Автор работы: Пользователь скрыл имя, 20 Мая 2013 в 17:09, дипломная работа
Цель дипломной работы – анализ комплексной системы защиты информации в Федеральном территориальном органе исполнительной власти.
Для достижения поставленной цели необходимо выделить и решить следующие задачи:
изучить этапы построения комплексной системы защиты информации;
проанализировать систему защиты информации в территориальном органе исполнительной власти;
разработать рекомендации по улучшению и дальнейшему усовершенствованию КСЗИ.
Введение…………………………………………………………………………4
ГЛАВА 1. АНАЛИЗ КСЗИ В УПРАВЛЕНИИ РОССВЯЗЬОХРАНКУЛЬТУРЫ
1.1 Характеристика Управления и объектов его защиты………………….…..7
1.2 Анализ системы защиты информации в Управлении…………………….13
1.2.1 Функции отдела контроля по обеспечению безопасности……………..16
1.2.2 Инженерно- техническая защита Управления…………………………..18
ГЛАВА 2. ПОНЯТИЕ КСЗИ И ПРИНЦИПЫ ЕЁ ФУНКЦИОНИРОВАНИЯ
2.1 Направления комплексной системы защиты информации……………….20
2.2 Принципы построения комплексной системы защиты информации.........38
2.3 Основные этапы построения КСЗИ……………………….………………..42
ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ КСЗИ.
3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры
по Иркутской области и УОБАО с теоретической базой………………...53
Сравнение правового направления……………………………………...53
Сравнение организационного направления…………………………….54
Сравнение инженерно-технического направления…………………….55
Разработка рекомендаций по совершенствованию работы СБ………….56
Заключение………………………………………………………………………62
Список литературы……………………………………
Структурными подразделениями Управления являются отделы.
В штатное расписание отделов включаются должности федеральной государственной гражданской службы, предусмотренные Реестром должностей государственной гражданской службы Российской Федерации, а также могут включаться должности, не являющиеся должностями федеральной государственной гражданской службы.
Управление является юридическим лицом, имеет печать с изображением Государственного герба Российской Федерации и со своим наименованием, иные печати, штампы и бланки установленного образца, счета, открываемые в соответствии с законодательством Российской Федерации. Финансирование расходов на содержание Управления осуществляется за счет средств, предусмотренных в федеральном бюджете. В конце года начальники всех подразделений Управления предоставляют в планово - финансовый отдел примерные расходы их отделов на будущий год.
В Управлении для более эффективного противодействия угрозам и создания условий безопасной и стабильной работы создана система комплексной защиты информации и обеспечено ее правильное функционирование.
Обязательными направлениями
обеспечения безопасности
В дальнейшем объектом
будем называть любую
Угроза безопасности объекта - это событие, действие, процесс или явление, которое посредством воздействия на людей, материальные ценности и информацию может привести к нанесению ущерба управлению, остановке его деятельности.
Для того, чтобы построить эффективную систему защиты, необходимо провести анализ защищаемого объекта с точки зрения возможных угроз его деятельности.
С точки зрения обеспечения
безопасности необходимо
● оборудование;
Все эти объекты защиты
могут быть подвержены
Информационные ресурсы, являющиеся собственностью государства, находящиеся в ведении Управления Россвязьнадзора по Иркутской области в соответствии с его компетенцией, подлежат учету и защите.
Режим защиты конфиденциальной информации устанавливается руководителем Управления.
Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен учреждению.
Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнито-оптической и иной основе.
Управление осуществляет свою деятельность во взаимодействии с другими территориальными органами федеральных органов исполнительной власти на территории Иркутской области, соответственно в нем содержатся наиболее важные информационные активы. Под информационными активами организации понимается часть нематериальных активов, включающих в себя ценные информационные ресурсы, в которых реализованы знания, умения и навыки персонала, полученные и реализованные с использованием современных информационных технологий [8].:
● информация содержащая сведения, отнесенные к государственной тайне, ограниченного распространения и конфиденциальную информацию, представленные в виде документов на бумажных носителях, документированных информационных массивов и баз данных (производственные отчеты, включающие обобщенные технические, экономические и финансовые показатели Управления, информация об управленческой деятельности, планы по обеспечению непрерывного функционирования информационного обеспечения, информация раскрывающая уязвимость сооружений и устройств в центральном управлении или в филиалах структурных подразделений, базы персональных данных сотрудников, базы данных клиентов, алгоритмы работ систем защиты);
● средства и системы информатизации различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, средства и системы связи и передачи данных, средства приема, передачи и обработки информации, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;
● технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует).
Для нормального функционирования необходим не только комплекс защитных мер и мероприятий но и необходим постоянный приток информации, который в дальнейшем реализуется в производственные процессы. Информационные активы не только оптимизируют работу персонала но и становятся необходимым фактором успешного функционирования Управления.
1.2 Анализ системы защиты информации в Управлении Россвязьохранкультуры по Иркутской области и УОБАО
Защита информации строится в соответствии с требованиями ФЗ «О Государственной тайне» от 22 августа 2004г. № 122 ФЗ "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ ГК РФ, ТК РФ, и других федеральных законов РФ, а также в соответствии с локальными нормативными актами, регламентирующими защиту информации Управления Россвязьохранкультуры по Иркутской области и УОБАО.
В соответствии с основными положениями Доктрины информационной безопасности Российской Федерации обеспечение необходимого уровня безопасности государственных информационных систем и ресурсов, их целостности и конфиденциальности основано на применении единых требований защиты информации от несанкционированного доступа.
В Управлении Федеральной службы по надзору в сфере связи по Иркутской области, которая является важной частью государственной системы, основными направлениями повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федерального органа государственной власти являются:
● обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференцирования ее уровня в федеральном органе государственной власти;
● разработка модели угроз информационной
безопасности;
● определение технических требований
и критериев определения критических
объектов информационно-технологической
инфраструктуры, создание реестра критически
важных объектов, разработку мер по их
защите и средств надзора за соблюдением
соответствующих требований;
● обеспечение эффективного мониторинга
состояния информационной безопасности;
● совершенствование нормативной
правовой и методической базы в области
защиты государственных информационных
систем и ресурсов,
развитие средств защиты информации, систем обеспечения безопасности электронного документооборота, системы контроля действий государственных служащих по работе с информацией, развитие и совершенствование защищенных средств обработки информации общего применения.
В систему защиты информации входят следующие средства и методы, используемые в защите объекта:
Выделим несколько групп средств и методов, используемых в системе защиты государственного объекта:
1. Организационно-правовые.
2. Инженерно-технические.
3. Информационно-технологические.
4. Оперативно-технические.
5. Моральное-психологические.
6. Специальные.
Организационно-правовые средства
Организационно-правовые средства и методы регламентируют весь технологический цикл работы управления, от методики подбора кадров и приема их на работу, до положений о функциональных обязанностях любого сотрудника, знание ответственности, установленной законодательством. Каждая инструкция или норматив должны прямо или косвенно учитывать вопросы безопасности и влиять на работоспособность и эффективность системы комплексной защиты.
Инженерно-технические средства
Инженерно-технические средства и методы - это аппаратура и коммуникации, приспособления, конструкции, а также порядок их использования для обнаружения угроз объекту, создания преград на пути их распространения и для ликвидации угроз. Инженерно-технические средства и методы составляют основу, фундамент комплексной системы защиты; их качество и надежность во многом определяют уровень безопасности.
Информационно-технологические средства
Информационно-технологические средства и методы относятся к сфере защиты электронной информационной сети.
Средства и методы этой группы защиты предусматривают классификацию циркулирующей в компьютерной сети информацию на: конфиденциальную информацию, критическую информацию, отсутствие или порча которой сделает невозможной повседневную работу управления в целом.
Безопасность информации невозможно обеспечить отдельно, без защиты всей компьютерной техники, коммуникаций и применяющихся программ. В связи с этим все технические средства обработки информации, программное обеспечение и базы данных объединяют в понятие ресурс, безопасность которого будет зависеть от таких характеристик, как:
а) конфиденциальность - способность ресурса быть доступным только пользователям управления, имеющим на это разрешение и недоступным всем остальным;
б) целостность - способность ресурса быть полным, неизменным и работоспособным во все необходимые периоды работы пользователей;
в) доступность - способность ресурса быть в нужном для пользователя месте, в нужное для него время и в нужной форме.
Оперативно-технические средства
Оперативно-технические средства и методы предназначены для скрытого, конспиративного контроля за действиями людей и за информацией, оказывающие существенное влияние на безопасность управления, его персонала.
Морально-психологические средства
К таким мероприятиям относят:
1. Проведение периодических
2. Обязательное ознакомление
Специальные средства и методы
Специальные средства и методы используются для получения, сбора и анализа информации о субъектах, представляющих источник опасности.
Эффективность системы комплексной защиты информации управления может быть обеспечена путем рационального сочетания всех рассмотренных функций, средств и методов. Они должны объединяться в единый, целостный механизм защиты. При этом необходимо периодически проверять качество и надежность всей системы защиты.
Следует учитывать и то обстоятельство, что на каждом участке системы защиты задействован человек. Следовательно, важнейшим фактором, способствующим обеспечению безопасности, является личная заинтересованность персонала в надежном функционировании защиты.
Отдел выполняет следующие функции:
● Организует работу по выполнению решений, приказов и распоряжений руководства Учреждения по обеспечению безопасности его деятельности и по обеспечению режима ГТ.
● Определяет единство действий и организует защиту, безопасность, сохранность материальных ценностей в обычных и чрезвычайных условиях.
● Разрабатывает, обновляет и дополняет инструкции, положения и иные локальные нормативные акты по деятельности Службы режима.
● Осуществляет систематический анализ состояния физической защищенности объектов, закрытых территорий и территорий ограниченного доступа с целью выработки рекомендаций руководству предприятия о необходимости совершенствования системы режима.
● Организует и обеспечивает систему контролируемого доступа и специального пропускного режима в зданиях и помещениях предприятия.
● Организует, обеспечивает и контролирует выполнение требований внутри объектного режима.
● Определяет систему режима и участвует в ее организации и обеспечении работы выделенных помещений и объектов.