Вход

Разработка предложений по организационной защите информации научно-исследовательских организаций

Рекомендуемая категория для самостоятельной подготовки:
Дипломная работа*
Код 563312
Дата создания 2015
Страниц 80
Мы сможем обработать ваш заказ (!) 19 декабря в 16:00 [мск]
Файлы будут доступны для скачивания только после обработки заказа.
3 880руб.
КУПИТЬ

Содержание

СОДЕРЖАНИЕ



СПИСОК СОКРАЩЕНИЙ 4
ВВЕДЕНИЕ 5
ГЛАВА 1. АНАЛИЗ СТРУКТУРЫ И ДОКУМЕНТОПОТОКОВ НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ ОРГАНИЗАЦИИ КАК ОБЪЕКТА ЗАЩИТЫ 8
1.1. Организационно-функциональная структура научно-исследовательской организации 8
1.2. Анализ документопотоков научно-исследовательской организации 10
1.3. Источники дестабилизирующего воздействия на информацию научно-исследовательской организации 13
1.4. Анализ каналов утечки конфиденциальной информации 16
1.5. Анализ схемы локально вычислительной сети научно-исследовательской организации 24
ГЛАВА 2. ОРГАНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ ОРГАНИЗАЦИИ 30
2.1. Организация деятельности службы безопасности 30
2.2. Нормативно-правовая база защиты конфиденциальной информации в информационной системе и на автоматизированных рабочих местах 33
2.3. Управление персоналом, имеющим доступ к конфиденциальной
информации 37
ГЛАВА 3. СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ ОРГАНИЗАЦИИ 39
3.1. Совершенствование службы безопасности 39
3.2 Совершенствование нормативно-правовых документов 42
3.3. Разработка модели угроз и уязвимостей 43
3.4. Разработка комплекса технических мероприятий 44
3.5. Экономическое обоснование 72
ЗАКЛЮЧЕНИЕ 77
СПИСОК ЛИТЕРАТУРЫ 80


Введение

ВВЕДЕНИЕ

Актуальность выпускной квалификационной работы заключается в том, что на сегодняшний день существует возможность доступа физических лиц к базам конфиденциальных данных, а так же усилением риска вторжения в сферу коммерческой тайны предприятия и нарушением прав неприкосновенности информации. Защита конфиденциальной информации является одной из наиболее острых проблем в информатизации организаций, например, в научной сфере.
Современные информационные технологии играют важнейшую роль во всех сферах деятельности человека, но одной из наиболее серьезных проблем, препятствующих их повсеместному внедрению, является обеспечение защиты информации, в том числе защиты информации и сведений, составляющих конфиденциальную тайну, – данных об инновационных разработках научно-исследовательского института [15].
Современное общество уделяет большое внимание глобальному обмену информацией, которая, вероятно, становится самым важным и востребованным ресурсом [31-34]. Информация об объектах, конкурентах собирается постоянно. В последнее время в России был принят ряд законодательных актов, которые регламентируют меры по защите конфиденциальной информации, однако крупные организации, не торопятся принимать адекватные меры по защите. В большей степени это обусловлено несовершенством самих Законодательных и нормативных актов, регулирующих это направление [1,3,4-5, 17,23,27-29].
Долгое время вопросы защиты конфиденциальной информации в информационных системах в России никак не регулировались [19]. Все эти годы огромные массивы информации находились фактически в свободном доступе в сети Интернет.
Актуальной проблемой остается вопрос минимизации затрат по защите конфиденциальной информации в соответствии с требованиями действующих законов и нормативных актов.
Объектом исследования выпускной квалификационной работы является «Информационная безопасность автоматизированных информационных систем (АИС)», а предметом исследования – «Методы и средства защиты информации в АИС предприятия».
Целью выпускной квалификационной работы является: «Разработка предложений по организации и защите информации в научно-исследовательской организации.
Для достижения поставленной цели необходимо решить следующие задачи:
1) рассмотреть основные принципы, методы и средства защиты информации в АИС;
2) выполнить анализ информационной системы научно-исследовательской организации;
3) разработать предложения по защите информационной системы научно-исследовательской организации и выработать рекомендации по внедрению разработанных предложений [18];
5) выполнить оценку экономической эффективности внедрения комплексной системы защиты АИС предприятия.
Теоретические основы данной работы составляют работы следующих авторов: В.А. Галатенко [5], В.В. Домарева [9], В.Н. Ярочкина [9], С. Бармена [5], В.В. Липаева [7], А.В.Некраха [12].
Практическая значимость работы состоит в разработке средств и методов защиты информации в автоматизированных информационных системах, которые могут быть использованы для организации комплексных систем защиты информации на предприятиях различных форм собственности. В результате работы будут разработаны рекомендации по разработке системы защиты информации в компьютерной сети научно-исследовательской организации.
Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы.
Первая глава посвящена анализу функциональной структуры предприятия, а так же анализу схемы локально вычислительной сети научно-исследовательской организации, проводится анализ системы защиты организации на основе анализа информационных потоков организации.
Во-второй главе проводится анализ защищенности организации, а так же деятельность службы информационнной безопасности, деятельность лиц при работе с конфиденциальной информацией.
В третьей главе проводится разработка предложений по созданию комплексной системы защиты информации, включая совершенствование деятельности службы безопасности и нормативно-правовых документов, технической структуры предприятия, рассмотрены вопросы состава технического решения для обеспечения системы защиты информации, а так же приведено экономическое обоснования целесообразности внедрения, разработанных предложений по защите информации в научно исследовательской организации.
Общий объем работы составляет 70 страниц.

Фрагмент работы для ознакомления

ЗАКЛЮЧЕНИЕ

В ходе выполнения дипломной работы были достигнуты все поставленные задачи:
1. Анализ информационной системы и циркулирующей в ней информации.
Внутри ИС, в рамках функций выполняемых ею, циркулирует информация об инновационных разработках, сведениях о заказчиках, разработчиках отчетах о деятельности отделов и персональных данных сотрудников НИИ. Такие данные являются конфиденциальной информацией и персональными данными, контроль над обработкой таких данных осуществляется государством. В Российской Федерации существует законодательная база регулирующая область защиты персональных данных.
2. Анализ требований российского законодательства в области защиты конфиденциальной информации и персональных данных в научно-исследовательских учреждениях.
Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение информационной системы НИИ, рассматриваемой в дипломном проекте, в соответствие со всеми требованиями является основной задачей для компании. Обработка конфиденциальной информации и персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов научно-исследовательской организации. Соответствие требованиям особо актуально ввиду обработки данных касающегося персональных данных клиентов, поставщиков, и сотрудников.
Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Для устранения списка угроз необходимо создание комплексной системы защиты, а именно решения по обеспечению комплексной безопасности конфиденциальной информации при ее обращении в информационной системе научно-исследовательской организации.
3. Разработка рекомендаций по изменению структуры информационной системы.
На первом этапе было были выделены бизнес-процессы, организации, на основании которых сформированы информационные активы предприятия. Затем составлено все множество уязвимостей и угроз для информационных активов. После этого было проведено сужения круга информационных активов нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе которой, с использованием руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети.
4. Разработка системы защиты персональных данных.
Во втором разделе была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требованиям государственных нормативных регуляторов.
5. Разработка рекомендаций по внедрению системы защиты персональных данных.
В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты информационной системы персональных данных. Для чего были выбраны необходимые мероприятия. Так же были даны рекомендации по применению комплексной системы защиты информации научно-исследовательской организации. Оценена сумма совокупного владения системой. Для рассматриваемой системы были выбраны следующие технические средства:
– система защиты информации Secret Net 6.5;
– аппаратно-программный комплекс шифрования «Континент»;
– сервер контроля доступа TrustAccess;
– антивирус Security Studio Endpoint Protection .


Список литературы

СПИСОК ЛИТЕРАТУРЫ

1. Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с.
2. Бачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.
3. Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 с
4. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.
5. Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил.
6. Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.
7. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 с
8. Гайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.
9. Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.
10. Государственный стандарт Российской Федерации ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
11. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
12. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
13. ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
14. Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.
15. Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере; Форум - Москва, 2014. - 368 c.
16. Защита информации в системах мобильной связи; Горячая Линия - Телеком - , 2013. - 176 c.
17. Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации; Форум - Москва, 2011. - 256 c.
18. Кузнецов А. А. Защита деловой информации; Экзамен - Москва, 2013. - 256 c.
19. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.
20. Мельников, Виталий Викторович Защита информации в компьютерных системах; М.: Финансы и статистика; Электроинформ - Москва, 2010. - 368 c.
21. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)
22. Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах. Константинова Л.А., Писеев В.М.МИЭТ , 2007.
23. Методы и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В.И., Писеев В.М. МИЭТ, 1995.
24. Некраха А. В., Шевцова Г. А. Организация конфиденциального делопроизводства и защита информации; Академический Проект - , 2011. - 224 c.
25. Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru) [15.04.2014]
26. Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru)
27. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
28. Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.
29. Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
30. Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
31. Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
32. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
33. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
34. Северин В. А. Комплексная защита информации на предприятии; Городец - Москва, 2013. - 368 c.
35. Сергеева Ю. С. Защита информации. Конспект лекций; А-Приор - Москва, 2011. - 128 c.
36. Спесивцев, А.В.; Вегнер, В.А.; Крутяков, А.Ю. Защита информации в персональных ЭВМ; М.: Радио и связь - Москва, 2012. - 192 c.
37. Судоплатов А.П., Пекарев СВ. Безопасность предприниматель-ской деятельности: Практическое пособие. VI.: 2001.
38. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г.
39. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.12.2013) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.02.2014).
40. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) "О персональных данных"
41. Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 28.12.2013)
42. Хорев П. Б. Программно-аппаратная защита информации; Форум - Москва, 2014. - 352 c.
43. Шаньгин В. Ф. Защита информации в компьютерных системах и сетях; ДМК Пресс - Москва, 2012. - 592 c.
44. Шаньгин В. Ф. Комплексная защита информации в корпоративных системах; Форум, Инфра-М - Москва, 2010. - 592 c.
45. Шаньгин В.Ф. Защита компьютерной информации; Книга по Требованию - Москва, 2010. - 544 c.
46. Шаньгин, В.Ф. Защита компьютерной информации; М.: ДМК Пресс - Москва, 2011. - 544 c.
47. Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996
48. Мельников Д. А. Учебник ''Информационная безопасность открытых систем''.:2012
49. Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
50. Постановление Правительства Российской Федерации от 16.03.2009 N 228 Правительство Российской Федерации Постановление от 16 марта 2009 г. N 228 “О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».
51. Национальный стандарт Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст).


Очень похожие работы
Найти ещё больше
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.00456
© Рефератбанк, 2002 - 2024