Методы противодействия возможным угрозам информационной безопасности в Управлении Федерального казначейства по Республике Адыгея
Рассмотрение порядка создания комплексной системы защиты информации. Предложение организационных и инженерно-технических мероприятий и рекомендаций по защите информации, обрабатываемой в автоматизированной системе Управления Федерального казначейства.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 28.04.2018 |
Размер файла | 33,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное
учреждение высшего профессионального образования
«Майкопский государственный технологический университет»
Факультет информационных систем в экономике и юриспруденции
Кафедра информационной безопасности и прикладной информатики
КУРСОВАЯ РАБОТА
по дисциплине "Организация и технологии защита информации"
на тему:
Методы противодействия возможным угрозам информационной безопасности в УФК по РА
студента IV курса
группы БИ-41
Бабичева Алексея Сергеевича
Научный руководитель:
доцент кафедры
Козлова Наталья Шумафовна
Майкоп,
2017г
Содержание
Введение
Глава I. Исследование комплексной защиты информации в автоматизированных системах
1.1 Понятие и классификация автоматизированных информационных систем
1.2 Порядок создания комплексной системы защиты информации
1.3 Основные принципы защитных мероприятий от НСД в АС
Глава II. Анализ деятельности Управления Федерального Казначейства по Республике Адыгея и обоснование направлений создания КСЗИ в АИС
2.1 Структура и функции УФК по РА
2.2 Требования к защите информации от НСД в АС
Глава III. Рекомендации по использованию устройств, методов и мероприятий по защите информации в автоматизированных системах
3.1 Организационные и инженерно-технические мероприятия
3.2 Рекомендации по защите информации, обрабатываемой в автоматизированной системе
3.3 Предложение инструкций и правил для пользователей и обслуживающего персонала УФК по РА
Заключение
Список источников и использованной литературы
Введение
защита информация казначейство автоматизированный
Информационная безопасность - это относительно молодая, быстро развивающаяся область информационных технологий. Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл. Оценка уровня защищенности национальных интересов в информационной сфере определяется совокупностью сбалансированных интересов личности, общества и государства.
Под термином «информационная безопасность» понимается уровень защиты информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации, а также поддерживающей инфраструктуры.
Вместе с тем, защита информации - это комплекс организационных мер, инструкций и правил, направленных на обеспечение информационной безопасности.
Актуальность. Рассматривая системы безопасности, стоит отметить, что они должны не только и не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять и делегировать их полномочия в совместном решении задач, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации и устранять их последствия, используя гибко адаптируя структуру в условиях отказов, частичной потери или длительного блокирования ресурсов.
При этом не нужно забывать и об экономической целесообразности применения тех или иных мер обеспечения защиты информации, которые всегда должны соответствовать существующим угрозам.
Параллельно с развитием средств вычислительной техники и появлением все новых способов нарушения безопасности информации развивались и совершенствовались средства защиты. Необходимо отметить, что старые виды атак никуда не исчезают, а новые только ухудшают ситуацию. Существующие сегодня подходы к обеспечению защиты информации несколько отличаются от существовавших на начальном этапе. Главное отличие современных концепций в том, что сегодня не говорят о каком-то одном универсальном средстве защиты, а речь идет о КСЗИ, включающей в себя:
нормативно-правовой базис защиты информации;
средства, способы и методы защиты;
органы и исполнителей.
Приведенные выше факты делают проблему проектирования эффективных систем защиты информации актуальной на сегодняшний день.
В данной работе рассмотрены основные принципы создания КСЗИ для АИС.
Целью работы является разработка эффективных методов защиты информации в автоматизированных системах для Управления Федерального казначейства по Республике Адыгея.
Достижение выдвинутой цели предполагает решение следующих задач:
анализ защиты информации в АС;
исследование степени защищенности современных АС с последующей оценкой эффективности ее защитных мероприятий;
проведение комплексного анализа деятельности УФК по РА;
переработка рекомендаций по использованию защитных мероприятий в АС.
Предметом исследования - АИС Управления Федерального казначейства по РА. В соответствии с темой курсовой работы основное внимание уделялось разработке мероприятий направленных на защиту АИС.
Объектом исследования является Управление федерального казначейства по Республике Адыгея (Адыгея).
В качестве информационной базы для курсовой работы использовались должностные инструкции, литературные издания, а так же данные взятые у официальных источников. В качестве основных могут быть отмечены должностная инструкция «Организация резервного копирования Управлении Федерального казначейства по РА», Федеральный закон «об информации, информатизации и защите информации», Указы Президента РФ и Постановления Правительства РФ, касающиеся казначейской системы.
Курсовая работа состоит из введения, 3 глав, заключения, списка использованной литературы и источников.
В первой главе проводиться анализ защищенных АС. Также был проанализирован современный метод построения КСЗИ.
Во второй главе был проведен анализ УФК по РА, основные принципы защитных мероприятий в АС для дальнейшего повышения их эффективности. В основе данного анализа была проведена оценка необходимости защиты информации от НСД, на основании которой были определены требования по защите информации от НСД.
Третья глава содержит разработанные рекомендации по улучшению организационных и инженерно-технических мероприятий по защите информации в АС.
В заключении приведены основные результаты исследований.
Глава 1. Исследование комплексной защиты информации в автоматизированных системах
1.1 Понятие и классификация автоматизированных информационных систем
В зависимости от вида деятельности выделяют следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР), автоматизированные системы научных исследований (АСНИ) и др.
В зависимости от вида управляемого объекта (процесса) АСУ делят на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т.д.
В нашем случае АС представляет собой среду обработки информации, и также информационных ресурсов в информационно-телекоммуникационной системе. Поэтому в дальнейшем будем использовать понятие «автоматизированная информационная система».
Таким образом, АИС представляет собой сложную систему, которую необходимо разделять на отдельные блоки (модули) для облегчения ее дальнейшего проектирования. В результате, каждый модуль будет работать независимо от других, а в комплексе они будут составлять единую систему защиты.
Наращивая количество модулей, а также усложняя структуру защиты, АИС приобретает некую комплексность, которая подразумевает использование не одного типа защитных функций во всех модулях, а их совокупность.
В зависимости от назначения, АС делят на 3 класса:
Класс 1 - это одномашинный однопользовательский комплекс, который обрабатывает информацию одной или нескольких категорий конфиденциальности. Пример - автономная ЭВМ, доступ к которой контролируется с использованием организационных мероприятий.
Класс 2 - это локализированный многомашинный многопользовательский комплекс, обрабатывающий конфиденциальную информацию разных категорий. Пример - локальная вычислительная сеть.
Класс 3 - это распределенный многомашинный многопользовательский комплекс, который обрабатывает конфиденциальную информацию разных категорий. Пример - глобальная вычислительная сеть.
Информация с ограниченным доступом, а именно: конфиденциальная информация, принадлежащая государству, и информация, содержащая государственную тайну, создается, обрабатывается и хранится в режимно-секретном (РСО) органе.
Так же, как и для создания КСЗИ РСО, для создания КСЗИ АС класса 2 и класса 3 организация-исполнитель должна иметь лицензию на проведение работ в сфере технической защиты информации, а также использовать сертифицированные технические средства защиты информации.
Выделяют еще один тип АС - системы информационной безопасности (СИБ) [5].
СИБ представляют собой решение, направленное на обеспечение защиты критичной информации организации от разглашения, утечки и несанкционированного доступа. Как и КСЗИ, СИБ объединяет в себе комплекс организационных мероприятий и технических средств защиты информации.
Важным моментом, который касается эксплуатации как КСЗИ АС класса 2 и класса 3, так и СИБ, является тот факт, что недостаточно просто построить и эксплуатировать эти системы защиты, необходимо постоянно их совершенствовать так же, как совершенствуются способы несанкционированного доступа, методы взлома и хакерские атаки.
1.2 Порядок создания комплексной системы защиты информации
Создание КСЗИ в ИТС осуществляется в соответствии с нормативными документами системы технической защиты информации, разработанного согласно требованиям нормативного документа системы технической защиты информации.
В состав КСЗИ входят мероприятия и средства, которые реализуют способы, методы, механизмы защиты информации от [8]:
утечки по техническим каналам, к которым относятся каналы побочных электромагнитных излучений и наводок, акустоэлектрических и других каналов;
несанкционированных действий и несанкционированного доступа к информации, которые могут осуществляться путем подключения к аппаратуре и линиям связи, маскировки под зарегистрированного пользователя, преодоление мероприятий защиты с целью использования информации или навязывания ошибочной информации, применение закладных устройств или программ, использование компьютерных вирусов и т.п.;
специального влияния на информацию, которое может осуществляться путем формирования полей и сигналов с целью нарушения целостности информации или разрушения системы защиты.
Несмотря на простоту структуры разработки КСЗИ, большинство организаций придерживается именно этого алгоритма. Однако данный алгоритм - это лишь основная часть проектирования. Каждый представленный этап отражает множество уровней в ходе проектирования, в зависимости от структуры АС требования, предъявляемых к ее системе защиты.
Данная стадия разработки включает в себя следующие работы:
проведение предпроектного обследования;
разработка аналитического обоснования по созданию КСЗИ;
разработка технического задания на создание КСЗИ.
В ходе данного этапа проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.
Существует несколько видов обследования:
предпроектное диагностическое обследование, которое выполняется при модернизации или построении СЗИ;
аудит СЗИ на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO;
специальные виды обследования, например, при расследовании компьютерных инцидентов.
По результатам данного этапа определяются и формируются требования к защите. Защита АС формируется из частных требований защиты элементов, путем объединения функционально однородных данных по обеспечению защиты. К таким данным относится защищаемая информация на основе документально оформленных перечней защищаемых сведений, угрозы безопасности информации и модель вероятного нарушителя, состав используемых технических средств и связи между ними, состав разработанной организационно-распорядительной документации, класс защищенности АС в защищенном исполнении. На основании этих данных принимаются решения, касающиеся состава технических средств и систем, предполагаемых к использованию в разрабатываемой системе защиты, и мероприятий по обеспечению конфиденциальности информации на этапе проектирования системы.
1.3 Основные принципы защитных мероприятий от НСД в АС
Проведя оценку необходимости защиты информации от НСД, становится вопрос о дальнейшем направлении проектирования системы защиты информации. Ведь именно по полученным результатам можно судить о сложности проектируемой системы. Имея такие результаты, необходимо оценить вероятность воздействия проявляемых угроз на информационную систему, а также сформировать модель нарушителя, после чего следует приступить к формированию защитных мероприятий. Опираясь на требования по защите информации от НСД, которые были рассмотрены ранее, можно привести основные принципы защитных мероприятий от НСД в АС.
Следует уточнить, что одним из основных компонентов АС является автоматизированное рабочее место (АРМ) - программно технический комплекс АС (или средства вычислительной техники (СВТ)), предназначенный для автоматизации деятельности определенного вида. В простейшем случае АРМ представляется как ПЭВМ и работающий на ней пользователь [3].
Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки промышленного шпионажа [10].
Любая система безопасности представляет собой организационно оформленные кадровые и материально-технические ресурсы и действует всегда во времени и пространстве угроз. Пространство угроз образуют объекты защиты - люди, работающие в коммерческой структуре, имущество и денежные средства предприятия, сведения, составляющие коммерческую или служебную тайну. Главная функция системы безопасности - это противодействие угрозам с помощью людей и техники. Каждая угроза влечет за собой ущерб, а противодействие призвано снизить его величину, в идеале - полностью. Удается это далеко не всегда. Способность системы безопасности выполнять свою главную функцию всегда должна оцениваться количественно. К примеру, можно измерить относительный ущерб, предотвращенный ею [21].
Любая угроза и противодействие ей происходят, естественно, во времени и характеризуются определенными его масштабами. Исходя из этого, ущерб от реализации угроз будет определяться тем, насколько полно данные события пересекаются во времени. Самый нежелательный вариант - запаздывающее противодействие, когда реакция системы защиты начинается к моменту завершения угрозы или после нее. Он характерен для систем информационной защиты. Несколько лучший вариант - одновременное противодействие, то есть оно начинается с появлением угрозы. И, наконец, наилучший - противодействие, носящее опережающий характер: реакция системы защиты начинается до начала реализации угрозы. Основанием для реакции могут быть оперативные данные, сигналы тревоги раннего оповещения и т.п.
Основные выводы и рекомендации очевидны. Одновременное противодействие будет достаточным для высокоэффективной защиты от угрозы, если реакция на нее будет быстрой. Эта задача вполне реальна для объектов большого бизнеса. Кооперативные же формы противодействия в условиях медленной реакции на угрозы не принесут эффекта, если отсутствуют средства задержки и блокирования угроз. Говоря о тактических вопросах системы безопасности бизнеса в части технических каналов связи, прежде всего, имеют в виду скорость ее реакции, надежность решений, блокирование развития угроз и их ликвидацию. Особенно важно обеспечить жесткие требования к надежности всех систем защиты, которая зависит от времени их функционирования и периодичности обновления ресурсов. Если это время превышает 5 лет, то требование надежности реализуется несколькими способами, среди которых - резервирование решений, многорубежность защиты, автоматизация первичных решений, централизованное управление ресурсами в кризисных ситуациях и т.п. Поэтому прежде чем определиться в вопросах тактики защиты, надо помнить, что она должна соответствовать нужной стратегии и опираться на точный количественный анализ. Для объектов среднего и малого бизнеса такой анализ вполне реален даже без средств автоматизации. Но для решения этих задач необходимо привлечь специалистов и экспертов, которые бы проанализировали обстановку и свойства защищаемого объекта, разработали модель угроз, изучили рынок существующих средств и методов. Накопление этих данных могут помочь оценить саму систему и при необходимости модернизировать её.
Глава 2. Анализ деятельности Управления Федерального казначейства по Республике Адыгея и обоснование направлений создания КСЗИ в АИС
2.1 Структура и функции Управления Федерального казначейства по Республике Адыгея
Управление федерального казначейства по Республике Адыгея (Адыгея) является территориальным органом Федерального казначейства Российской Федерации.
Управление осуществляет свою деятельность непосредственно и через подчиненные ему отделения во взаимодействии с федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления, территориальными учреждениями Банка России, общественными объединениями и иными организациями на основании приказа Министерства финансов Российской Федерации №33н от 04.03.2005 «Oб утверждении положений об управлениях Федерального казначейства по субъектам РФ».
УФК является юридическим лицом, имеет бланк и печать с изображением Государственного герба РФ и со своим наименованием.
Основной задачей деятельности Управление являются кассовое обслуживание исполнения федерального бюджета субъекта РФ, бюджетов муниципальных образований и иные задачи, установленные законодательством РФ.
Управление в соответствии с возложенными на него задачами и в пределах своей компетенции выполняет следующие функции в установленной сфере деятельности:
открывает и ведет в учреждениях Банка России и кредитных организациях счета федерального бюджета;
ведет учет операций со средствами, приносящими доход деятельности;
ведет реестр обслуживаемых Управлением распорядителей и получателей средств ФБ;
осуществляет распределение, прогнозирование и кассовое планирование средств ФБ на территории субъекта РФ;
иные функции, предусмотренные законодательством РФ.
Организационная структура системы ЗИ состоит из коллегиальных органов, подразделений и специалистов по обеспечению ИБ органов ФК и включают в себя:
специализированные подразделения Минфина России и органов ФК;
межрегиональные (технические) центры ЗИ в составе ряда УФК;
ПДТК по ЗИ в УФК;
работников, отвечающих за ОБИ (при необходимости отделы) в ОФК;
работников подразделений органов ФК, назначенных ответственных лиц за соблюдение требований ИБ на рабочих местах;
учебные центры повышения квалификации специалистов по ЗИ;
подразделения охраны органов ФК.
Организационная структура системы ЗИ органов ФК должна обеспечивать организацию работ на всех уровнях ФК и контролировать состояние защищенности информационных ресурсов. Общее руководство системой ЗИ органов ФК осуществляет начальник ГУФК Минфина России, ответственность за организацию работ по ЗИ в органах ФК несут их руководители, а в структурных подразделениях - их начальники.
2.2 Требования к защите информации от НСД в АС
Защиту информации от НСД в Управлении Федерального казначейства по Республике Адыгея регламентируют нормативные документы.
Учитывая данные нормативные документы, а также акцентируемые классы АС (класс 1 и 2), современный рынок средств защиты конфиденциальной информации можно условно разделить на две группы:
средства защиты для государственных структур, позволяющие выполнить требования нормативно-правовых документов, а также требования нормативно-технических документов (государственных стандартов, нормативных документов ГСССЗИ и т.д.);
средства защиты для коммерческих компаний и структур, позволяющие выполнить рекомендации ISO/IEC 17799:2002 (BS 7799-1:2000) «Управление информационной безопасностью - Информационные технологии. - Information technology - Information security management».
Требования к защите информации от НСД могут накладываться различные.
Во-первых, на это влияет класс АС, который подразумевает обработку информации разных категорий. Рассмотренная ранее классификация АС, подробно описывает данную характеристику.
Во-вторых, важность объекта и стоимость (важность) информации. Если объект, является информационно важным (не говоря уже о государственном объекте, так как на этот случай необходимо руководствоваться исключительно нормативными документами), то в таком случае следует производить оценку информационных ресурсов, информационной системы в целом на определение ее важности (провести аудит информационной безопасности). После этого, как отдельным этапом, формируются требования к защите данного объекта. Одним из требований обеспечения защиты информации в АС, согласно является то, что обработка в АС конфиденциальной информации должна осуществляется с использованием защищенной технологии.
Технология обработки информации является защищенной, если она содержит программно-технические средства защиты и организационные мероприятия, которые обеспечивают выполнение общих требований по защите информации.
Общие требования предусматривают:
наличие перечня конфиденциальной информации, которая подлежит автоматизированной обработке; в случае необходимости возможна ее классификация в пределах категории по целевому назначению, степенью ограничения доступа отдельной категории пользователей и другими классификационными признаками;
наличие определенного (созданного) ответственного подраздела, которому предоставляются полномочия относительно организации и внедрения технологии защиты информации, контроля за состоянием защищенности информации (дальше - служба защиты в АС, СЗИ);
создание КСЗИ, которая являет собой совокупность организационных и инженерно-технических мероприятий, программно-аппаратных средств, направленных на обеспечение защиты информации во время функционирования АС;
разработку плана защиты информации в АС;
наличие аттестата соответствия КСЗИ в АС нормативным документам по защите информации/
Приведенные требования являются базовыми и применяются при защите информации от НСД во всех типах АС.
В общем случае требования к защите секретной информации схожи с требованиями к защите конфиденциальной информации, однако существуют принципиальные отличия. Так как секретная информация имеет высший ранг, то требования, предъявляемые к ней на порядок выше.
Глава 3. Рекомендации по использованию устройств, методов и мероприятий по защите информации в автоматизированных системах
3.1 Организационные и инженерно-технические мероприятия
Организационные меры не требуют больших материальных затрат, но их эффективность подтверждена жизнью и часто недооценивается потенциальными жертвами. Отметим их одну отличительную особенность в сравнении с техническими средствами: организационные меры никогда не становятся провоцирующим фактором агрессии. Они применяются до столкновения со злоумышленником.
Используя опыт многих организаций в области проектирования КСЗИ, стоит отметить, что организационные мероприятия включают в себя создание концепции информационной безопасности, а также:
составление должностных инструкций для пользователей и обслуживающего персонала;
создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
обучение правилам информационной безопасности пользователей.
Соблюдение основных принципов и простых правил позволит предотвратить потерю информации, а вместе с этим и возможный материальный, моральный ущерб, финансовые потери и т.д.
Рекомендации по категорированию информации в информационной системе управления.
Вся информация должна быть категорирована. Категории критичности и связанные с ними меры защиты для производственной информации должны учитывать производственную необходимость в коллективном использовании информации или ограничении доступа к ней, а также ущерб для предприятия, связанный с несанкционированным доступом или повреждением информации.
Следует с осторожностью подходить к интерпретации категорий критичности на документах других организаций, поскольку одинаковый или похожий уровень критичности может быть определен по-другому.
При присвоении категорий критичности следует учесть следующие моменты:
критичная информация и выходные данные систем, содержащие критичную информацию, должны иметь соответствующие категории критичности;
чрезмерное засекречивание информации может привести к неоправданным дополнительным затратам в Управлении;
выходным данным информационных систем, содержащим критичную информацию, должен быть присвоен соответствующий уровень критичности. Этот уровень критичности должен отражать категорию критичности наиболее уязвимой информации в выходных данных.
Так как инженерно-технические мероприятия -- совокупность специальных технических средств и их использование для защиты информации, то выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.
Следовательно, инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа, способствует повышению эффективности КСЗИ.
3.2 Рекомендации по защите информации, обрабатываемой в автоматизированных системах
В учреждении должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.
Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий).
Не рекомендуется располагать ЗП на первых этажах зданий.
Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.
Эксплуатация ОТСС, ВТСС должна осуществляться в строгом соответствии с предписаниями и эксплуатационной документацией на них.
Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.
Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
А также для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).
В случае необходимости, рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти помещения аналоговые аппараты.
При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:
двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;
установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).
Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны.
3.3 Предложение инструкций и правил для пользователей и обслуживающего персонала УФК по РА
На основании проведённого анализа выявлено, что необходимо переработать инструкцию пользователя по соблюдению режима информационной безопасности.
Общие требования, обязанности каждого сотрудника:
обеспечивать, исходя из своих возможностей и специальных обязанностей по обеспечению безопасности информации, защиту от несанкционированного доступа к информации, к которой он имеет санкционированный доступ в силу своих служебных обязанностей;
ни в какой форме не участвовать в процессах несанкционированного доступа к информации, принадлежащей другим сотрудникам и службам;
ни в какой форме не использовать ставшую ему известной в силу исполнения своих функциональных обязанностей информацию не по прямому назначению;
при нарушении установленных правил доступа другими сотрудниками сообщать об этом непосредственному начальнику, ответственным администраторам или в Службу безопасности.
ремонтные и профилактические регламентные работы должны производиться только уполномоченными лицами эксплуатационной службы по согласованию с руководителем (ответственным лицом) подразделения, в котором установлено компьютерное оборудование.
При работе в автоматизированной информационной системе управления пользователь обязан:
сохранять в тайне пароли доступа к системе (системам);
надежно хранить физические ключи (идентификаторы) доступа;
периодически изменять личные пароли, если это предписано регламентом управления доступом;
при случайном получении (сбой механизмов защиты, аварии, небрежность персонала и др.) доступа к чужой конфиденциальной информации прекратить какие-либо действия в системе и незамедлительно сообщить в Службу безопасности и администратору сети;
сообщать в службу безопасности и администратору системы об известных каналах утечки, способах и средствах обхода или разрушения механизмов защиты.
При работе в автоматизированной информационной системе предприятия пользователю запрещается (кроме особо оговорённых случаев):
записывать в любом доступном виде или произносить вслух известные пользователю пароли;
регистрироваться и работать в системе под чужим идентификатором и паролем;
передавать идентификаторы и пароли кому бы то ни было;
оставлять без контроля рабочее место в течение сеанса работы;
позволять производить любые действия с закреплённым за пользователем комплектом программно-аппаратных средств другим лицам;
несанкционированно изменять или уничтожать данные или программы в сети или на внешних (отчуждаемых) носителях;
оставлять без контроля носители критичной информации;
игнорировать системные сообщения и предупреждения об ошибках;
Таким образом, после проведения и реализации всех предложенных мероприятий, будут решены поставленные задачи во введении.
Заключение
На практике защита информации представляет собой комплекс регулярно используемых средств и методов, принимаемых организационных мер и осуществляемых мероприятий с целью систематического обеспечения требуемой надежности информации, генерируемой, хранящейся и обрабатываемой на объекте АС, а также передаваемой по каналам связи. Защита должна носить системный характер, то есть, для получения наилучших результатов все разрозненные виды защиты информации должны быть объединены в единое целое и функционировать в составе единой системы, представляющей собой слаженный механизм взаимодействующих элементов, предназначенных для выполнения задач по обеспечению информационной безопасности.
Более того, КСЗИ предназначена обеспечивать, с одной стороны, функционирование надежных механизмов защиты, а с другой - управление механизмами защиты информации. В связи с этим, должна предусматриваться организация четкой и отлаженной системы управления защитой информации.
Проанализировав особенности каждого класса АС, выявлено, что наиболее требовательными к защите являются 1-й и 2-й классы. Рассмотрение 3-го класса АС было опущено. Однако проектирование системы защиты в такой АС незначительно отличается от рассмотренных подходов.
Исследование порядка создания КСЗИ, показало, что такая разработка обычно состоит из четырех этапов. Наиболее ответственным является третий этап, так как именно на данном этапе реализуются все защитные мероприятия по требованиям и техническому решению.
В работе решены все задачи, и предложения могут быть использованы в дальнейшем при написании ВКР.
Список источников и используемой литературы
Абрамов А.В. Новое в финансовой индустрии: информатизация банковских технологий. -- СПБ: Питер, 1997 г.
Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. -- М: Единая Европа, 1994 г.
Демин В.С. и др. Автоматизированные банковские системы. -- М: Менатеп-Информ, 1997 г.
Крысин В.А. Безопасность предпринимательской деятельности. -- М:Финансы и статистика, 1996 г.
Линьков И.И. и др. Информационные подразделения в коммерческих структурах: как выжить и преуспеть. -- М: НИТ, 1998 г.
Титоренко Г.А. и др. Компьютеризация банковской деятельности. -- М: Финстатинформ, 1997 г.
Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Распределенные сети. -- СПБ: Питер, 1998 г.
Novell NetWare. Руководство пользователя, 1998 г.
Аглицкий И. Состояние и перспективы информационного обеспечения российских банков. -- Банковские технологии, 1997 г. №1.
Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. -- Открытые системы, 1998 г., №6.
Джонсон Джордж, Распределенные системы в многофилиальной структуре. -- PC Magazine/Russian Edition, 1998 г., №10.
Заратуйченко О.В. Концепции построения и реализации информационных систем в банках. -- СУБД, 1996 г., №4.
Кузнецов В.Е. Измерение финансовых рисков. -- Банковские технологии, 1997, №9.
Мур Г. Глобальный информационный рынок. -- Материалы агентства VDM-News, мониторинг иностранной прессы, 14.01.99 г.
Семеновых В.А. Некоторые вопросы информационно-аналитической работы в банке. -- Материалы Семинара «Практические вопросы информационно-аналитической работы в коммерческом банке», 24-26.03.98 г.
Тарасов П.И. Диасофт предлагает комплексные решения для банков. -- Мир ПК, 1998 г., №5.
Материалы агентства «Интерфакс». 1995-99 гг с.41-46.
Духан Е.И., Синадский Н.И., Хорьков Д. А. Применение программно-аппаратных средств защиты компьютерной информации. Учебное пособие / Е.И. Духан, Н.И. Синадский, Д.А. Хорьков; науч. ред. д-р техн. наук, проф. Н.А. Гайдамакин. Екатеринбург: УГТУ-УПИ, 2008. - 182 с.
Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2000. - 316 с.
Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие. М.: Гостехкомиссия России, 1998. - 320 с.
Методы и средства защиты информации. В 2-х томах / Ленков СВ., Перегудов -Д.А., Хорошко В.А., Под ред. В.А. Хорошко. - К. : Арий, 2008. - Том II. Информационная безопасность. - 344 с, ил.
http://www.abbyy.ru
http://www.boss-referent.ru
http://www.sbr.ru
Размещено на Allbest.ru
Подобные документы
Разработка и внедрение информационной и телекоммуникационной системы органов Федерального казначейства Республики Мордовия с учетом обеспечения безопасности данных. Создание автоматизированной системы и пакета прикладных программ "Центр-КС" и "Центр-Ф".
дипломная работа [548,1 K], добавлен 02.07.2011Задачи и функции Управлении федерального казначейства по Чувашской Республике. Организация работы в отделах бюджетного направления и процесс формирования рабочего режима в отделе информационных систем. Практика построения корпоративных систем LanDocs.
отчет по практике [564,2 K], добавлен 30.05.2014Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Анализ проблем информационной безопасности в компьютерной сети организации, подключенной к Интернет. Современные подходы к их решению. Компьютерные вирусы и средства защиты от них. Применение межсетевых экранов как одно из решений проблем безопасности.
дипломная работа [929,0 K], добавлен 27.10.2013Общая характеристика Управления Федерального Казначейства в частности: Территориального отдела №60. Особенности информатизации в работе отдела. Деятельность учреждения с государственной информационной системой государственных муниципальных платежей.
отчет по практике [228,8 K], добавлен 18.05.2014Федеральное казначейство: понятие, цели и задачи. Информационное обеспечение органов казначейства. Организация автоматизированной информационной технологии в органах казначейства. Организация коммуникационной системы органов казначейства.
контрольная работа [22,8 K], добавлен 15.02.2007Информационная безопасность, её цели и задачи. Каналы утечки информации. Программно-технические методы и средства защиты информации от несанкционированного доступа. Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники.
дипломная работа [839,2 K], добавлен 19.02.2017Классификация мер противодействия угрозам информационной безопасности. Системное администрирование. Обеспечение интернет-безопасности на предприятии. Повышение уровня доверия к автоматизированным системам управления. Определение сетевой архитектуры.
дипломная работа [295,5 K], добавлен 03.07.2015Общая характеристика и функции автоматизированной информационной системы. Анализ политики безопасность. Категории пользователей и оценка существующих рисков. Внедрение организационных мер по защите информации, оценка их экономической эффективности.
дипломная работа [6,5 M], добавлен 08.06.2014Исследование теоретических основ и вопросов инженерно-технической защиты информации на предприятии. Разработка информационной системы инженерно-технической защиты информации. Экономическая эффективность внедренных систем защиты информации на предприятии.
курсовая работа [2,3 M], добавлен 26.05.2021