Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего профессионального образования

"Уральский федеральный университет имени первого Президента России Б.Н. Ельцина"

Нижнетагильский технологический институт (филиал)

Факультет "Экономики и менеджмента"

Кафедра "Информационных технологий"

Курсовая работа

Анализ системы защиты конфиденциальной информации на предприятии

Студент гр. ЭМ-57123-ПОВТ

Мельников А.В.

Руководитель Глушенко В.В.

Н. Тагил 2011

Оглавление

Введение

• 1. Описание организации
• 2. Перечень необходимых организационных мероприятий
• 3. Перечень конфиденциальной информации
• 4. Перечень допущенных подразделений и сотрудников
• 5. Топология информационной системы обработки информации
• 6. Помещения для обработки конфиденциальной информации
• 7. Положение по организации и проведению работ по обеспечению безопасности конфиденциальной информации
• 8. Классификация системы обработки информации
• 9. Частная модель угроз
• Заключение
• Список литературы

Введение

В настоящее время одной из актуальных проблем в сфере информационных технологий является защита информации, утечка которой может привести к довольно негативным последствиям, как для субъекта персональных данных, так и для предприятия в целом.

Деятельность предприятий связанная с обработкой конфиденциальной информации регламентируется постановлениями Президента РФ, Правительства России, техническими документами ФСБ и ФСТЭК России, а также подлежит обязательной аттестации со стороны ФСБ России.

Целью данной работы является анализ системы защиты конфиденциальной информации энергоаудиторской организации "Тяжпромэлектромет" и проверка ее соответствие требованиям, описанным в вышеуказанным документах.

1. Описание организации

Рассматриваемая организация занимается энергоаудитом, что является очень актуальным направлением в последнее время. Она включает в себя сбор сведений об объектах, осуществление инструментального контроля, а также вынесение рекомендаций по более эффективному использованию энергоресурсов и заполнение энергетических паспортов. Организация занимает один этаж в офисном здании в центральной части Екатеринбурга. Доступ на этаж осуществляется по пропускной системе.

На предприятии имеется следующая организационная структура:

- бухгалтерия, осуществляющая расчет заработной платы, проведение заявок на командировочные расходы, а также оформление финансовой отчетности перед государственными структурами;

- отдел кадров, осуществляющий прием на работу сотрудников;

- общий отдел, занимающийся общими вопросами, связанными с деятельностью организации;

- за выполнение проектов по энергосбережению отвечает соответствующий отдел;

- отдел высоковольтного и низковольтного оборудования;

- отдел по развитию и корпоративному управлению;

- служба безопасности предприятия;

- отдел АСУ;

- руководство организации;

Должности, занимаемые сотрудниками в данной организации, перечислены ниже:

- генеральный директор;

- начальники отделов;

- инженеры по различным направлениям;

Каждый сотрудник имеет свое АРМ, оборудованное ПЭВМ, которая включена в локальную вычислительную сеть с единой точкой доступа в внешним сетям общего пользования, помимо этого в помещениях имеется возможность подключения к беспроводной сети предприятия.

2. Перечень необходимых организационных мероприятий

конфиденциальный информация антивирус администрирование

Для осуществления контроля над исполнением правил по обработке, а также для проведения работ в области обеспечения безопасности конфиденциальной информации назначить ответственным начальника службы безопасности и возложить на него следующие обязанности:

- проведение разбирательств по фактам несоблюдения условий хранения носителей информации, использования средств защиты информации, которые могут привести к нарушению конфиденциальности информации или другим нарушениям, приводящим к снижению уровня защищенности информации;

- приостановка предоставления конфиденциальной информации пользователям информационной системы при обнаружении нарушений порядка ее предоставления.

Выполнение работ по обеспечению безопасности конфиденциальной информации при её обработке в информационных системах возложить на отдел АСУ. В рамках проведения данных работ возложить на главу отдела следующие функции:

- администрирование информационных систем;

- администрирование средств антивирусной защиты информационных систем;

- администрирование средств и систем защиты информации в информационных системах.

Руководителям структурных подразделений представить начальнику службы безопасности списки сотрудников, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей. Начальнику службы безопасности представить список лиц, имеющих доступ к конфиденциальной информации.

Руководителю отдела АСУ предоставить перечень правил, обязательных для соблюдения при работе с конфиденциальной информацией, подготовить журнал учета обращений сотрудников к информационной системе, организовать учет носителей информации. Использование неучтенных в установленном порядке носителей информации не допускается.

Составить комиссию в составе генерального директора, начальника службы безопасности, начальника отдела АСУ для решения вопросов связанных с использованием информационной системы обработки конфиденциальной информации.

3. Перечень конфиденциальной информации

Информация, обрабатываемая в системе, является стратегической, так как зачастую относится к энергетическим объектам федерального уровня. Информация, приведенная в таблице 1, используется для заполнения утвержденных форм на каждый объект и энергетического паспорта.

Таблица №1. Перечень конфиденциальной информации

4. Перечень допущенных подразделений и сотрудников

К системе обработки конфиденциальной информации допускаются сотрудники отдела энергосбережения, службы безопасности, отдела АСУ. Сотрудники службы безопасности имеют доступ только к журналу учета пользователей системы обработки информации, но имеют доступа к техническим средствам системы и самой информации. Сотрудники отдела АСУ имеют доступ к техническим средствам и журналу учета пользователей системы. Сотрудники отдела энергосбережения имеют доступ только к самой информации, обрабатываемой в системе.

5. Топология информационной системы обработки информации

В рассматриваемой системе имеются серверы обработки информации и АРМ сотрудников. Они объединены в локальную сеть с общей точкой доступа к внешним сетям общего пользования, территориально находящейся в отделе АСУ. АРМ объединяются как по проводной, так и беспроводной технологии. Вся обработка конфиденциальной информации ведется по принципу "тонкого клиента", то есть конфиденциальная информация хранится на серверах, а на АРМ сотрудников ведется только ее обработка.

В обработке конфиденциальной информации участвует следующее программное обеспечение:

- Microsoft Windows Server 2008;

- Microsoft Windows 7 Professional;

- СУБД собственной разработки.

6. Помещения для обработки конфиденциальной информации

Технические средства системы располагаются в следующих помещениях организации:

- Серверы - кабинет № 501

- Отдел энергосбережения - кабинет № 529

Помещение отдела энергосбережения оборудовано жалюзи, серверное помещение не имеет окон - меры защиты от утечки информации по визуальному каналу. Мониторы, являющиеся средствами отображения, расположены тыльной стороной к входной двери.

Охрана помещений с техническими средствами хранения конфиденциальной информации осуществляется службой охраны. Вскрытие производится только начальником службы и фиксируется в журнале. Ответственность за помещения с АРМ сотрудников несет начальник отдела энергосбережения. В случае обнаружения нарушения целостности или следов несанкционированного доступа в помещение для хранения данных обработка данных приостанавливается до выяснения всех обстоятельств.

Границей контролируемой зоны следует считать кабинет № 529 в правом крыле здания и кабинет № 501 в левом крыле, границы этажа, так как организация располагается только в его пределах.

7. Положение по организации и проведению работ по обеспечению безопасности конфиденциальной информации

Организация осуществляет обработку конфиденциальной информации в соответствии с действующим законодательством. Ответственными за обеспечение безопасности являются начальник службы безопасности и начальник отдела АСУ. Начальник отдела энергосбережения является ответственным за соблюдение правил обеспечения безопасности на АРМ сотрудниками данного отдела.

Информация, обрабатываемая в системе, может быть предоставлена государственным органам власти только по официальному запросу в соответствии с действующим законодательством.

Возникающие конфликты, связанные с обработкой конфиденциальной информации рассматриваются в утвержденном комиссией состоящей из начальников отделов АСУ и энергосбережения, начальника службы безопасности. В случае существенного нарушения порядка обработки информации, работа с системой приостанавливается, до вынесения заключения.

При приеме на работу, при внесении изменений в порядок работы с системой обработки информации проводится инструктаж по правилам работы с системой и в отношении правил безопасности. Помимо этого, ежегодно провидится внутренняя проверка соблюдения этих правил.

Регистрация нового сотрудника проводится по заявке начальника отдела энергосбережения с последующей передачей сотруднику логина/пароля для входа в систему. Ежеквартально каждый пользователь обязан менять пароля для входа в систему.

На предприятии для антивирусной защиты используется антивирус Dr.Web. Антивирусное ПО, как и сигнатуры вирусов регулярно обновляются. Общесистемное и прикладное ПО системы обработки информации регулярно обновляется, но только после согласования со службой безопасности и отделом АСУ. Служба безопасности периодически проводит проверку соблюдения правил использование прикладного ПО.

8. Классификация системы обработки информации

Для рассматриваемой системы применима категоризация защищенной информации сходная по своему принципу с категоризацией персональных данных. Исходя из того, что нарушение конфиденциальности данных обрабатываемых в системе может привести к существенным негативным последствиям для предприятий имеющим отношение к этой информации, этой информации присваивается категория 1.

На основании таблицы № 2 и 3 комиссия состоящая из начальников отделов, связанных с обработкой информации присвоила рассматриваемой системе класс К 1.

Таблица №2. Классификация системы обработки информации

Таблица №3. Исходные данные для классификации

9. Частная модель угроз

Оценка исходной защищенности системы

Для разработки модели угроз необходимо оценить степень исходной защищенности системы. Для этого применим методику для персональных данных к нашей системе:

Таблица №4. Показатели исходной защищенности

Рассматриваемая система имеет средний (Y1) уровень исходной защищенности, так как не менее 70% характеристик системы соответствуют уровню не ниже "средний", а остальные - низкому уровню защищенности.

Модель нарушителя

Для составления модели нарушителя также воспользуемся методикой, относящейся к персональным данным. В таблице №5 приведены категории нарушителей с их кратким описанием, указанием уровня знаний о ИСПДн и уровня технической подготовленности. Под уровнем технической подготовленности понимается степень технических навыков и знаний, а также технические ресурсы и средства, которые нарушитель может задействовать для достижения поставленной цели.

Таблица №5. Категории нарушителей

В таблице №7 приведены типовые угрозы для локальных информационных систем персональных данных, имеющих подключение к сетям связи общего пользования, и оценка вероятности реализации каждой угрозы нарушителем определенной категории.

Таблица №7. Оценка вероятностей реализации угроз

Таблица №7. Оценка вероятностей реализации угроз (продолжение)

В таблице №8 проведен анализ актуальности угроз для безопасности персональных данных, исходя из возможности реализации угрозы и вербальной оценки её опасности. Возможность реализации определяется на основании коэффициента реализуемости угрозы, который рассчитывается по формуле

Y=(Y1+Y2)/20.

Таблица №8. Анализ актуальности угроз

Заключение

Результатом курсовой работы является проект защиты персональных данных сотрудников и студентов частного колледжа в соответствии с требованиями постановлений Президента РФ, Правительства России, технических документов ФСБ и ФСТЭК России. Были проработаны следующие этапы создания проекта:

- определение перечня необходимых организационных мероприятий,

- разработка перечня персональных данных,

- составление перечня допущенных подразделений и сотрудников,

- рассмотрение и анализ топологии информационной системы ПДн,

- определение помещений для обработки персональных данных,

- классификация ИСПД,

- разработка частной модели угроз.

Список литературы

1. Грибунин В.Г. Политика безопасности: разработка и реазизация// "Информационная безопасность", 2005, №1.

2. Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии.

3. Домарев В.В. Безопасность информационных технологий. Системный подход. - К.: ООО ТИД "Диасофт", 2004. - 992 стр.

4. Торокин А.А. "Основы инженерно-технической защиты информации". - М.:

5. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр.

Размещено на Allbest.ru