СодержаниеСОДЕРЖАНИЕ
Введение……………………………………………………………………………….3
1. 1. Анализ объекта защиты…………………………………………………………5
1.1.1. Характеристика предприятия и его деятельности…………………………...5
1.1.2. Организационная структура управления предприятием…………………….6
1.1.3 Структурно-функциональная диаграмма организации бизнеса……………..7
1.1.4. Описание помещения компании……………………………………………..14
1.1.5. Описание активов……………………………………………………………..15
1.1.6. Перечень сведений, составляющих коммерческую (служебную) тайну………………………………………………………………………………….17
1.1.7. Программная и техническая архитектура ИС на предприятии, использование их функциональных возможностей. Обеспечение информационной безопасности…………………………………………………….19
1.2. Разработка комплекса защитных мероприятий………………………………22
1.2.1. Разработка комплекса организационно – методологических методов для защиты информации………………………………………………………………...22
1.2.2. Система контроля и управления доступом на объект……………………...25
1.2.3. Комплекс защиты корпоративной сети……………………………………..32
1.3. Описание проекта по защите информации…………………………………...39
1.3.1. Разработка и описание проекта защиты информации, плана-графика автоматизации и сетевой модели задач…………………………………………….39
1.3.2. Оценка стоимостных параметров проекта защиты информации………….42
Заключение…………………………………………………………………………...47
Список литературы…………………………………………………………………..48
ПриложенияВведениеС каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации. Следовательно, возрастет необходимость ее защиты. Для того чтобы защита была полной необходимо прорабатывать ее комплексно.
Утечка любой информации может отразиться на деятельности организации. Особую роль играет конфиденциальная информация, потеря корой может повлечь большие изменения в самой организации и материальные потери. Так как ООО «Артем» является управленческим органом, то потеря конфиденциальной информации может повлечь потери не только для самой организации, так и для всего города в целом. Поэтому мероприятия по защите информации в данное время очень актуальны и важны.
Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию.
Целью курсовой работы является разработка политики информационной безопасности для системы \"Учет ремонта и ТО автотранспорта\". Система создается для автоматизации процесса ведения, контроля, учета ремонта и технического обслуживания автотранспортного хозяйства фирмы. В данной работе будет проведен анализ информации, циркулирующей в автоматизированной информационной системе, обоснован выбор класса защищенности для разрабатываемой системы, определен периметр безопасности, с указанием не защищенных областей системы, приведены примеры по предотвращению угроз, проведено горизонтальное проектирование и вертикальное проектирование, разработаны организационные мероприятия.
Задачи:
1. Проанализировать общую характеристику объекта защиты, оформленную в виде «Паспорта предприятия»;
2. Построить модель бизнес-процессов с целью выявления конфиденциальной информации;
3. Составить «Перечень сведений конфиденциального характера»;
4. Выявить объекты защиты, оформленные в виде «Списка объектов, подлежащих защите»;
5. Выявить угрозы, уязвимости и произвести расчет рисков для ключевых объектов защиты;
6. Построить модель злоумышленника;
7. Проанализировать степень защищенности объектов защиты по каждому из видов защиты информации (ЗИ) (правовая ЗИ, организационная ЗИ, программно-аппаратная ЗИ, инженерно-физическая ЗИ, криптографическая ЗИ);
Безопасность данных означает их конфиденциальность, целостность и доступность. Критерии безопасности данных могут быть определены следующим образом. Конфиденциальность данных предполагает их доступность только для тех лиц, которые имеют на это соответствующие полномочия. Целостность информации предполагает ее неизменность в процессе передачи от отправителя к получателю. Под доступностью можно понимать гарантию того, что злоумышленник не сумеет помешать работе законных пользователей. В частности, в задачу обеспечения доступности входит исключение возможности атак, вызывающих отказ в обслуживании.ЗаключениеВ данном разделе рассмотрены вопросы обеспечения безопасности работы АИС \"Учет ремонта и ТО автотранспорта\". В понятие \"безопасность\" включаются следующие категории: аутентификация, авторизация, аудит, конфиденциальность, целостность, доступность и невозможность отказа от авторства. Для организации грамотной защиты приложения необходимо задействовать все возможные методы защиты.
Анализ потоков данных позволил установить наличие конфиденциальной информации в системе, требующей дополнительной защиты. На основе полученных результатов разрабатываемая система была классифицирована как многопользовательская система с разграничением прав доступа к конфиденциальной информации, таким образом, она относится к классу защиты – 1Г, к которому установлены требования, опираясь на которые, мы определили меры и средства борьбы с потенциальными угрозами информации.
Определение периметра безопасности позволило установить возможные опасности, угрожающе системе, на этапах горизонтального и вертикального проектирования предложены рекомендации по устранению этих угроз и сведению к минимуму последствий от них.
При анализе угроз и требований, выдвигаемых к установленному классу защищенности системы, были разработаны организационно-распорядительные документы, повышающие уровень безопасности системы и закрепляющие представленные ранее рекомендации по защите ИС.Литература1. Российская Федерация. Законы. Гражданский кодекс Российской Федерации (часть первая): федер. закон: [от 30.11.1994 № 51-ФЗ; принят Гос.Думой 21.10.1994; в ред. от 03.06.2006].- КонсультантПлюс.- (http://www.consultant.ru).
2. Российская Федерация. Законы. Гражданский кодекс Российской Федерации (часть вторая): федер. закон: [от 26.01.1996 № 14-ФЗ; принят Гос.Думой 22.12.1995; в ред. от 02.02.2006].- КонсультантПлюс.- (http://www.consultant.ru).
3. Российская Федерация. Законы. Об утверждении перечня сведений конфиденциального характера: указ Президента РФ: [от 06.03.1997 N 1300; в ред. от 10.01.2000].- КонсультантПлюс.- (http://www.consultant.ru).
4. Российская Федерация. Законы. О коммерческой тайне: федер. закон: [от 29.07.2004 № 98-ФЗ; принят Гос.Думой 09.07.2004; в ред. от 02.02.2006].- КонсультантПлюс.- (http://www.consultant.ru).
5. Российская Федерация. Законы. О персональных данных: федер. закон: [от 27.07.2006 № 152-ФЗ; принят Гос.Думой 08.07.2006].- КонсультантПлюс.- (http://www.consultant.ru).
6. Российская Федерация. Законы. О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма: федер. закон: [от 07.08.2001 № 115-ФЗ; принят Гос.Думой 13.07.2001; в ред. от 16.11.2005].- КонсультантПлюс.- (http://www.consultant.ru).
7. Российская Федерация. Законы. О федеральной службе безопасности: федер. закон: [принят Гос. Думой 22.02.1995; в ред. от 15.04.2006].- КонсультантПлюс.- (http://www.consultant.ru).
8. Российская Федерация. Законы. Трудовой кодекс Российской Федерации: федер. закон: [от 30.12.2001 № 197-ФЗ; принят Гос.Думой 21.12.2001; в ред. от 09.05.2005].- КонсультантПлюс.- (http://www.consultant.ru).
9. Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Изд–во «ЗАО Челябинская межрайонная типография», 2006.- 361 с.
10. Беляев, Е.А. Исторические аспекты защиты информации в России/ Е.А.Беляев// Информационная безопасность = Inform.security.- М., 2004.- № 3.-С.58–59.
11. Домов, С. Информационная безопасность/ С.Домов// Вестн. Волжского ун–та.- Сер.Информат, 2005.- № 8.- С.53–55.
12. Иванов, А.В. Экономическая безопасность предприятий/ А.В.Иванов.- М.: Вираж-центр, 2005.- 39 с.
13. Кальченко, Д. Безопасность в цифровую эпоху/ Д.Кальченко// Компьютер Пресс, 2005.- №4.- С.34, 36,38–41.
14. Колесников, К.А. Социальные факторы информационного управления и информационная безопасность в России/ К.А.Колесников// Интеллектуальная собственность: правовые, экономические и социальные проблемы: Сб. тр. аспирантов РГИИС: В 2 ч.- М., 2005.-Ч.2.-С.140–143.
15. Курело, А.П. Обеспечение информационной безопасности бизнеса/ А.П.Курело, С.Г.Антимонов, В.В.Андрианов и др.- М.: БДЦ–пресс, 2008.- (t–Solutions).- 511 с.
16. Минакова, Н.Н. Особенности подготовки специалистов по информационной безопасности автоматизированных систем/ Н.Н.Минакова, В.В.Поляков// Вестн. Алтайск. науч. центра САН ВШ, 2005.- № 8.- С.125–128.
17. Мешкова, Т.А. Безопасность в условиях глобальной информатизации: новые вызовы и новые возможности: автореф. дис….канд. наук/ Мешкова Т.А.; МГУ им.М.В.Ломоносова.– М., 2003.-26 с.
18. Астахов, А. Разработка эффективных политик информационной безопасности/ А.Астахов [Электронный ресурс]// Директор ИС #01/2004.- (http://www.osp.ru/cio/2004/01/rub/1072641.html).
19. Брединский, А. Защита коммерческой тайны. Теория и практика/ А.Брединский, А.Беручашвили [Электронный ресурс]// Информационно-справочный сайт «Безопасность для всех».- (http://www.sec4all.net/).
20. Васильевский, А. Защита коммерческой тайны: организационные и юридические аспекты / А.Васильевский [Электронный ресурс]// Valex Consult- (http://www.valex.net/).
21. Демин, В. Правовое обеспечение системы защиты информации на предприятии/ В.Демин, В.Свалов [Электронный ресурс]// Компьютер-информ.- (http://www.ci.ru/inform11_97/f1.htm).
22. Касперский, Е. Защита коммерческой тайны/ Е.Касперский [Электронный ресурс]// Электронная версия журнала «Консультант».- (http://www.berator.ru/consultant/article/).
23. Комплексные системы защиты информации [Электронный ресурс]// AM-SOFT. Деятельность компании. Защита информации.- (http://am-soft.ua/site/page4044.html).
24. Михеева, М.Р. Проблема правовой защиты персональных данных/ М.Р.Михеева [Электронный ресурс]// Владивостокский центр исследования организованной преступности.- (http://www.crime.vl.ru/).
25. Служба защиты информации на предприятии. Что она из себя представляет и как ее организовать [Электронный ресурс]// Спектр безопасности.- (http://www.spektrsec.ru/).
|
|
