СодержаниеВВЕДЕНИЕ. 3
ГЛАВА 1. ИССЛЕДОВАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. 6
1.1. Характеристика объектов информационной защиты. 6
1.2. Угрозы (анализ угроз) информационной безопасности объекта. 9
1.3. Обоснования создания системы информационной безопасности. 17
ГЛАВА 2. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СТРОИТЕЛЬНОГО ХОЛДИНГА. 31
2.1. Характеристика системы информационной безопасности на предприятии. 31
2.2. Структурная схема системы информационной безопасности. 37
2.2.1. Создание системы информационной безопасности. 37
2.2.2. Создание системы ограничения физического доступа 52
2.2.3. Система пожарной безопасности 64
2.3. Безопасность документооборота, программно-аппаратных средств и обеспечение коммерческой тайны 79
ГЛАВА 3. ОЦЕНКА СТОИМОСТИ И ЦЕЛЕСООБРАЗНОСТИ СОЗДАНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ. 89
3.1. Практическая реализация и оценка стоимости системы безопасности. 89
3.2. Внедрение и эксплуатация системы безопасности. 96
3.3. Проблемы и перспективы создания и эксплуатации системы безопасности. 102
ЗАКЛЮЧЕНИЕ. 106
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ. 109ВведениеНасколько важна любая информация, относящаяся к бизнесу понятно многим. Пользуясь собранной и обработанной информацией, можно успешно конкурировать на своем рынке и захватывать новые. Информация помогает в поиске партнеров и способствует четкому определению позиции по отношению к ним.
Говоря проще: кто владеет достоверной и полной информацией — тот владеет ситуацией, а кто владеет ситуацией — тот способен управлять ею в своих интересах, а кто способен управлять — тот способен побеждать. Вот простая формула успеха любой деятельности.
Кроме того, при переходе к рыночной экономике информация становится товаром и должна поэтому подчиняться специфическим законам товарно-рыночных отношений. В этих условиях проблема защиты информации весьма актуальна и для организаций любой формы собственности.
Вопросы безопасности — важная часть концепции внедрения новых информационных технологий во все сферы жизни общества. Широкомасштабное использование вычислительной техники и телекоммуникационных систем в рамках территориально-распределенной сети, переход на этой основе к безбумажной технологии, увеличение объемов обрабатываемой информации и расширение круга пользователей приводят к качественно новым возможностям несанкционированного доступа к ресурсам и данным информационной системы, к их высокой уязвимости.
В первую очередь в ходе работы необходимо разработать так называемую политику информационной безопасности. Политика безопасности определяется как совокупность документированных управленческих решений, направ¬ленных на защиту информации и ассоциированных с ней ресурсов. При разработке и проведении ее в жизнь целесообразно руководствоваться следующими прин¬ципами:
1. Невозможность миновать защитные средства.
2. Усиление самого слабого звена.
3. Недопустимость перехода в открытое состояние.
4. Минимизация привилегий.
5. Разделение обязанностей.
6. Многоуровневая защита.
7. Разнообразие защитных средств.
8. Простота и управляемость информационной систе¬мы.
9. Обеспечение всеобщей поддержки мер безопасно¬сти.
Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название это¬го способа, как правило, определяет название полити¬ки безопасности.
Для изучения свойств способа управления доступом создается его формальное описание — математическая модель. При этом модель должна отражать состояния всей системы, ее переходы из одного состояния в дру¬гое, а также учитывать, какие состояния и переходы можно считать безопасными в смысле данного управ¬ления. Без этого говорить о каких-либо свойствах си¬стемы, и тем более гарантировать их, по меньшей мере некорректно.
В настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная, основанные, соответственно на избирательном и пол¬номочном способах управления доступом.
Кроме того, существует набор требований, усиливающий действие этих политик и предназначенный для управления информационными потоками в системе.
Следует отметить, что средства защиты, предназначенные для реализации какого-либо из названных спо¬соба управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками. Определение прав доступа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т.д.) входит в компе¬тенцию администрации системы.
Целью данной работы является обоснование создания системы информационной безопасности строительного холдинга. Достижение этой цели предусматривает выполнение следующих задач:
1. Теоретической исследование объектов защиты.
2. Анализ угроз информационной безопасности.
3. Характеристика существующей системы безопасности строительного холдинга и ее анализ.
4. Обоснование создания системы информационной безопасности с подробным анализом всех аспектов системы: пожарная безопасность, безопасность документооборота, система ограничения физического доступа и т.д.
5. Оценка стоимости и целесообразности внедрения системы.
Предметом исследования в данной работе является информационная система безопасности строительного холдинга, объектом исследования – строительный холдинг (крупная компания), нуждающаяся в усовершенствовании существующей системы информационной безопасности.Литература1. NIST Security Self-Assessment Guide for Information Technology Systems
2. А. Астахов Что такое аудит безопасности. – Харьков: Фолио, 2006. – 480 с.
3. Авраменко В.С. Метод контроля безопасности выполнения прикладных программ/ В.С.Авраменко, М.В.Бочков// Информационные технологии.- М., 2005.- 4.- С.20-26.- Информационная безопасность
4. Аграновский А.В. Современные запатентованные решения в области защиты тнформационных ресурсов корпоративных вычислительных сетей// Информационные технологии.- М., 2005.- 10.- С.51-55.
5. Аграновский А.В. Запатентованные решения задачи генерации псевдослучайных последовательностей/ А.В.Аграновский, А.Ю.Гуфан, Р.А.Хади// Информационные технологии.- М., 2006.- 1.- С.26-31.
6. Алгулиев Р.М. Метод оценки информационной безопасности корпоративных сетей в стадии их проектирования// Информационные технологии.- М., 2005.- 7.- С.35-39.- Безопасность информации
7. Бардаченко В.Ф. Анализ современных средств аутентификации для систем защиты информации/ В.Ф.Бардаченко, А.В.Кариман, О.К.Колесницкий// Управляющие системы и машины.- К., 2007.- 3.- С.87-92.
8. Бельфер Р.А. Анализ систем связи в аспекте проектирования информационной безопасности// Электросвязь.- М., 2004.- 3.- С.22-24.
9. Брауде-Золотарев Ю.М. Перспективные пути построения шифраторов// Электросвязь.- М., 2004.- 3.- С.24-26.
10. В.Ю.Гайкович Основы безопасности информационных технологий. – Монография, М.: Феникс, 2006. – 284 с.
11. Гаенко А.В. К вопросу о защите карточек пополнения счета операторов мобильной связи/ А.В.Гаенко, И.В.Шестак// Зв'язок.- К., 2005.- 7.- С.29.
12. Гвоздинский А.Н. Безопасность компьютерных систем: методы и технологии/ А.Н.Гвоздинский, В.А.Филатов, Л.Э.Чалая// Радиоэлектроника и информатика.- Х., 2003.- 2.- С.131-136.
13. Горбенко И.Д. Сравнительный анализ блочных симметричных шифров , представленных в проекте NESSIE/ И.Д.Горбенко, С.А.Головашич, А.Н.Лепеха// Радиотехника.- Х., 2007.- 134.- С.9-25.
14. Горицкий В.М. Оценка вероятности безотказной работы комплексной системы защиты информации/ В.М.Горицкий, И.Н.Павлов// Зв'язок.- К., 2005.- 5.- С.50-56.
15. Денисова Т.Б. Надежность и безопасность услуги VPN// Электросвязь.- М., 2005.- 9.- С.20-23.
16. Довгаль В.М. Методы компьютерной технологии производства защищенных от подделки электронных документов/ В.М.Довгаль, В.В.Гордиенко, В.В.Елагин// Телекоммуникации.- М., 2004.- 4.- С.39-43.
17. Довгаль В.М. Превентивное противодействие информационной атаке на текстовый электронный документ методом хаотической транспозиции фрагментов кодов символов/ В.М.Довгаль, В.В.Гордиенко, И.С.Захаров// Телекоммуникации.- М., 2004.- 7.- С.36-40.
18. Доля А.В. Детектирование и предотвращение утечек конфиденциальной информации// Защита информации. Конфидент.- СПб., 2006.- 1.- С.31-41.
19. Доля А.В. Защита от утечек конфиденциальных данных на уровне рабочих станций// Защита информации. Конфидент.- СПб., 2006.- 2.- С.34-40.
20. Еремеев М.А. Исследование стойкости подстановочно-перестановочного алгоритма шифрования к дифференциальному методу анализа/ М.А.Еремеев, Н.А.Молдовян, А.А.Молдовян// Информационные технологии.- М., 2006.- 3.- С. 46 - 52.- Информационная безопасность
21. Заборовский В.С. Разработка телематических систем защиты информации в НПО РТК// Защита информации. Конфидент.- СПб., 2006.- 2.- С.70-72.
22. Загородников С.Н. Организационное и правовое обеспечение нформационной безопасности/ С.Н.Загородников, А.А.Шмелев// Информационные технологии.- М., 2006.- 2.- С.2-32.
23. Загородников С.Н. Организационное и правовое обеспечение информационной безопасности. Ч.1/ С.Н.Загородников, А.А.Шмелев// Информационные технологии.- М., 2005.- 12.- С.1-32.
24. Задонский А.Ю. Построение корпоративних систем управления ИБ// Защита информации. Конфидент.- СПб., 2006.- 1.- С.42-47.
25. Иванов А.И. Оценка усиления стойкости коротких цифровых паролей (PIN-кодов) при их рукописном воспроизведении/ А.И.Иванов, О.В.Ефимов, В.А.Фунтиков// Защита информации. Конфидент.- СПб., 2006.- 1.- С.55-58.
26. Иванов В.П. К вопросу о выборе технических средств защиты информации от НСД/ В.П.Иванов, А.В.Иванов// Защита информации. Конфидент.- СПб., 2006.- 1.- С.48-54.
27. Иванов В.П. К вопросу о выборе технических средств защиты информации от НСД (окончание)/ В.П.Иванов, А.В.Иванов// Защита информации. Конфидент.- СПб., 2006.- 2.- С.62-67.
28. Катков О.Н. Использование адаптивной нейронной сети в системе голосовой аутентификации/ О.Н.Катков, В.А.Пименов, А.П.Рыжков// Телекоммуникации.- М., 2004.- 7.- С.41-44.
29. Керимова Л.Э. Применение известных классификационных моделей в решении задач обнаружения вторжений с использованием технологии Data Mining// Информационные технологии.- М., 2006.- 3.- С. 52 - 56.- Информационная безопасность
30. К. Нелидин, А. Агеев Система ЭДО // "Информационная безопасность" №3+4-2006
31. Коваленко О.В. Как решить проблему информационной безопасности при доступе мобильных пользователей к ресурсам локальной сети/ О.В.Коваленко, Р.О.Косичкин// Защита информации. Конфидент.- СПб., 2006.- 2.- С.30-33.
32. Колин К.К. Информационная безопасность как гуманитарная проблема// Открытое образование.- М., 2006.- 1.- С.86-94.
33. Котенко И.В. Перспективные направления исследований в области компьютерной безопасности/ И.В.Котенко, Р.М.Юсупов// Защита информации. Конфидент.- СПб., 2006.- 2.- С.46-57.
34. Ливенцев С.П. Анализ принципов построения систем кодовой адаптации в информационно-телекоммуникационных системах// Зв'язок.- К., 2006.- 1.- С.26-30.
35. Ливенцев С.П. Метод структурной адаптации управления защищенностью в информационно-телекоммуникационных системах// Зв'язок.- К., 2005.- 8.- С.29-32.
36. Лобов В.А. Формализованная процедура выбора способа защиты информации о состоянии сложного объекта// Телекоммуникации.- М., 2004.- 8.- С.40-45.
37. Лукацкий А.В. Иммунная система вашей сети// Защита информации. Конфидент.- СПб., 2006.- 2.- С.20-21.
38. Лукашев В.М. Защита конечных ресурсов КИС с использованием интеллектуальных систем безопасности// Защита информации. Конфидент.- СПб., 2006.- 2.- С.27-29.
39. Лунтовский А.О. Техническая защита информации в иерархических беспроводных сетях// Зв'язок.- К., 2005.- 6.- С.35-39.
40. Майя Александрова Безопасность вашего бизнеса и программное обеспечение. – М.: Феникс, 2006. – 324 с.
41. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов. - М.: Горячая линия-Телеком, 2004. - 280 с. ил.
42. Медведовский И.Д. Практические аспекты проведения аудита информационной безопасности в соответствии с лучшей западной практикой. Журнал "Connect! Мир связи", №10/2006.
43. Могильный С.Б. Деловая разведка в Интернете// Зв'язок.- К., 2006.- 2.- С.21-23.
44. Мошак Н.Н., Тимофеев Е.А. Особенности политики информационной безопасности в инфокоммуникационной сети// Электросвязь.- М., 2005.- 9.- С.23-28.
45. Павлов И.Н. Анализ моделей защиты информации/ И.Н.Павлов, А.Н.Полозюк// Зв'язок.- К., 2006.- 1.- С.20-25.
46. Петренко С.А. Разработка корпоративной стратегии информационной безопасности// Защита информации. Конфидент.- СПб., 2006.- 1.- С.17-30.
47. Потий А.В. Система показателей оценки эффективности функционирования схем поточного шифрования/ А.В.Потий, Ю.А.Избенко// Радиотехника.- Х., 2003.- 134.- С.49-61.
48. Потий А.В. Защищенные операционные системы/ А.В.Потий, С.С.Лавриненко// Радиотехника.- Х., 2003.- 134.- С.185-195.
49. Репалов С.А. Метод альтернативного кодирования программного кода для несанкционированного доступа в защищенные компьютерные сети/ С.А.Репалов, Р.Н.Селин, Р.А.Хади// Информационные технологии.- М., 2006.- 3.- С.56-62.
50. С.В.Жуков Что такое коммерческая тайна? – К.: Освита, 2006. – 226 с.
51. Соколов С.А. Защита современных сетей доступа от внешних электромагнитных воздействий/ С.А.Соколов, И.В.Глушков// Электросвязь.- М., 2005.- 9.- С.29-32.
52. Тарасюк М.В. Маршрутизация и контроль информационных потоков в многоуровневых интерсетях/ М.В.Тарасюк, Я.А.Быков// Защита информации. Конфидент.- СПб., 2006.- 2.- С.58-61.
53. Цветков В.Я. Информационная угроза: компьютерные шпионы/ В.Я.Цветков, С.В.Булгаков// Информационные технологии.- М., 2004.- 9.- С.2-5.
54. Шорошев В.В. Модель угроз для локальных вычислительных сетей по рекомендациям Конвенции Совета Европы о киберпреступности// Зв'язок.- К., 2005.- 4.- С.37-42.
55. Шорошев В.В. Перспективные системы защиты корпоративных сетей Интранет// Зв'язок.- К., 2005.- 2.- С.26-35.
56. Щеглов А.Ю. Принципы и механизмы доверительного контроля доступа к ресурсам/ А.Ю.Щеглов, К.А.Щеглов// Защита информации. Конфидент.- СПб., 2006.- 2.- С.41-45.'
|
|
