конфиденциальной информации в коммерческих учреждениях.
3. Разработка комплексной системы защиты коммерческой информации, включающую разработку системы разграничения доступа, организационных мер, а так же инженерно-технических решений, направленных на повышение уровня информационной безопасности.
4. Разработка рекомендаций по внедрению системы разграничения доступом.
5. Оценка экономической эффективности предлагаемых решений.
Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы и приложения.
Первая глава посвящена анализу рассматриваемой информационной системы, составлению модели актуальных угроз. Во второй главе даны проектные решению по созданию системы разграничения доступа. Разработаны рекомендации по устранению угроз. В третьей главе рассматривается механизм внедрения системы защиты и выполненотехнико-экономическое обоснования целесообразности внедрения, разработанной системы разграничения доступа.
Фрагмент работы для ознакомления
2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных + УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных + УКФ.4 Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных +Таблица А.3.Актуальные меры обеспечения безопасности для рассматриваемой ИСУсловное обозначение и номер меры Содержание мер по обеспечению безопасности персональных данных 3 уровень I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора + ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов + ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации + ИАФ.5 Защита обратной связи при вводе аутентификационной нформации + II. Управление доступом субъектов доступа к объектам доступа (УПД) УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей + УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа + УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы + УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы + УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) + УПД.7 Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных + УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации + УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети + УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа + УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств+ III. Ограничение программной среды (ОПС) IV. Защита машинных носителей персональных данных (ЗНИ) ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания + V. Регистрация событий безопасности (РСБ) РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации + РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения + РСБ.7 Защита информации о событиях безопасности + VI. Антивирусная защита (АВЗ) АВЗ.1 Реализация антивирусной защиты + АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) + VII. Обнаружение вторжений (СОВ) СОВ.1 Обнаружение вторжений + VIII. Контроль (анализ) защищенности персональных данных (АНЗ) АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей + IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) X. Обеспечение доступности персональных данных (ОДТ) XI. Защита среды виртуализации (ЗСВ) XII. Защита технических средств (ЗТС) ЗТС.1 Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам + ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр + XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) ЗИС.1 Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы + ЗИС.2 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом + ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи + ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов + ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе + XIV. Выявление инцидентов и реагирование на них (ИНЦ) XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных + УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных +Таблица А.4.Актуальные меры обеспечения безопасности для рассматриваемой ИСУсловное обозначение и номер меры Содержание мер по обеспечению безопасности персональных данных 3 уровень I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора + ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов + ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации + ИАФ.5 Защита обратной связи при вводе аутентификационной информации + II. Управление доступом субъектов доступа к объектам доступа (УПД) УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей + УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа + УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы + УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы + УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) + УПД.7 Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных + УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации + УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети + УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа + УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств+ III. Ограничение программной среды (ОПС) ОПС.Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, IV. Защита машинных носителей персональных данных (ЗНИ) ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания +ЗНИ.9обеспечение сохранности носителей персональных данных;ЗНИ.10учет машинных носителей персональных данных V. Регистрация событий безопасности (РСБ) РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации + РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения + РСБ.7 Защита информации о событиях безопасности + VI. Антивирусная защита (АВЗ) АВЗ.1 Реализация антивирусной защиты + АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) + VII. Обнаружение вторжений (СОВ) СОВ.1 Обнаружение вторжений + VIII. Контроль (анализ) защищенности персональных данных (АНЗ) АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей + IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) X. Обеспечение доступности персональных данных (ОДТ) XI. Защита среды виртуализации (ЗСВ) XII. Защита технических средств (ЗТС) ЗТС.1 Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам + ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр + XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) ЗИС.1 Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы + ЗИС.2 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом + ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи + ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов + ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе + XIV. Выявление инцидентов и реагирование на них (ИНЦ) XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных + УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных +ПРИЛОЖЕНИЕ БТТХ существующих средств защитыБ.1 ТТХ Электронного замка «Соболь»Электронный замок «Соболь» - это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.ПАК «Соболь» 3.0.6 является улучшенной версией 3.0, которая предлагает реализацию новых функций и возможностейВозможности электронного замка «Соболь»Аутентификация пользователей. Блокировка загрузки ОС со съемных носителей. Контроль целостности программной среды.Контроль целостности системного реестра Windows.Контроль конфигурации компьютера (PCI-устройств, ACPI, SMBIOS). Сторожевой таймер. Регистрация попыток доступа к ПЭВМ. Достоинства электронного замка «Соболь»Наличие сертификатов ФСБ и ФСТЭК России. Защита информации, составляющей государственную тайну. Помощь в построении прикладных криптографических приложений. Простота в установке, настройке и эксплуатации. Поддержка 64-битных операционных систем Windows (в том числе Windows 8 и Windows server 2012).Поддержка идентификаторов iButton, iKey 2032, eToken PRO, eToken PRO (Java), Rutoken, Rutoken RF.Гибкий выбор форматов исполнения платы (PCI, PCI-E, Mini PCI-E) и вариантов комплектации. Поддержка файловой системы EXT 4 в ОС семейства Linux.Поддержка высокоскоростного режима USB 2.0/3.0 для усиленной идентификации пользователей. Б.2 ТТХ SECRET NET CARDSecret Net Card – это аппаратная поддержка, используемая в продуктах семейства Secret Net наряду с программно-аппаратным комплексом «Соболь».* Secret Net Card представляет собой плату расширения компьютера, размером 120 мм x 50 мм, устанавливаемую в разъем системной шины стандарта PCI и PCI-E с напряжением питания 5 В или 3,3 В, и позволяет осуществлять идентификацию и аутентификацию пользователей с помощью электронных идентификаторов iButton и запрет несанкционированной загрузки операционной системы с внешних съемных носителей.Возможности продукта- Идентификации и аутентификация пользователей - Реализована идентификация и аутентификация пользователей с использованием персональных идентификаторов. - Механизм защиты от загрузки с внешних носителей - Реализован механизм защиты от загрузки операционной системы с внешних съемных носителей информации, аналогичный механизму, реализованному в ПАК «Соболь» 3.0/2.1. - Автоматическое определение времени срабатывания сторожевого таймера - Реализовано автоматическое определение времени срабатывания сторожевого таймера, индивидуально для каждого изделия Secret Net Card.
Список литературы
1. Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с.
2. БачилоИ.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.
3. Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 с
4. БиячуевТ.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.
5. Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил.
6. БождайА.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.
7. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 с
8. ГайдамакинН.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.
9. Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.
10. Государственный стандарт Российской Федерации ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
11. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
12. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
13. ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
14. ДомаревВ.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИДДиа Софт, 2004. –992 с.
15. Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере; Форум - Москва, 2014. - 368 c.
16. Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации; Форум - Москва, 2011. - 256 c.
17. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.
18. Мельников, Виталий Викторович Защита информации в компьютерных системах; М.: Финансы и статистика; Электроинформ - Москва, 2010. - 368 c.
19. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)
20. Некраха А. В., Шевцова Г. А. Организация конфиденциального делопроизводства и защита информации; Академический Проект - , 2011. - 224 c.
21. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
22. Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.
23. Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
24. Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
25. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
26. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
27. Северин В. А. Комплексная защита информации на предприятии; Городец - Москва, 2013. - 368 c.
28. Спесивцев, А.В.; Вегнер, В.А.; Крутяков, А.Ю. Защита информации в персональных ЭВМ; М.: Радио и связь - Москва, 2012. - 192 c.
29. Судоплатов А.П., Пекарев СВ. Безопасность предприниматель-ской деятельности: Практическое пособие. VI.: 2001.
30. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г.
31. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.12.2013) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.02.2014).
32. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) "О персональных данных"
33. Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 28.12.2013)
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.0059