Тема: Информационная безопасность

• Вид работы:
  Другое по теме: Информационная безопасность
• Предмет:
  Основы права
• Когда добавили:
  15.01.2018 18:00:49
• Тип файлов:
  MS WORD
• Проверка на вирусы:
  Проверено - Антивирус Касперского

Другие экслюзивные материалы по теме

• Полный текст:
  
  

  Содержание

  
  

  Введение3

  1. Риски информационной безопасности4

  1.1 Анализ рисков информационной безопасности4

  1.2 Классификация активов информационно-телекоммуникационной системы и анализ уязвимостей и вероятности угроз9

  1.3 Оценка уязвимостей активов16

  2. Комплекс организационных мер обеспечения информационной безопасности и защиты информации24

  2.2 Государственное регулирование в области информационной безопасности и защиты информации24

  2.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия28

  3. Выбор и обоснование методики расчёта экономической эффективности37

  Заключение41

  Список используемой литературы44

  
  
  

  Введение

  
  
  

  В качестве предметной области для данного проекта задана область политики информационной безопасности.

  Целью данного курсового проекта является раскрытие актуальных проблемы обеспечения информационной безопасности

  В соответствии с целью работы были поставлены следующие задачи работы:

  -Установление границ рассмотрения и выявление недостатков и отрицательных факторов в существующей системе обеспечения информационной безопасности и защите информации организации;

  -Определение существующих способов и методов защиты;

  -Определение актуальных планируемых средств защиты;

  -Оценивание рисков;

  -Выбор необходимых защитных мер (организационных и технических);

  -Расчет срока окупаемости выбранных способов и методов защиты.

  Объект дипломного исследования торговая сеть.

  Предмет исследования данной дипломной работы защита информации организации.

  Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы.

  Первая глава посвящена анализу рассматриваемой информационной системы, составлению модели актуальных угроз.

  Во второй главе даны проектные решению по созданию комплексной системы защиты. Разработаны рекомендации по устранению угроз.

  В третьей главе рассматривается механизм внедрения системы защиты и дано технико-экономическое обоснования целесообразности внедрения разработанной системы защиты информации.

  1. Риски информационной безопасности

  
  

  1.1 Анализ рисков информационной безопасности

  
  
  

  Рассмотрим в работе все аспекты информационной безопасности на примере конкретного предприятия - торговая сеть «Монетка».

  Отделы сдают отчеты обо всех случаях нарушения информационной безопасности с целью дальнейшего изучения отделом ИТ и принятия мер по недопущению повторных инцидентов.

  Ежеквартально проводится профилактическая проверка линий связи на предмет прослушивания, обрывов и помех.

  Ежеквартально проводится профилактическая проверка охранных средств защиты от незаконного проникновения.

  Основные аспекты информационной безопасности:

  1. Выявлением уязвимостей системы защиты и иных проблем при работе с информацией занимается отдел ИТ-безопасности. Отдел ИТ-безопасности выпускает постановление об устранении неполадок, основанное на результатах профилактических проверок и служебных записок от сотрудников, и непосредственно устранением занимается группа системного администрирования.
  2. Определением необходимых затрат занимаются сотрудники управления, выделение достаточных затрат на обеспечение информационной безопасности осуществляется после согласования с генеральным директором, а в его отсутствие с техническим директором.
  3. Выбор конкретных мер, методов, средств и системы защиты ложится на сотрудников отдела ИТ-безопасности при согласовании с группой системного администрирования.

  Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации

  Обоснование выбора активов:

  1. Конфиденциальная информация (документы компании, электронные сообщения) к данному активу относятся документы, содержащие конфиденциальную информацию о финансовой деятельности, сотрудниках, договорах и иной деятельности компании, которая не должна быть доступна для посторонних. Электронная переписка сотрудников должна быть под защитой в виду того, что она может содержать переписку с заказчиками и прикрепленные документы.

  Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. Выполним идентификацию активов.

  Основными видами деятельности торговая сеть «Монетка» является предоставление полного спектра услуг в области аутсорсинга IT-инфраструктуры и облачных вычислений для клиентов среднего, малого и крупного бизнеса, холдинговых структур и госсектора.

  Выбор информационных активов продиктован следующими факторами:

  1. Содержательность и частотой использования при реализации основных бизнес-процессов компании.
  2. Наибольшая уязвимость для компании.

  Рассмотрим информационные активы торговая сеть «Монетка» подлежащие оценки

  - персональные данные о клиентах компании;

  - персональные данные о сотрудниках компании;

  - договора на осуществление услуг;

  - отчеты о выполненных проектах;

  - база данных информационной системы компании;

  - сведения о провайдерах компании;

  Оборудование передачи информации;

  - сервер компании.

  Владельцами информационных активов, ответственными за их использование, изменение и сопровождение являются:

  - отдел IT (начальник отдела, менеджеры отдела);

  - отдел кадров предприятия (начальник отдела кадров, инспектор, юрист консульт);

  - бухгалтерия предприятия;

  - операционный отдел банка;

  - отдел информационной безопасности (начальник отдела, системный администратор).

  Идентификация активов информационно-телекоммуникационной системы банка включает в себя анализ и инвентаризацию:

  1. помещений с инженерным оборудованием;
  2. информации;
  3. линий связи и телекоммуникационных сетей, включая доступ к ресурсам сети Интернет;
  4. прикладных программно-технических комплексов;
  5. персонала.

  Любой актив, который является частью информационно-телекоммуникационной системы банка, должен быть четко определен на этом шаге, с определением мест его хранения и/или циркуляции.

  К примеру, такими активами могут быть: электронная документация (системная документация, инструкции пользователя/администратора, рабочие процедуры, планы, материалы обучения), письменная документация (контракты, инструкции, финансовые документы, документы, содержащие секретную информацию конфиденциальную, для служебного пользования, банковскую тайну), программные активы (программно-технические комплексы, системные приложения, средства разработки), физические активы (персональные компьютеры, сервера и сетевое оборудование, хранилища данных и т.д.), человеческий фактор (персонал), службы (компьютерные и телекоммуникационные службы, которыми пользуется банк, включая такие моменты как электропитание и телекоммуникационные подключения например, провайдеры сети Интернет).

  Среди активов удобно отдельно (в отдельных главах) выделить аппаратные, программные и схему сети.

  Пример информации, которую можно занести в аппаратную часть активов, и которую полезно получить при инвентаризации серверов: изготовитель и модель, мощность процессора, оперативная память (RAM), память (HDD), сетевое подключение, функция, местоположение. Для персональных/технологических компьютеров: изготовитель и модель, владелец и цель использования, сетевое подключение, соединение с внешними сетями (тип соединения), местоположение. Для сетевого оборудования: изготовитель и модель, тип, IP-адрес.

  Для инвентаризации программного обеспечения существует как минимум три вида классификации: операционные системы, прикладное/технологическое программное обеспечение, и так называемое программное обеспечение офисной поддержки. Прикладное программное обеспечение охватывает основные банковские приложения и приложения, используемые в персональных компьютерах банка. Программное обеспечение офисной поддержки должно содержать приложения, используемые для поддержки прикладного программного обеспечения (например, программное обеспечение защиты данных, антивирусное программное обеспечение, сервер Интернета, обработки ошибок, программное обеспечение, контролирующее неисправности, и т.д.). Пример информации, которую можно занести в программную часть активов, и которую полезно получить при инвентаризации приложений: изготовитель или поставщик, серийный номер, номер версии приложения, номер патча, число установленных копий, число поддерживаемых лицензий, тип лицензии.

  Схема сети должна полностью показывать подключения всех компонентов информационно-телекоммуникационной системы банка, включая такие подробности, как: идентификация всех внутренних и внешних подключений (Интернет, модемы, беспроводные соединения и т.д.), описание способа и типа подключения (DSL, ADSL, dialup, беспроводное и т.д.), ширина канала подключения, фиксация зашифрованных каналов или других типов каналов для безопасной коммуникации, представление типа и емкости сетевых подключений (роутеры, маршрутизаторы, концентраторы), представление основных компонентов для информационной безопасности системы (межсетевые экраны, системы обнаружения и системы предотвращения вторжений), представление открытых коммуникационных портов между сетевыми устройствами.

  В итоге выполнения этого шага должна быть создана информационно-аппаратная книга, которая содержит все активы информационно-телекоммуникационной системы банка, включая все аппаратные средства, программный и телекоммуникационный инвентарь банка, схему сети. Должно сложиться понимание самых важных компонентов системы, способы передачи и потоки информации через систему.

  
  

  1.2 Классификация активов информационно-телекоммуникационной системы и анализ уязвимостей и вероятности угроз

  Следующим шагом для оценки рисков является классификация и оценка активов информационно-телекоммуникационной системы банка. Здесь необходимо, главным образом, ранжировать данные, документы и системы относительно их важности для успешного функционирования банка и потенциального ущерба от неверного (либо отсутствия) способа защиты/хранения важной информации. Ранжирование и оценку документов можно делать совместно с персоналом банка, который непосредственно работает с этими документами и знает о реальных и потенциальных потерях, которые банк может понести от неверного управления важной документацией. Также необходимую информацию можно получить от внутреннего и внешнего аудита. Полученные значения по активам информационно-телекоммуникационной системы должны быть в корреляции с расходами на покупку и обслуживание активов и потенциального вреда от потери конфиденциальности, целостности и доступности этих активов. Банк должен разработать свою собственную шкалу важности для активов информационно-телекоммуникационной системы, которая покажет потери банка от нарушенной конфиденциальности, целостности и доступности информации. Пример такой шкалы: очень низко, низко, средне, высоко и очень высоко. В случае, когда нет никакой сортировки по важности активов и информации, все активы и всю информацию нужно считать очень важными, и все они должны быть подчинены надлежащему контролю безопасности.

  В итоге выполнения этого шага информационно-аппаратная книга должна быть обновлена классификацией и оценкой каждого актива, относительно каждого критерия конфиденциальность, целостность, доступность.

  Анализ уязвимостей и вероятности угроз. Эту задачу можно разбить на две подзадачи: идентификация угроз и уязвимостей, анализ вероятности угроз и возможных последствий для банка.

  Идентификация угроз и уязвимостей.

  Уязвомости могут иметь:

  1. физическую природу недостаточность физической безопасности;
  2. административную природу нехватка должным образом обученного персонала, неправильность/недостаточность рабочих процедур;
  3. техническую природу неправильная техническая конфигурация.

  Определять уязвимости удобно в соответствии с идентифицированными активами. Ниже пример типичного анализа уязвимостей.

  Помещение:

  1. стихийные бедствия/антропогенная катастрофа;
  2. недостаточная защита площадок/зданий/помещений от несанкционированного доступа и утечки информации;
  3. отсутствие/нестабильность электропитания;
  4. отсутствие/нестабильность работы систем кондиционирования воздуха;
  5. недостаточный мониторинг работы оборудования инженерной инфраструктуры;
  6. отсутствие технического обслуживания инженерной инфраструктуры;
  7. недостаточные меры предупреждения пожара;
  8. доступность топологии линий связи;
  9. доступность топологии сети.

  Информация:

  1. открытый доступ к информации;
  2. отсутствие политики «чистого стола»;
  3. неверная классификация активов;
  4. отсутствие проверки целостности информации;
  5. неправильное управление базами данных;
  6. недостаточная защита носителя данных от механических повреждений;
  7. недостаточный контроль над своевременным уничтожением данных;
  8. доступность резервных/архивных данных;
  9. некорректная, несвоевременная и неполная обработка данных;
  10. уязвимости операционных систем;
  11. недостаточный контроль над резервированием данных.
  12. Линии связи и сети, включая доступ к ресурсам Интернет:
  13. отсутствие резервных линий связи;
  14. не контролированное соединение по телефонной линии;
  15. недостаточная защита трафика (для информации с ограниченным доступом);
  16. недостаточная защита от публичного доступа к внутренней сети;
  17. незащищенная точка доступа в сеть Интернет;
  18. неправильное управление сетью и доступом к критическим ресурсам;
  19. неадекватная пропускная способность сети;
  20. некорректные методы аутентификации пользователей сети;
  21. передача/хранение паролей в незащищенном виде;
  22. незащищенный удаленный доступ к ресурсам сети;
  23. неверное подтверждение отправки/получения сообщений;
  24. использование неэкранированных кабелей сети, что может привести к утечке информации по техническим каналам.

  Прикладные программно-технические комплексы:

  1. повреждение/ухудшение параметров работы компьютерной техники, которая используется для программно-технических комплексов;
  2. размещение компьютерной техники, которое создает условия утечки информации визуальными, акустическими или электромагнитными путями;
  3. подключение неавторизованного оборудования;
  4. не контролированное использование программного обеспечения;
  5. нарушение правила «двух рук» при работе с электронными платежными документами;
  6. отсутствие/неточность синхронизации времени;
  7. неверное предоставление прав доступа и недостаточный контроль доступа;
  8. не контролированная замена пользователей;
  9. неправильное/недостаточное тестирование;
  10. неправильный/сложный интерфейс пользователя;
  11. недостаточная система защиты для управления паролями, ключами, сертификатами;
  12. неправильная политика безопасности или ее отсутствие;
  13. отсутствие документации с обязательными записями при внесении изменений в программное обеспечение или его конфигурацию;
  14. повторное использование носителей информации при отсутствии процедур контролированного уничтожения записанной ранее информации;
  15. использование криптографических алгоритмов с низкой криптостойкостью;
  16. отсутствие защиты от вирусов и вредоносных кодов;
  17. неправильное управление на различных стадиях жизненного цикла проекта программно-технического комплекса;
  18. неправильное обслуживание приложений и баз данных;
  19. использование нелицензированного программного обеспечения.

  Персонал:

  1. отсутствие/недостаток персонала;
  2. недостаточный контроль во время приема новых сотрудников;
  3. предоставление излишних полномочий/функций управления;
  4. отсутствие достаточной квалификации;
  5. отсутствие механизмов мониторинга/контроля;
  6. отсутствие правил/стандартов/процедур;
  7. отсутствие персональных обязательств сотрудников;
  8. отсутствие процедур делегирования/передачи/распределения полномочий;
  9. отсутствие отмены прав доступа при увольнении/переводе сотрудника;
  10. наличие условий для появления «обиженных» сотрудников;
  11. угроза от средств массовой информации (неадекватные интервью);
  12. угроза от конкурентов;
  13. несоответствие рабочего времени.

  Для каждой определенной банком уязвимости существует определенный риск реализации угроз информации в информационно-телекоммуникационной системе банка.

  Проведем оценку активов компании торговая сеть «Монетка», результаты представим в таблице 1.

  
  

  Таблица 1- Идентификация активов торговая сеть «Монетка»

  Вид деятельностиНаименование активаФорма представленияВладелец активаКритерии определения стоимостиРазмерность оценкиКоличественная оценка (ед.изм)КачественнаяИнформационные активыЗаказ услугиДанные о клиентеЭлектронная формаОтдел ИТУтрата конфиденциальности200 тыс.высокаяПредоставление услугПерсональные данные о сотрудникахЭлектронная формаБД по счетам клиентовУтрата конфиденциальности200 тыс.высокаяПредоставление услугДоговор на оказание услугБумажный документБД по счетам клиентовРепутация фирмы100 тыс.малаяПродажа услугиОтчеты о продажах услугБумажный документБухгалтерияУтрата конфиденциальности200 тыс.высокаяАвтоматизированная обработка заказов клиентовБаза данных информационной системы компании закодированном видеЭлектронная формаОтдел ИТИмидж компании100 тыс.малаяЗаказ услугСведения о провайдерахЭлектронная формаОтдел ИТУтрата конфиденциальности100 тыс.высокаяЗаключение договора на банковское обслуживаниеПерсональные данные о

  клиентахЭлектронная формаОперационный отдел банкаУтрата конфиденциальности100 тыс.высокаяРабота с банком по интернет соединениюПерсональные данные о

  клиентахЭлектронная формаБД по счетам клиентовУтрата конфиденциальности100 тыс.высокаяАктивы программного обеспеченияПредоставление услугРазвернутое программное обеспечениеЭлектронная формаОтдел ИТУтрата конфиденциальности100 тыс.высокаяФизические активыЗаказ и продажа услугОборудование передачи информацииОборудованиеОтдел информационной безопасностипервоначальная стоимость актива100 тыс.МалаяЗаказ и продажа услугСервер компанииОборудованиеОтдел информационной безопасностипервоначальная стоимость актива100 тыс.СредняяПеречень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлен в таблице 2.

  
  

  Таблица 2 Перечень сведений конфиденциального характера торговая сеть «Монетка»

  № п/пНаименование сведенийГриф конфиденциальностиНормативный документ, реквизиты, №№ статей1.Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа.конфиденциальноРуководство по защите конфиденциальной информации предприятия.2.Требования по обеспечению сохранения служебной тайны сотрудниками предприятия.КонфиденциальноСтатья 139 ГК РФ3.Персональные данные сотрудниковконфиденциальноФедеральный закон № 152

  Результат ранжирования активов представлен таблице 3.

  
  

  Таблица 3 - Результаты ранжирования активов

  Наименование активаЦенность актива (ранг)Данные о клиенте1Персональные данные о сотрудниках1Сведения о провайдерах1Отчеты об оказанных услугах банком1Сервер компании2Договор на предоставление услуг3База данных информационной системы компании в закодированном виде3Оборудование передачи информации3

  Среди активов, имеющих наибольшую ценность необходимо назвать

  1. Данные о клиенте

  2. Персональные данные о сотрудниках

  3. Сведения о провайдерах

  4. Отчеты об оказанных услугах банка

  5. Сервер компании

  
  

  1.3 Оценка уязвимостей активов

  
  

  Оценку уязвимостей информационных активов проводят эксперты, в качестве которых выступают администратор отдела экономической безопасности, начальник отдела экономической безопасности, начальник отдела продаж.

  Оценку уязвимости информационных активов целесообразно проводить в соответствии в соответствии с приложением D стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007. В приложении D приводятся примеры типичных уязвимостей, которые могут быть использованы при анализе уязвимости.

  Уязвимость некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации (определение сформулировано на основе документа ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»). Т.е. уязвимыми являются компоненты системы, наиболее подверженные к угрозам.

  Согласно описанным выше функциям рассматриваемой ИС наиболее уязвимыми являются программно-аппаратные средства, осуществляющие сбор, передачу, обработку, хранение и другие операции с информацией, в том числе с конфиденциальными и персональными данными.

  Производя атаку, нарушитель использует уязвимости информационной системы. Если нет уязвимости, то невозможна и атака, которая использует ее. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Для создания базы данных уязвимостей необходимо рассмотреть различные варианты классификаций уязвимостей.

  Классификация уязвимостей по степени риска:

  1. высокий уровень риска уязвимость позволяет атакующему получить доступ к узлу с правами администратора в обход средств защиты;
  2. средний уровень риска уязвимость позволяет атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу;
  3. низкий уровень риска уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.

  Каждый информационный актив получает оценку эксперта о вероятности реализации уязвимости.

  Оценку угроз информационным активам проводят эксперты, в качестве которых выступают администратор отдела экономической безопасности, начальник отдела экономической безопасности, начальник отдела продаж.

  Процесс глобализации информационно-телекоммуникационных комплексов, внедрение информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства, существенно обострили проблему зависимости качества процессов транспортирования информации, от возможных преднамеренных и непреднамеренных воздействий нарушителя на передаваемые данные пользователя, информацию управления и аппаратно-программные средства, обеспечивающие эти процессы.

  Увеличение объемов хранимой и передаваемой информации приводят к наращиванию потенциальных возможностей нарушителя по несанкционированному доступу к информационной сфере торговой сети и воздействию на процессы ее функционирования.

  Усложнение применяемых технологий и процессов функционирования «Монетка» приводит к тому, что аппаратно-программные средства, используемые в «Монетка», объективно могут содержать ряд ошибок и недекларированных возможностей, которые могут быть использованы нарушителями.

  Отсутствие в «Монетка» необходимых методов и способов защиты и протекции организации в условиях информационного противоборства делает компанию в целом уязвимой от возможных враждебных акций, недобросовестной конкуренции, а также криминальных и иных противоправных действий. Организационную структуру системы обеспечения информационной защищенности компании «Монетка» можно представить в виде, совокупности следующих уровней:

  - уровень 1 - Руководство организации;

  - уровень 2 - Подразделение ОИБ;

  - уровень 3 - Администраторы штатных и дополнительных методов и способов защиты и протекции организации;

  - уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках);

  - уровень 5 - Конечные пользователи и обслуживающий персонал.

  Таблица 4 - Анализ выполнения основных задач по обеспечению информационной безопасности

  Основные задачи по обеспечению информационной безопасностиСтепень выполненияобеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;средняяорганизация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;высокаяорганизация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;высокаяпредотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;средняявыявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;высокаяобеспечение режима безопасности при осуществлении ᴛтаких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;средняяобеспечение охраны территории, зданий помещений, с защищаемой информацией.средняя

  При разработке программного обеспечения в «Монетка» следуют основным стандартам, регламентирующим:

  - показатели качества программных средств;

  - жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;

  - тестирование программных средств для обнаружения и устранения дефектов программ и данных;

  - испытания и сертификацию программ для удостоверения достигнутого качества и защищенности их функционирования.

  Причинами случайных деструктивных воздействий, которым подвергается информация в процессе ввода, хранения, обработки, вывода и передачи, могут быть:

  - отказы и сбои аппаратуры;

  - помехи на линиях связи от воздействий внешней среды;

  - ошибки человека как звена системы;

  - ошибки разработчиков аппаратного и (или) программного обеспечения;

  - аварийные ситуации.

  К методам защиты от случайных воздействий можно отнести:

  - помехоустойчивое кодирование;

  - контролепригодное и отказоустойчивое проектирование;

  - процедуры контроля исправности, работоспособности и правильности функционирования аппаратуры;

  - самоконтроль или самотестирование,

  - контроль хода программ и микропрограмм.

  Преднамеренные угрозы связаны с действиями нарушителя, который при этом может воспользоваться как штатными (законными), так и другими каналами доступа к информации в информационной системе.

  Опираясь на информацию, представленную в предыдущих пунктах, можно сделать вывод, что разработка комплексной системы защиты в рассматриваемом информационной системе является актуальной задачей.

  Для решения этой задачи необходимо разработать комплексную систему защиты персональных данных.

  Для создания эффективной комплексной системы защиты при минимальных вложениях необходимо разделение существующей информационной системы на несколько ИС с разным классом, в одной из ИС будут обрабатываться обезличенные данные, не требующие защиты. Разделение ИС с понижением класс каждой из них так же поможет, не снижая функциональность, уменьшить количество объектов защиты в сети.

  В рассматриваемой ИС отсутствует система защиты ИС. Для соответствия требования законодательства и устранения актуальных угроз необходима разработка комплексной системы защиты. В качестве исполнителя выступает специалист по защите информации, объектом защиты является конфиденциальная информация (персональные данные 3 категории), система защиты будет разработана в соответствии с требованиями государства, руководящими документами, методиками ФСТЭК России.

  Сотрудники должны соблюдать меры по обеспечению информационной безопасности, а именно:

  По возможности не допускать нахождение посторонних лиц в помещениях, в которых ведутся работы с секретной и конфиденциальной информацией. Если же посторонние лица все же были допущены (уборщицы, электрики, и другие сотрудники, не относящиеся к данному предприятию, а так же сотрудники, не имеющие соответствующего уровня доступа), то следует следить за ними, во избежание утечки информации.

  Не передавать закрепленные за сотрудниками ключи для авторизации в закрытой сети, а так же не передавать пароли пользователей открытой сети, другим сотрудникам. В случае с ключами каждый сотрудник должен брать его сам из специального сейфа находящийся в 1 отделе, а по завершению рабочего дня должен положить его обратно. Сейф открывается только ответственным за него сотрудником.

  Сотрудники закрытой сети не могут пользоваться своими электронными носителями. В случае необходимости в передаче информации из открытой сети в закрытую и наоборот, следует взять специальные электронные носители, зарегистрированные в системе и хранящиеся в отделе, под расписку.

  Кодовые пароли, от дверей в комнаты, должны знать только администраторы и сотрудники данного отдела. Другие сотрудники, что бы войти в данное помещение, должны позвонить в дверной звонок. Двери с кодовыми замками должны быть всегда закрыты, за исключением случаев, когда в отделе находятся сотрудники обслуживающего персонала не относящиеся к данному предприятию (уборщицы, электрики, и др.).

  Печатные документы с грифом «Секретно» должны храниться только в 1 отделе, остальные документы должны храниться в отведенном для этого месте. Секретные документы берутся операторами под роспись, и должны быть возвращены до конца рабочего дня.

  Интернет должен использоваться только для работы.

  Изменять параметры системы может только администратор безопасности.

  Существуют три стратегий обеспечения информационной безопасности: оборонительная, наступательная и упреждающая.

  Выбор оборонительной стратегии означает, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом, использованию технических средств контроля помещений, в которых расположено терминальное и серверное оборудование.

  Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.

  Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мирового передового опыта, проведение независимого аудита уровня обеспечения безопасности информационных ресурсов организации.

  Для устранения угроз была выбрана оборонительная стратегия, из-за того, что наиболее уязвимым является недостаточная защищенность помещений от несанкционированного проникновения.

  
  
  
  
  
  
  
  
  
  

  2. Комплекс организационных мер обеспечения информационной безопасности и защиты информации

  
  

  2.2 Государственное регулирование в области информационной безопасности и защиты информации

  
  

  В настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных (далее ПДн). Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных» и принятых во исполнение его положений, нормативно-правовых актов и методических документов.

  В силу требований указанного Федерального закона «О персональных данных» все информационные системы персональных данных (далее ИСПДн), созданные до введения его в действие, должны быть приведены в соответствие установленным требованиям не позднее 1 июля 2011 года.

  Другими нормативными актами, оказывающие правовое регулирование в области защиты персональных данных являются:

  Федеральный закон Российской Федерации от 27 июля 2006 г. №149ФЗ «Об информации, информационных технологиях и о защите информации».

  Постановление Правительства РФ от 17 ноября 2007г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

  Постановление Правительства РФ от 15 сентября 2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

  Федеральный закон РФ 27.07.2006 г. N 152-ФЗ "О персональных данных"

  Постановление Правительства РФ от 15 сентября 2008 г. N 687 г."Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

  Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"

  Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

  Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных система персональных данных" от 21 февраля 2008 года

  Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" от 21 февраля 2008 года

  Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

  Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных»

  Приказ Министерства связи и массовых коммуникаций РФ от 21 декабря 2011 г. N 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Введение реестра операторов, осуществляющих обработку персональных данных»

  Приказ Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных"

  Рассмотрим основные определения, используемые в законодательстве.

  Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

  Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных

  Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

  Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

  Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

  Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

  Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

  Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

  Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

  
  

  2.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия

  
  

  На торговая сеть «Монетка» реализована политика безопасности, основанная на избирательном способе управления доступом. Такое управление в торговая сеть «Монетка» характеризуется заданным администратором множеством разрешенных отношений доступа. Матрица доступа заполняется непосредственно системным администратором компании. Применение избирательной политики информационной безопасности соответствует требованиям руководства и требований по безопасности информации и разграничению доступа, подотчетности, а также имеет приемлемую стоимость ее организации. Реализацию политики информационной безопасности полностью возложено на системного администратора торговая сеть «Монетка».

  Среди документов которые должны быть разработаны для обеспечения организационной безопасности являются:

  - положение о пропускном режиме компании;

  - регламент конфиденциального документооборота.

  Положение о пропускном режиме компании торговая сеть «Монетка» определяет порядок доступа лиц на объекты и помещения компании, а так же порядок вноса, ввоза, выноса или вывоза имущества компании.

  Для реализации организационно-административной основы создания системы обеспечения информационной безопасности и защиты информации торговая сеть «Монетка» необходимо создание приказов, распоряжений, директив и инструкций, направленных на обеспечение информационной безопасности предприятия.

  В торговая сеть «Монетка» для обеспечения организационных норм информационной безопасности была разработана и введена в действие приказом генерального директора ООО политика информационной безопасности, представленная в приложении Б. В этом же приложении представлен и сам приказ директора торговая сеть «Монетка» на введение в действие политики информационной безопасности.

  Основным лицом, на которое будет возложен контроль реализации мероприятий политики безопасности торговая сеть «Монетка» является системный администратор отдела экономической безопасности. В связи с этим, а так же с учетом новой политики информационной безопасности для этого должностного лица разработана инструкция по информационной безопасности.

  
  
  
  
  
  

  Таблица 5 - Существующие стратегии обеспечения информационной безопасности

  
  

  Учитывая тот факт, что в настоящее время для устранения информационной безопасности будут рассматриваться в дипломном проекте наиболее опасных угроз в качестве стратегии информационной безопасности выберем оборонительную стратегию, под которой будем понимать защиту от наиболее вероятных и опасных угроз путем создания «защитной оболочки», включающей разработку организационных и программно-технических мер для информационной системы в целом, так и для ее отдельных компонентов.

  К техническим средствам защиты информации относятся технические средства, программные средства, программно-технические средства, вещества и (или) материал, предназначенные или используемые для защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.

  Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, которые обеспечивают:

  - защиту территории и помещений КС от проникновения нарушителей;

  - защиту аппаратных средств КС и носителей информации от хищения;

  - предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС;

  - предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами КС и линиями передачи данных;

  - организацию доступа в помещения КС сотрудников;

  - контроль над режимом работы персонала КС;

  -контроль над перемещением сотрудников КС в различных производственных зонах;

  - противопожарную защиту помещений КС;

  - минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.

  Так как не существует формальных методов синтеза вариантов предотвращения у гроз информации, то разработка мер по защите информации проводится эвристическим путем на основе знаний и опыта соответствующих специалистов. Перечень типовых способов и средств защиты информации приведен в таблице 6.

  
  

  Таблица 6 - Типовые способы и средства предотвращения угроз

  Угрозы и способы их реализацииТиповые способы и средства предотвращения угроз12Физический контакт злоумышленника с источником информацииМеханические преграды (заборы, КПП, двери, взло-мостойкие стекла, решетки на окнах, хранилища, сейфы), технические средства охраны, телевизионные средства наблюдения, дежурное и охранное освещение, силы и средства нейтрализации угрозПожарТехнические средства пожарной сигнализации, средства пожаротушения, огнестойкие хранилища и сейфыПродолжение таблицы 6

  НаблюдениеМаскировочное окрашивание, естественные и искусственные маски, ложные объекты, аэрозоли, пены, радиолокационные отражатели, радио- и звукопоглощающие покрытия, теплоизолирующие материалы, генераторы радио- и гидроакустических помехПодслушиваниеСкремблирование и цифровое шифрование, звукоизолирующие конструкции, звукоизолирующие материалы, акустическое и вибрационное зашумление, обнаружение, изъятие и разрушение закладных устройствПерехватВыполнение требований по регламенту и дисциплине связи, отключение источников опасных сигналов, фильтрация и ограничение опасных сигналов, применение буферных устройств, экранирование, пространственное и линейное зашумление

  В качестве аппаратного средства обеспечения безопасности используется средство зашиты Cisco 1605. Маршрутизатор снабжен двумя интерфейсами Ethernet (один имеет интерфейсы TP и AUI, второй - только TP) для локальной сети и одним слотом расширения для установки одного из модулей для маршрутизаторов серии Cisco 1600. В дополнение к этому программное обеспечение Cisco IOS Firewall Feature Set делает из Cisco 1605-R идеальный гибкий маршрутизатор/систему безопасности для небольшого офиса. В зависимости от установленного модуля маршрутизатор может поддерживать соединение, как через ISDN, так и через коммутируемую линию или выделенную линию от 1200 бит/сек до 2Мбит/сек, Frame Relay, SMDS, x.25.

  Для защиты информации владелец ЛВС должен обезопасить "периметр" сети, например, установив контроль в месте соедениения внутренней сети с внешней сетью. Cisco IOS обеспечивает высокую гибкость и безопасность как стандартными средствами, такими как: Расширенные списки доступа (ACL), системами блокировки (динамические ACL) и авторизацией маршрутизации. Кроме того Cisco IOS Firewall Feature Set доступный для маршрутизаторов сетии 1600 и 2500 обеспечивает исчерпывающие функции системы защиты включая:

  1. контекстное Управление Доступом (CBAC);
  2. блокировка Java;
  3. журнал учета;
  4. обнаружение и предотвращение атак;
  5. немедленное оповещение.

  Кроме того, маршрутизатор поддерживает работу виртуальных наложенных сетей, туннелей, систему управления приоритетами, систему резервирования ресурсов и различные методы управления маршрутизацией.

  В качестве программного средства защиты используется решение Kaspersky Open Space Security.

  Компьютеры информационной сети фокусного предприятия характеризуются следующими свойствами:

  1. имеют возможность обмениваться информацией между собой с помощью сетевых технологий (то есть не только мобильных носителей);
  2. могут хранить и обрабатывать информацию на выделенных сетевых серверах, если это требуется в работе;
  3. могут получать и отправлять электронные письма;
  4. имеют доступ в Интернет, если это предусмотрено и разрешено политикой организации;
  5. могут использовать другие сетевые технологии сетевой принтер, факс.

  Особое место при оценке информационной безопасности занимает оценка антивирусной защиты. Проблема антивирусной защиты одна из приоритетных проблем безопасности корпоративных информационных ресурсов организации.

  Появление вируса и его распространение внутри корпоративной сети может привести к сбоям и прекращению её функционирования и даже остановке всего производственного процесса. А без надлежащих методов и средств эта ситуация может оказаться катастрофической для организации. Также это может привезти к значительным финансовым убыткам.

  При современном активном развитии информационных технологий растёт число компьютерных вирусов и каналов их проникновения, каждой компании необходимо принять меры для обеспечения защиты корпоративной сети от вредоносных программ. Тем более что в большинстве случаев на существующих предприятиях - состояние антивирусной защиты неудовлетворительное.

  Среди средств составляющих техническую архитектуру организации торговая сеть «Монетка» необходимо назвать комплексы шифрования, сетевое оборудование, дополнительное оборудование.

  Secret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов:

  1. №98-ФЗ (“о коммерческой тайне”);
  2. №152-ФЗ (“о персональных данных”);
  3. №5485-1-ФЗ (“о государственной тайне”);
  4. СТО БР (Стандарт Банка России).

  Сертификаты ФСТЭК России позволяют использовать систему защиты информации от несанкционированного доступа Secret Net для защиты:

  1. конфиденциальной информации и государственной тайны в автоматизированных системах включительно;
  2. информационных систем обработки персональных данных.

  При подключении ИС к сетям общего пользования (Интернет) появляется необходимость в использовании средств защиты периметра и VPN. Таким образом, уже имеющийся список средств защиты необходимо дополнить АПКШ «Континент» 3.5 с сервером доступа.

  Secret Net 7 это система защиты информации на серверах и рабочих станциях от несанкционированного доступа.

  Имеющиеся сертификаты ФСТЭК позволяют использовать СЗИ для защиты ИС до 1 класса включительно.

  Аппаратно-программный комплекс шифрования "Континент", сертифицирован ФСБ России и ФСТЭК России и применяется для построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.

  Аппаратно-программный комплекс шифрования «Континент» обеспечивает:

  1. объединение через Интернет локальных сетей предприятия в единую сеть VPN;
  2. подключение удаленных и мобильных пользователей к VPN по защищенному каналу;
  3. организация защищенного взаимодействия со сторонними организациями.

  Таким образом, для обеспечения требований по информационной безопасности выбраны и описаны технические средства. Выбранные средства позволят обеспечить необходимый уровень безопасности.

  Для внедрения этих технических средств необходимо:

  1. определить круг лиц ответственных за выполнение;
  2. провести изменения в структуре информационной системы;
  3. заключить договор с компанией имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации;
  4. составить техническое задание на создание комплексной системы защиты информации;
  5. разработать пакет организационно-распорядительных документов для КСЗИ (положения, приказы, инструкции);
  6. внедрить систему обеспечения безопасности информации;
  7. аттестовать комплексную систему защиты персональных данных на соответствие требованиям по защите персональных данных;

  8. получить лицензию на деятельность по технической защите .

  Применение созданной комплексной системы защиты информации заключается в следующем:

  1. назначение специалиста по ЗИ, ответственного за функционирование системы защиты;
  2. разработка списка сотрудников допущенных к работе с персональных данных 1 категории;
  3. выдача и хранение ключей доступа ответственным сотрудникам;
  4. проведение сканирование защищаемых информационных ресурсов сканерами безопасности.

  При внедрении комплексной системы защиты информации для информационной системы персональных данных 1 класса необходимо обеспечить:

  1. управление доступом;
  2. регистрация и учет;
  3. обеспечение целостности;
  4. физическую охрану системы защиты;
  5. периодическое тестирование средств защиты.

  
  

  3. Выбор и обоснование методики расчёта экономической эффективности

  
  
  

  Для выработки подхода к оценке экономической эффективности предполагаем, что при нарушении защищенности информации происходит некоторый экономический ущерб, а с другой стороны выполнение мероприятий по обеспечению защиты информации требует финансовых расходов. Стоимость защиты отражается суммой расходов на защиту и потерями нарушения безопасности.

  Естественное желание снизить расходы, связанные с защитой информации. Считаем, что экономическая эффективность системы защиты информации может быть оценена объемом ущерба, который мог быть нанесен организации в случае отсутствия системы защиты информации.

  Для применения описанного подхода необходимо

  - оценить ожидаемые потери при нарушении защиты информации;

  - оценить связь между средствами потраченными на защиту информации и уровняем защищенности.

  Определим уровень затрат Ri„ который обеспечивает необходимый уровень защищенности. Для этого необходимо иметь полный список угроз информации, оценку опасности каждой из угроз, размеры затрат, необходимых для устранения угрозы.

  Для определения уровня затрат используем соотношение

  
  

  Ri = 10(Si + Vi 4), (1)

  
  

  где: Si коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы; Vi коэффициент, характеризующий значение возможного ущерба при ее возникновении.

  Используем таблицу 7 для определения коэффициентов Si и Vi.

  Таблица 7 - Значения коэффициентов Si и Vi

  
  

  Суммарная стоимость потерь определяется формулой

  
  

  R= (2)

  
  

  где, N количество угроз информационным активам.

  Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.

  Данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации представлены в таблице 8.

  
  

  Таблица 8 - Содержание и объем постоянного ресурса, выделяемого на защиту информации

  Организационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.час)Стоимость, всего (тыс.руб.)1Администрирование системы20016503302Аудит системы безопасности20040080Стоимость проведения организационных мероприятий, всего410Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (тыс.руб)Кол-во (ед.измерения)Стоимость, всего (тыс.руб.)1Регламентные работы и техобслуживание10110Стоимость проведения мероприятий инженерно-технической защиты10Объем постоянного ресурса, выделяемого на защиту информации420

  Суммарное значение ресурса выделяемого на защиту информации составляет 420+491.3=911,3 тыс. руб.

  Оценим динамику величин потерь за период 3 года.

  а) суммарное значение ресурса, (R∑) выделенного на защиту информации, составило 911,3 тысяч рублей;

  б) объем среднегодовых потерь компании (Rср) из-за инцидентов информационной безопасности составлял 905 тыс. рублей;

  в) прогнозируемый ежегодный объем потерь (Rпрогн) составит 326 тыс. рублей

  г) динамика потерь представлена в таблице 8.

  Рассчитаем срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:

  
  

  Ток = R∑ / (Rср Rпрогн) (3)

  
  

  911,3/(905-286)=1,47 года и графическим, как это представлено на рисунке 1.

  
  

  Рисунок 1 - Динамика потерь

  
  

  Таким образом, расчет экономической эффективности системы защиты информации показал целесообразность такой разработки это доказывается снижением уровня затрат на уровне 620 тыс,руб. Срок окупаемости системы составляет 1.5 года 18 месяцев.

  
  

  Заключение

  
  
  

  В ходе выполнения дипломной работы были достигнуты все поставленные задачи:

  1. Анализ информационной системы и циркулирующей в ней информации.

  Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о клиентах, провайдерах, отчетах о продажах услуг и персональных данных сотрудников. Такие данные являются персональными, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты информации.

  1. Анализ требований Российского законодательства в области защиты персональных данных в коммерческих учреждениях.

  Несмотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение информационной системы, рассматриваемой в дипломном проекте, в соответствие со всеми требованиями является основной задачей для компании. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов компании торговая сеть «Монетка». Соответствие требованиям особо актуально ввиду обработки данных касающегося персональных данных клиентов, поставщиков, и сотрудников.

  Исходная информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Для устранения списка угроз необходимо создать комплексную систему защиты, а именно предложить решения по обеспечению безопасности конфиденциальной информации при ее обращении в информационной системе торговая сеть «Монетка».

  1. Разработка рекомендаций по изменению структуры информационной системы.

  На первом этапе было были выделены бизнес-процессы, организации, на основании которых сформированы информационные активы предприятия. Затем составлено все множество уязвимостей и угроз для информационных активов. После этого было проведено сужения круга информационных активов нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе, которой с использование руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети.

  1. Разработка комплексной системы защиты данных.

  В первом разделе была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требования государственных регуляторов.

  1. Разработка рекомендаций по внедрению системы защиты персональных данных.

  В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты информации. Для чего были выбраны необходимые мероприятия. Так же были даны рекомендации по применению комплексной системы защиты информации торговая сеть «Монетка». Для рассматриваемой системы были выбраны следующие технические средства:

  1. система защиты информации Secret Net 7;
  2. аппаратно-программный комплекс шифрования «Континент»;
  3. сервер контроля доступа TrustAccess
  4. Программное решение Honeypot Manager.
  5. антивирус Касперского7.0 для Windows Server.

  Расчет экономической эффективности предлагаемых решений по защите информации торговая сеть «Монетка» включал в себя как Расчет экономической эффективности системы защиты информации показал целесообразность такой разработки это доказывается снижением уровня затрат. Срок окупаемости системы составляет 1.5 года 18 месяцев.

  
  
  

  Список используемой литературы

  
  
  

  1. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
  2. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем».
  3. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».
  4. ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
  5. Доктрина информационной безопасности Российской Федерации
  6. Федеральный закон РФ от от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
  7. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3
  8. Безопасность и управление доступом в информационных системах. А.В. Васильков, И.А. Васильков. Учебное пособие. М.: ФОРУМ, 2010. 368 с.
  9. Защита конфиденциальной информации. В.Я. Ищейнов, М.В. Мецатунян. Учебное пособие. М.: ФОРУМ, 2012. 256 с.
  10. Комплексная система защиты информации на предприятии, Н.В. Гришина. Учебное пособие. М.: ФОРУМ, 2011. - 240 с.
  11. Информационная безопасность и защита информации, Мельников В. П., М.: Академия, 2012, - 336 стр.
  12. Программно-аппаратная защита информации. П.Б. Хореев. Учебное пособие. М. : ФОРУМ, 2012. 352 с.
  13. Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере; Форум - Москва, 2014. - 368 c.
  14. Защита информации в системах мобильной связи; Горячая Линия - Телеком - , 2013. - 176 c.
  15. Кузнецов А. А. Защита деловой информации; Экзамен - Москва, 2013. - 256 c.
  16. Мельников, Виталий Викторович Защита информации в компьютерных системах; М.: Финансы и статистика; Электроинформ - Москва, 2013. - 368 c.
  17. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2012г.)
  18. Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах.Константинова Л.А., Писеев В.М.МИЭТ
  19. Методы и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В.И., Писеев В.М. МИЭТ
  20. Некраха А. В., Шевцова Г. А. Организация конфиденциального делопроизводства и защита информации; Академический Проект - , 2012. - 224 c.
  21. Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)
  22. Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru)
  23. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
  24. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
  25. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»
  26. Северин В. А. Комплексная защита информации на предприятии; Городец - Москва, 2013. - 368 c.
  27. Спесивцев, А.В.; Вегнер, В.А.; Крутяков, А.Ю. Защита информации в персональных ЭВМ; М.: Радио и связь - Москва, 2012. - 192 c.

  
  
Скачать неопознаный вид работы