Правовой аспект обеспечения информационной безопасности на предприятии

Обобщение правовой базы обеспечения информационной безопасности предприятия, обеспечивающей обработку персональных данных, существующую на данный момент в Российской Федерации. Угрозы информационной безопасности предприятия, средства ее обеспечения.

Рубрика Государство и право
Вид курсовая работа
Язык русский
Дата добавления 21.10.2014
Размер файла 97,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Федеральное агентство связи

Сибирский государственный университет телекоммуникаций и информатики

Межрегиональный центр переподготовки специалистов

Курсовая работа

по дисциплине "Методы и средства защиты информации"

"Исследование возможности применения средств защиты на предприятиях"

"Правовая база обеспечения информационной безопасности предприятия, обеспечивающего обработку персональных данных"

Выполнил: Хисматуллин Н.М.

Группа: ИМР-41

Проверил: Солонская О.И.

Новосибирск, 2014

Оглавление

  • Введение
  • 1. Правовая база обеспечения информационной безопасности на предприятии
  • 2. Анализ угроз информационной безопасности предприятия
  • 2.1 Объекты информационной безопасности
  • 2.2 Угрозы информационным ресурсам предприятия
  • 3. Анализ средств обеспечения информационной безопасности предприятия
  • 3.1 Организационная защита
  • 3.2 Инженерно-техническая защита
  • 4. Выполнение задания по курсовой работе
  • Заключение
  • Список нормативных актов и литературы

Введение

Человечество вступило в новый этап развития, получивший название "информационное общество". На данном этапе важнейшим фактором экономического развития являются научные знания. Их внедрение на базе современных информационных технологий в средства производства позволяет добиваться существенного повышения производительности труда в промышленности, придает качественно новые потребительские свойства продукции промышленного производства и способствует повышению качества жизни человека.

Процесс создания таких знаний, их промышленного освоения и продвижения на рынке наукоемких товаров приобретает глобальный характер, привлекает все большие людские ресурсы, заметно изменяя социальную структуру общества, превращая информационные технологии в фактор общественного развития.

Одновременно объективное усиление зависимости общества от информационных технологий, глобальной информационной инфраструктуры, свободы трансграничного информационного обмена порождает угрозу использования этой зависимости во вред обществу. Расширяется область применения информационных технологий для совершения преступлений, нарушения устойчивости функционирования важных объектов инфраструктуры общества, подготовки и осуществления террористических актов и другой социально опасной деятельности.

Данные обстоятельства приводят к тому, что выявление угроз безопасности интересов личности, общества и государства в информационной сфере, предупреждение и пресечение их проявлений, а также ликвидация последствий проявления таких угроз рассматриваются в Российской Федерации в качестве важной составляющей обеспечения национальной безопасности [1].

Современный этап развития систем обеспечения информационной безопасности характеризуется активной правотворческой деятельностью. Такая деятельность осуществляется практически всеми ведущими государствами, а также международными сообществами.

Быстрыми темпами идет разработка нормативных технических документов.

В Российской Федерации за последние годы также принято множество правовых, организационно-распорядительных и технических документов, используемых для государственного регулирования деятельности в области информационной безопасности.

Наряду с государственными органами стандарты и методические документы в области защиты информации разрабатываются коммерческими организациями.

Ранее принятые документы отменяются и пересматриваются.

В сложившихся условиях при осуществлении практической деятельности в области информационной безопасности все сложнее ориентироваться в совокупности документов, обязательных и добровольных для применения.

В отличие от первоначального периода развития проблем информационной безопасности, когда эта деятельность главным образом связывалась с защитой тайн, в первую очередь - государственной тайны, в настоящее время реализуются различные направления информационной безопасности.

К наиболее важным из них на текущем этапе относятся:

обеспечение доступности информации на основе развития государственных информационных систем и иных систем, предназначенных для обработки открытой информации;

защита персональных данных и иной информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну;

защита критических систем информационной инфраструктуры;

предотвращение и пресечение компьютерных преступлений;

защита прав на интеллектуальную собственность.

При этом продолжают оставаться важными такие направления, как защита государственной тайны и обеспечение деятельности государственных систем лицензирования и сертификации в области защиты информации. В условиях развития информационных технологий правовые и организационные меры обеспечения данных направлений требуют совершенствования с учетом новых технических достижений.

В данной работе предпринята попытка обобщить правовую базу обеспечения информационной безопасности предприятия, обеспечивающего обработку персональных данных, существующую на данный момент в РФ.

Для достижения заявленной цели необходимо:

1) Описать правовую базу обеспечения информационной безопасности на предприятии.

2) Произвести анализ угроз информационной безопасности предприятия.

3) Произвести анализ средств обеспечения информационной безопасности предприятия.

информационная безопасность предприятие правовой

1. Правовая база обеспечения информационной безопасности на предприятии

Согласно федеральному закону № 149 "Об информации, информационных технологиях и о защите информации", "защита информа ции представляет собой принятие правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации" [2].

Правовые основы защиты информации - это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.

Первый уровень правовой охраны и защиты информации составляют нормативные правовые акты, различающиеся по юридической силе: Конституция Российской Федерации, Международные договоры Российской Федерации, Кодексы Российской Федерации, Федеральные законы Российской Федерации.

Конституция РФ (ст.23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений) [1];

Гражданский кодекс РФ (в ст.139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

Уголовный кодекс РФ (ст.272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст.273 - за создание, использование и распространение вредоносных программ для ЭВМ, ст.274 - за нарушение правил эксплуатации ЭВМ, систем и сетей);

Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ (ст.5 устанавливает разделение информации на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа), ст.16 определяет порядок защиты информации) [2];

Федеральный закон "О государственной тайне" от 21.07.93 № 5485-1 (ст.5 устанавливает перечень сведений, составляющих государственную тайну; ст.8 - степени секретности сведений и грифы секретности их носителей: "особой важности", "совершенно секретно" и "секретно"; ст.20 - органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст.28 - порядок сертификации средств защиты информации, относящейся к государственной тайне) [4];

Федеральные законы "О лицензировании отдельных видов деятельности" от 08.08.2001 № 128-ФЗ [5], "О связи" от 16.02.95 № 15-ФЗ [6], "Об электронной цифровой подписи" от 10.01.02 № 1-ФЗ [7], "Об авторском праве и смежных правах" от 09.07.93 № 5351-1 [8], "О правовой охране программ для электронных вычислительных машин и баз данных" от 23.09.92 № 3523-1 (ст.4 определяет условие признания авторского права - знак © с указанием правообладателя и года первого выпуска продукта в свет; ст.18 - защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы) [9].

Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности России.

Понятие информационной безопасности было дано в 2000 году в "Доктрине информационной безопасности Российской Федерации" (далее Доктрина), которая действует и сейчас.

Под информационной безопасностью (ИБ) Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Правовое обеспечение ИБ включает совокупность правовых документов, используемых для регулирования отношений в области ИБ. Под правовыми документами понимаются официальные документы, принятые у полномочными государственными органами, имеющие юридическое значение и направленные на регулирование отношений в области ИБ.

Государственное регулирование отношений в сфере защиты ЗИ информации осуществляется путем установления:

требований о защите информации,

ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

В Доктрине выделены четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.

Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечении е государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности эффективного использования отечественных информационных ресурсов.

Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

В Доктрине информационной безопасности названы особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни: экономики, внешней и внутренней политики, науки и техники, духовной жизни. В общегосударственных информационных и телекоммуникационных системах, в сфере обороны. В правоохранительной и судебной сферах, в условиях чрезвычайных ситуаций. Для указанных сфер приведены внешние и внутренние угрозы, а также основные меры по обеспечению ИБ.

В соответствии с Доктриной информационной безопасности Российской Федерации общие методы ее обеспечения разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;

усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;

формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:

разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;

совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Правовое обеспечение информационной безопасности РФ кроме того регулируется международными конвенциями об охране информационной собственности, промышленной собственности и авторском праве защиты информации в Интернете.

На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) - это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ;

К третьему уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.

Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами, например, руководящие документы Федеральной службы контроля службы по техническому и экспортному контролю (ФСТЭК) [11].

Такие как "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" ФСТЭК от 15 февраля 2008 г, определяющий ряд терминов и положений, связанных с обеспечением безопасности персональных данных, а так же основные мероприятия по организации обеспечения безопасности персональных данных и мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Стандарты информационной безопасности, из которых выделяют:

1) Государственные (национальные) стандарты РФ:

ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.

Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.

ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

ГОСТ Р ИСО/МЭК 15408 - "Общие критерии оценки безопасности информационных технологий" - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов.

ГОСТ Р ИСО/МЭК 17799 - "Информационные технологии. Практические правила управления информационной безопасностью". Прямое применение международного стандарта с дополнением - ISO/IEC 17799: 2005.

ГОСТ Р ИСО/МЭК 27001 - "Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования". Прямое применение международного стандарта - ISO/IEC 27001: 2005.

ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

2) Международные стандарты;

Такие как ISO/IEC 17799: 2005 - "Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности".

Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации [14].

Указанные выше правовые документы реализуют различные методы и средства правового регулирования в области защиты информации.

Метод правового регулирования включает следующие компоненты:

• порядок возникновения прав и обязанностей сторон (из закона, договора, акта применения права и т.д.);

• степень самостоятельности субъектов при возникновении прав и обязанностей (равенство сторон или отношения власти и подчинения);

• способы регулирования активности субъектов права (запреты, предписания, дозволения, рекомендации, поощрения);

• способы обеспечения прав и обязанностей (судебный и иной порядок).

Различные сочетания этих компонентов образуют метод конкретной отрасли права. В теории права различают два противоположных метода правового регулирования:

– императивный (авторитарный);

– диспозитивный (автономии).

Императивный метод базируется на применении властных юридических предписаний, которые не допускают отступлений от четко установленного правила поведения. Иными словами, субъекты правоотношений вправе совершать только те действия, которые им разрешены.

Диспозитивный метод предоставляет возможность самим участникам правоотношений самостоятельно определять свое поведение в рамках правовых предписаний. При этом стороны выступают в качестве равных субъектов, добровольно принимают на себя обязательства по отношению друг к другу. Иначе говоря, лица вправе совершать любые действия, прямо не запрещенные законом.

Этот метод включает в себя три способа регулирования:

дозволение совершить известные действия, имеющие правовой характер;

предоставление определенных прав;

предоставление лицам, участвующим в определенных взаимоотношениях, право выбирать вариант своего поведения.

Средства воздействия на общественные отношения - дозволение, позитивное обязывание, запрет (основные), уполномочивание, ограничение, закрепление определенных отношений (статуса, целей и принципов деятельности), рекомендация, поощрение, предоставление льгот, государственное принуждение. Перечисленные средства используются при формировании структурных элементов нормы.

Способы определяют особенности связей участников упорядочиваемых отношений. Существуют автономный способ (равенство участников, как в имущественных отношениях, регулируемых гражданским правом), приказной (властное отношение, когда один субъект подчинен другому, как в административном праве, которое регулирует отношения в сфере государственного управления), субординационный (сочетание равенства в одних случаях и подчинение в виде контроля властных структур - в других, как в области предпринимательских отношений, когда хозяйствующие субъекты государственным органам напрямую не подчиняются, однако последние осуществляют контроль и надзор за деятельностью субъектов предпринимательской деятельности) [13].

Таким образом, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации и защиту, благодаря законодательной базе о защите информации.

2. Анализ угроз информационной безопасности предприятия

2.1 Объекты информационной безопасности

Основными объектами информационной безопасности на предприятии являются:

информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

процессы обработки информации в ИС - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации; - информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты ИС [15].

2.2 Угрозы информационным ресурсам предприятия

Все угрозы информационным ресурсам предприятия можно отнести к одной из следующих категорий:

1. Угрозы доступности информации, хранимой и обрабатываемой и информации, передаваемой по каналам связи;

2. Угрозы целостности информации, хранимой и обрабатываемой и информации, передаваемой по каналам связи;

3. Угрозы конфиденциальности информации хранимой и обрабатываемой и информации, передаваемой по каналам связи.

Угрозы безопасности информационных ресурсов, с точки зрения реализации, можно разделить на следующие группы:

угрозы, реализуемые с использованием технических средств;

угрозы, реализуемые с использованием программных средств;

угрозы, реализуемые путем использования технических каналов утечки информации [16].

Угрозы, реализуемые с использованием технических средств, которые включают в себя приемо-передающее и коммутирующее оборудование, оборудование серверов и рабочих станций, а также линии связи. К этому классу принадлежат угрозы доступности, целостности и, в некоторых случаях конфиденциальности информации, хранимой, обрабатываемой и передаваемой по каналам связи, связанные с повреждениями и отказами технических средств, приемо-передающего и коммутирующего оборудования и повреждением линий связи.

Для технических средств характерны угрозы, связанные с их умышленным или неумышленным повреждением, ошибками конфигурации и выходом из строя:

вывод из строя;

несанкционированное изменение конфигурации активного сетевого оборудования и приемо-передающего оборудования;

физическое повреждение технических средств, линий связи, сетевого и каналообразующего оборудования;

проблемы с питанием технических средств;

отказы технических средств;

установка непроверенных технических средств или замена вышедших из строя аппаратных компонент на неидентичные компоненты;

хищение технических средств и долговременных носителей конфиденциальной информации вследствие отсутствия контроля над их использованием и хранением.

Следующие угрозы, реализуемые с использованием программных средств это наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением несанкционированного доступа к информации, хранимой и обрабатываемой, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых ПО. Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними злоумышленниками. Результатом успешного осуществления этих угроз становится получение несанкционированного доступа к информации баз данных и файловых систем корпоративной сети, данным, конфигурации маршрутизаторов и другого активного сетевого оборудования.

В этом классе рассматриваются следующие основные виды угроз:

внедрение вирусов и других разрушающих программных воздействий;

нарушение целостности исполняемых файлов;

ошибки кода и конфигурации ПО, активного сетевого оборудования;

модификация ПО;

наличие в ПО недекларированных возможностей, оставленных для отладки, либо умышленно внедренных;

использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированного доступа к информационным ресурсам или нарушения их доступности;

выполнение одним пользователем несанкционированных действий от имени другого пользователя;

раскрытие, перехват и хищение секретных кодов и паролей;

загрузка и установка в системе не лицензионного, непроверенного системного и прикладного ПО.

Отдельно следует рассмотреть угрозы, связанные с использованием сетей передачи данных. Данный класс угроз характеризуется получением внутренним или внешним нарушителем сетевого доступа к серверам баз данных и файловым серверам, маршрутизаторам и активному сетевому оборудованию. Здесь выделяются следующие виды угроз, характерные для предприятия:

перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика;

замена, вставка, удаление или изменение данных пользователей в информационном потоке;

перехват информации, передаваемой по каналам связи, с целью ее последующего использования для обхода средств сетевой аутентификации;

статистический анализ сетевого трафика.

Последними в этом списке находятся угрозы утечки информации по техническим каналам связи.

При проведении работ с использованием конфиденциальной информации и эксплуатации технических средств возможны следующие каналы утечки или нарушения целостности информации или работоспособности технических средств:

побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;

акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации;

несанкционированный доступ к информации, обрабатываемой в автоматизированных системах;

хищение технических средств с хранящейся в них информацией или отдельных носителей информации;

просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;

воздействие на технические или программные средства в целях нарушения целостности информации, работоспособности технических средств [19].

Кроме перехвата информации техническими средствами возможно непреднамеренное попадание конфиденциальной информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Утечка информации возможна по следующим каналам:

радиоканалы;

ИК-канал;

ультразвуковой канал;

проводные линии.

3. Анализ средств обеспечения информационной безопасности предприятия

С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе. Основные направления правовой защиты рассмотрены разделе 1;

организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение, какого либо ущерба исполнителям;

инженерно-техническая защита - это использование различных технических средств, препятствующих нанесению ущерба производственной деятельности [19].

3.1 Организационная защита

Организационная защита обеспечивает:

охрану, режим, работу с кадрами, с документами;

использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз производственной деятельности.

К основным организационным мероприятиям можно отнести:

1 организацию режима и охраны, с целью:

исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;

контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы;

организация и подержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

2 организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

3 организацию работы с документами, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

4 организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

5 организацию работ по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

6 организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфические для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях [18].

3.2 Инженерно-техническая защита

Рассмотрим комплекс инженерно-технической защиты (ИТЗ), состоящий из:

физических средств защиты;

аппаратных средств защиты;

программной защиты информации;

криптографических средств защиты;

К физическим средствам защиты можно отнести разнообразные приспособления, конструкции, изделия, и прочие устройства для создания барьеров на пути злоумышленников.

К подобным средствам защиты относятся устройства любого типа, воспрещающие несанкционированный доступ (НСД) и других несущих вред действий. Подобные средства применяются для охраны территории предприятия, зданий, помещений, оборудования, продукции и финансов, а так же для наблюдения за ними. Особо нужно выделить контроль доступа в охраняемые здания и помещения. Все подобные средства защиты делятся, по типу воздействия, на три типа:

предупреждающие;

обнаруживающие;

ликвидирующие [19].

В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:

охранные и охранно-пожарные системы;

охранное телевидение;

охранное освещение;

средства физической защиты.

Следующий набор средств - аппаратные средства защиты информации. Они включают в себя разного рода технические устройства, созданные для защиты информации от разглашения, утечки и несанкционированного доступа. К ним относятся самые разные по принципу работы, устройству и возможностям технические средства, обеспечивающие пресечение разглашения, защиту от утечки и противодействие НСД к источникам конфиденциальной информации.

Использование аппаратных средств защиты информации позволяет решать такие задачи как проведение специальных исследований технических средств на наличие возможных каналов утечки информации, могут помочь в обнаружении каналов утечки информации и локализовать их, способствуют обнаружению средств промышленного шпионажа, и останавливают НСД к конфиденциальной информации. Классифицируются на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки. Аппаратные средства и методы защиты распространены очень широко, однако при раскрытии принципов действия могут потерять большую часть своей полезности.

Еще одна немаловажная часть комплекс инженерно-технической защиты - программная защита информации. Состоит из специальных программ, реализующих принципы информационной безопасности. Существует четыре направления программ направленных на защиту информации.

Первое это защита информации от несанкционированного доступа. Состоит из трех основных функций:

идентификация субъектов и объектов;

разграничение доступа к вычислительным ресурсам и информации;

контроль и регистрация действий с информацией и программами [20].

Самым популярным методом идентификации является парольная идентификация. Однако надо учитывать, что пароль можно перехватить, подслушать или подсмотреть и даже угадать.

Второе направление это защита от копирования. Средства защиты от копирования предотвращают нелегальное копирование программного обеспечения и являются в настоящее время единственно надежным средством, которое защищает авторское право разработчиков. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального не копируемого элемента. Таким элементом может быть определенная часть компьютера или специальное устройство.

Последнее направление это защита от разрушения информации. Из-за того что причины разрушения информации весьма разнообразны, проведение защитных мероприятий обязательно для всех, кто пользуется компьютером.

Программные средства и методы защиты являются одними из самых надежных.

Четвертая часть ИТЗ это криптографические средства. Это специальные математические средства защиты информации, передаваемой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Криптография представляет собой совокупность методов преобразования данных, ориентированных на то, чтобы сделать эти данные бесполезными для злоумышленника. Такие преобразования позволяют решить две главные проблемы защиты данных: проблему конфиденциальности (путем лишения злоумышленника возможности извлечь информацию из канала связи) и проблему целостности (путем лишения злоумышленника возможности изменить сообщение так, чтобы изменился его смысл, или ввести ложную информацию в канал связи) [20].

Проблемы конфиденциальности и целостности информации тесно связаны между собой, поэтому методы решения одной из них часто применимы для решения другой.

Криптографические методы занимают почти самое важное место и выступают самым надежным средством обеспечения защиты информации на длительные периоды.

4. Выполнение задания по курсовой работе

Целью выполнения курсовой работы является проведение исследований на одну из тем (приложение А), для реализации средств защиты на предполагаемом предприятии.

Предприятие:

является филиалом крупной Компании А;

предприятие содержит локальную сеть, состоящую из N компьютеров и M серверов;

содержит S сотрудников.

Вариант 2

Количество компьютеров: N = 249;

Количество серверов: M = 3;

Количество сотрудников, чьи персональные данные обрабатываются: R = 490.

1) Исходя из условий задания, произведен сбор информации из открытых источников (сайтов компании производителей) о средствах защиты данных на предприятии:

1 ЗАО "Компьютерные сервисные устройства" (КСУ), http://www.kcy.ru/;

2 ЗАО Научно-производственное предприятие "Безопасные информационные технологии" (БИТ), http://www.npp-bit.ru/;

3 ООО "Сюртель", http://www.suritel.ru/;

4 ЗАО "АЛТЭКС-СОФТ", http://www.altx-soft.ru/.

Все продукты компаний относятся к средствам инженерно-технической защиты, которые можно разделить, в данном случае, на 4 группы:

1 группа - аппаратные средства защиты информации;

2 группа - аппаратно-программные средства защиты информации;

3 группа - средства программной защиты информации;

4 группа - аппаратно-программные криптографические средства защиты информации

1 группа

1 Устройство экстренного гарантированного стирания информации с магнитных носителей "Прибой - У" серия 2С-994У;

2 Устройство экстренного гарантированного стирания информации с магнитных носителей "Прибой - В" серия 2С-994В;

3 Устройство экстренного гарантированного стирания информации с магнитных носителей "Прибой - В-МР" серия 2С-994В-МР;

4 Автоматический комплекс экстренного гарантированного стирания информации с магнитных носителей "ЦУНАМИ";

5 Автоматический комплекс экстренного гарантированного стирания информации с магнитных носителей "Горгона";

6 Автоматизированное рабочее место (АРМ) в защищенном исполнении для обработки персональных данных

2 группа

7 Программно-аппаратный комплекс (ПАК)"Соболь";

8 Программно-аппаратный комплекс (ПАК)"Россомаха".

3 группа

9 Система защиты информации на серверах Secret Server NG;

10 Система защиты информации от НСД "Страж NT".

4 группа

11 Шифратор жестких дисков М-590 (комплекс КРИПТОН-ПДШ/IDE);

12 Шифратор жестких дисков М-575 (комплекс КРИПТОН-ПДШ/SATA);

13 Аппаратно-программный модуль доверенной загрузки М-526, (М-526А, М-526Б) КРИПТОН-ЗАМОК;

14 Устройство криптографической защиты данных и ограничения доступа к компьютеру "КРИПТОН-8/PCI".

Исходя из данных таблицы, можно увидеть, что производителем 1 группы устройств является ЗАО "КСУ" (г. Домодедово), которое имеет компанию представителя в Новосибирске, поэтому целесообразно приобрести такие продукты, как 2, 3 в зависимости от конфигурации оборудования на предприятии, а также 4 или 5.

Из 2 группы необходимо выбрать один из продуктов 7 или 8 ООО "Сюртель" (г. Москва). По моему мнению, лучше 8, т.к. обеспечивается защита, как автономного компьютера, так и рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Из 3 группы 9, 10 необходимо выбрать 9 т.к. в нем предлагается более прогрессивный метод защиты информации.

Также возможно применение продуктов 4 группы (11-14), наиболее эффективный 14, но среди них нет устройств защиты серверов.

Исходя из вышесказанного, можно сделать вывод, что наиболее оптимальным продуктом является Автоматический комплекс экстренного гарантированного стирания информации с магнитных носителей "ЦУНАМИ", производства ЗАО "КСУ" (г. Домодедово).

Таблица

Наименование средства защиты

Компания производитель

(адрес, сайт)

Наличие компании-представителя в Новосибирске

Характеристики

Наличие сертификатов ФСТЭК, ФСБ и др.

Стоимость, руб. /шт.

Примечание

Аппаратные средства защиты информации

Устройство экс треного гарантированного стирания информации с магнитных носителей "Прибой - У" серия 2С-994У

ЗАО "КСУ" 142000, Московская область, г. Домодедово,

ул. Кирова, д.7. корпус1, офис №24

http://www.kcy. info/ru

ООО "БиВайт" г.

Новосибирск, Мкр. Горский 67. http://bewhite.ru/

Устройство для гарантированного уничтожения информации с любых магнитных носителей (жестких дисков, стримерных картриджей, видео - и аудио-кассет, дискет и т.д.) перед их утилизацией, в случае поломки, плановой замены (списания) или окончания срока хранения.

Устройство, предназначено для утилизации магнитных носите лей формата не более 3,5"

Лицензии

ФСТЭК, ФСБ

МО

Сертификаты

Управления МО

2С-994 Военный регистр

23950

Устройство экстренного гарантированного стирания информации с магнитных носителей "Прибой - В" серия 2С-994В

ЗАО "КСУ" 142000, Московская область, г. Домодедово,

ул. Кирова, д.7. корпус1, офис №24

http://www.kcy. info/ru

ООО "БиВайт" г.

Новосибирск, Мкр. Горский 67. http://bewhite.ru/

Устройство для защиты информации в информационных системах - на жестком диске отдельных компьютеров (серверов) с возможностью их экстренного уничтожения при попытке несанкционированного доступа (НСД). Встраиваемое в АТХ-корпус (высота 2U) устройство для экстренного гарантированного стирания информации на жёстком диске компьютера, продольно направленным электромагнитным импульсом. Может комплектоваться встроенным блоком управления с резервным питанием до 24 часов, модулем радиоканала с брелоком до 100м, удалённой проводной кнопкой с индикацией работы

Лицензии

ФСТЭК, ФСБ

МО

Сертификаты

Управления МО

2С-994 Военный регистр

22950

Устройство экстренного гарантированного стирания информации с магнитных носителей "Прибой - В-МР" серия 2С-994В-МР

ЗАО "КСУ" 142000, Московская область, г. Домодедово,

ул. Кирова, д.7. корпус1, офис №24

http://www.kcy. info/ru

ООО "БиВайт" г.

Новосибирск, Мкр. Горский 67. http://bewhite.ru/

Устройство для защиты информации в информационных системах - на жестком диске отдельных компьютеров (серверов) с возможностью их экстренного уничтожения при по пытке несанкционированного доступа (НСД). Встраиваемое устройство для экстренного гарантированного стирания информации на жёстких дисках компьютера в корзинах Mobile Rack, продольно направленным электромагнитным импульсом. Может комплектоваться встроенным блоком управления с резервным питанием до 24 часов, модулем радиоканала с брелоком до 100м, удалённой проводной кнопкой с индикацией работы

Лицензии

ФСТЭК, ФСБ

МО

Сертификаты

Управления МО

2С-994 Военный регистр

28950

Автоматический комплекс экстренного гарантированного стирания информации с магнитных носителей "ЦУНАМИ"

ЗАО "КСУ" 142000, Московская область, г. Домодедово,

ул. Кирова, д.7. корпус1, офис №24

http://www.kcy. info/ru

ООО "БиВайт" г.

Новосибирск, Мкр. Горский 67. http://bewhite.ru/

Встраиваемое устройство для защиты жестких дисков сервера. Монтируется в корпус Заказчика. В базовую комплектацию для защиты 1 диска включены: активация скрытой кнопкой на корпусе, резервное питание до 12 часов, защита от вскрытия крышки корпуса, постановка (снятие) с охраны электронным ключом iButton, полное протоколирование работы. Дополнительно может комплектоваться удалённой проводной кнопкой с индикацией работы, резервным питанием до 24 часов, модулем радиоканала с брелоком до 100м, модулем GSM, датчиком подъема (перемещения) корпуса и т.д.

Лицензии

ФСТЭК, ФСБ

МО

Сертификаты

Управления МО

2С-994 Военный регистр

46500

Автоматический комплекс экстренного гарантированного стирания информации с магнитных носителей "Горгона"

ЗАО "КСУ" 142000, Московская область, г. Домодедово, ул. Кирова, д.7. корпус1, офис №24

http://www.kcy. info/ru

ООО "БиВайт" г. Новосибирск, Мкр. Горский 67. http://bewhite.ru/

Внешнее устройство для защиты жестких дисков сервера, расположенного в 19” корпусе. Модуль уничтожения выводится за пределы корпуса устройства через кабель и помещается в корзину для НЖМД сервера рядом с защищаемым жестким диском. Рекомендуется для защиты информации, расположенной на серверах всех мировых производителей: IBM, HP и т.д. В базовую комплектацию для защиты 1 диска включены: активация скрытой кнопкой на корпусе, резервное питание до 12 часов, защита от вскрытия крышки корпуса, постановка (снятие) с охраны электронным ключом iButton, полное протоколирование работы. Дополнительно может комплектоваться удалённой проводной кнопкой с индикацией работы, резервным питанием до 24 часов, модулем радиоканала с брелоком до 100м, модулем GSM, датчиком подъема (перемещения) корпуса.

Лицензии

ФСТЭК, ФСБ

МО

Сертификаты

Управления МО

2С-994 Военный регистр

52950

Автоматизированное рабочее место (АРМ) в защищенном исполнении для обработки персональных данных

НПП "Безопасные информационные технологии"

105082 г. Москва, Большая Почтовая ул., д.22

http://www.npp - bit.ru/

АРМ основан на системном блоке производства компании "DEPO Computers", в компактном малогабаритном корпусе с применением средств защиты информации в соответствии с требованиями Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства Российской Федерации от 17.11.2007 г. № 781

Лицензии

ФСТЭК, ФСБ

МО,

ФСНСЗППиБЧ

90000 - 99000

Аппаратно-программные средства защиты информации

Программно-аппаратный комплекс (ПАК)"Соболь"

ООО "Сюртель"

Адрес: 125319, Москва, ул. Усиевича, д.5, 1 эт.,

Телефон/факс: (495) 22-36-222, 974-90-77. E-mail: info@suritel.ru

http://www.suritel.ru/

ПАК обеспечивает контроль и регистрацию доступа пользователей к компьютерам, осуществляет контроль целостности программной среды и доверенную загрузку установленных операционных систем.

Алгоритм шифрования

ГОСТ 28147-89

Размерность ключа шифрования

256 бит (количество возможных комбинаций ключей - 1077)

Количество уровней ключевой системы

3 (главный ключ пользовательский/сетевой ключ/ сеансовый ключ)

Датчик случайных чисел

аппаратный (аттестован экспертной организацией)

Отклонение распределения значения случайных чисел от равновероятного распределения

не более 0,0005

Поддерживаемые операционные системы

MS-DOS, Windows 95 (98) /ME/NT 4.0/2000/XP/2003 UNIX (Solaris/Intel) (возможно созда ние оригиналь ных программ мных драйверов для работы уст ройств)

Шина

PCI (Bus Master, Target)

Реализация алгоритма шифрования

аппаратная

Скорость шифрования

до 8500 КБ/с

Носители ключей

дискеты, СК с открытой и защищенной памятью, микропроцессорные СК, ТМ

ФСБ РФ (сертификат № СФ/027-1450 действ. До 31.12.2014) и ФСТЭК России (сертификат № 1967 действ до 07.12.2015)

9670 -

11 960

Программно-аппаратный комплекс (ПАК)"Россомаха"

ООО "Сюртель"

Адрес: 125319, Москва, ул. Усиевича, д.5, 1 эт.,

Телефон/факс: (495) 22-36-222, 974-90-77. E-mail: info@suritel.ru

http://www.suritel.ru/

ПАК является аналогом ПАК "Соболь" и может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислитель ной сети.

сертификат соответствия МО РФ № 1012.

19000

Средства программной защиты информации

Система защиты информации на серверах Secret Server NG

ООО "Сюртель"

Адрес: 125319, Москва, ул. Усиевича, д.5, 1 эт.,

Телефон/факс: (495) 22-36-222, 974-90-77. E-mail: info@suritel.ru

http://www.suritel.ru/

Защита информации осуществляется методом "прозрачного" шифрования с помощью стойких алгоритмов шифрования. Зашифровать можно отдельные жесткие диски сервера, любые дисковые массивы (внешние и внутренние, программные и аппаратные RAID-массивы), а также съёмные диски (например, подключаемые к серверу для резервного копирования). При чтении данных с диска происходит их расшифрование, при записи на диск - зашифрование. Находящиеся на диске данные всегда зашифрованы, что делает доступ к ним невозможным для злоумышленника даже в случае кражи или изъятия как отдельного диска, так и всего сервера.

сертификат ФСТЭК России № 1487 от 02 ноября 2007 г.

18000

Система защиты информации от НСД "Страж NT"

ООО "Сюртель"

Адрес: 125319, Москва, ул. Усиевича, д.5, 1 эт.,

Телефон/факс: (495) 22-36-222, 974-90-77. E-mail: info@suritel.ru

http://www.suritel.ru/

СЗИ от НСД Страж NТ (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн). Функционирует в среде 32-х и 64-разрядных операционных систем MS Windows 2000 (Server и Professional), MS Windows XP (Professional и Home Edition), MS Windows Server 2003, MS Windows Vista, MS Windows 7, MS Windows Server 2008, MS Windows Server 2008 R2 и устанавливается как на автономных рабочих местах, так и на рабочих станциях и серверах локальной вычислительной сети.


Подобные документы

  • Понятие и основные принципы обеспечения информационной безопасности. Важнейшие составляющие национальных интересов Российской Федерации в информационной сфере. Общие методы обеспечения информационной безопасности страны. Понятие информационной войны.

    реферат [18,8 K], добавлен 03.05.2011

  • Законодательные основы обеспечения информационной безопасности. Ответственность за преступления в области информационных технологий. Направления правового обеспечения информационной безопасности. Порядок лицензирования средств защиты информации.

    презентация [158,6 K], добавлен 11.07.2016

  • Нормативные правовые акты, регламентирующие обеспечение защиты информационных систем от несанкционированного доступа. Доктрина информационной безопасности Российской Федерации, как основной документ в сфере обеспечения информационной безопасности.

    курсовая работа [48,1 K], добавлен 25.04.2010

  • Информационное пространство и его эффективность. Национальные интересы Российской Федерации в информационной сфере. Принципы государственной политики обеспечения информационной безопасности. Нормативно-правовые акты об информационной безопасности в РФ.

    контрольная работа [22,7 K], добавлен 20.09.2009

  • Сущность правовых проблем защиты информации в Российской Федерации. Особенности создания и внедрения современных технологий. Характеристика законодательной базы и нормативно-правовых актов, регулирующих отношения в сфере информационной безопасности.

    контрольная работа [21,9 K], добавлен 14.02.2012

  • Защита информации как приоритетная задача обеспечения национальной безопасности России, основные проблемы и задачи. Законодательная база в сфере информационной безопасности. Информационное законодательство - основной источник информационного права.

    курсовая работа [46,4 K], добавлен 20.04.2010

  • Информационные аспекты безопасности. Источники нормативно-правового регулирования при международном информационном обмене. Концепция обеспечения информационной безопасности. Порядок международно-правового регулирования информационной безопасности.

    курсовая работа [53,9 K], добавлен 23.03.2014

  • Понятие и сущность информационной безопасности в современном мире. Рассмотрение методов обеспечения информационной безопасности в Российской Федерации. Изучение проблем и перспектив обеспечения законодательной борьбы с киберпреступлениями в стране.

    реферат [28,8 K], добавлен 23.01.2016

  • Понятие информационной безопасности. Национальные интересы Российской Федерации в информационной сфере. Основные виды и источники угроз. Первоочередные мероприятия по реализации государственной политики по обеспечению информационной безопасности.

    дипломная работа [196,9 K], добавлен 14.06.2016

  • Цели, задачи, принципы реализации государственной политики в сфере информационной безопасности Российской Федерации. Основные пути совершенствования государственной политики в сфере обеспечения информационной безопасности Центрального военного округа.

    дипломная работа [2,4 M], добавлен 10.07.2015

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.