Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти

Автор работы: Пользователь скрыл имя, 20 Мая 2013 в 17:09, дипломная работа

Описание работы

Цель дипломной работы – анализ комплексной системы защиты информации в Федеральном территориальном органе исполнительной власти.
Для достижения поставленной цели необходимо выделить и решить следующие задачи:
изучить этапы построения комплексной системы защиты информации;
проанализировать систему защиты информации в территориальном органе исполнительной власти;
разработать рекомендации по улучшению и дальнейшему усовершенствованию КСЗИ.

Содержание работы

Введение…………………………………………………………………………4
ГЛАВА 1. АНАЛИЗ КСЗИ В УПРАВЛЕНИИ РОССВЯЗЬОХРАНКУЛЬТУРЫ
1.1 Характеристика Управления и объектов его защиты………………….…..7
1.2 Анализ системы защиты информации в Управлении…………………….13
1.2.1 Функции отдела контроля по обеспечению безопасности……………..16
1.2.2 Инженерно- техническая защита Управления…………………………..18
ГЛАВА 2. ПОНЯТИЕ КСЗИ И ПРИНЦИПЫ ЕЁ ФУНКЦИОНИРОВАНИЯ
2.1 Направления комплексной системы защиты информации……………….20
2.2 Принципы построения комплексной системы защиты информации.........38
2.3 Основные этапы построения КСЗИ……………………….………………..42
ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ КСЗИ.
3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры
по Иркутской области и УОБАО с теоретической базой………………...53
Сравнение правового направления……………………………………...53
Сравнение организационного направления…………………………….54
Сравнение инженерно-технического направления…………………….55
Разработка рекомендаций по совершенствованию работы СБ………….56
Заключение………………………………………………………………………62
Список литературы……………………………………

Файлы: 1 файл

Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти.doc

— 819.00 Кб (Скачать файл)

● Организует разработку тактических принципов использования средств автоматизации, сигнализации, связи и физической защиты.

● Организует физическую защиту объектов, пропускной  режим и осуществляет оперативно-методическое руководство работами по технической защите помещений, объектов и охраняемой территории учреждения и принимает меры, направленные на обеспечение их эффективности.

● Разрабатывает меры по обеспечению физической защиты персонала и учреждения.

●  Участвует в разработке и согласовании технических заданий на разработку   рабочей документации по оснащению объектов предприятия техническими средствами охраны и системами видеонаблюдения, осуществляет технический надзор в ходе монтажных, пусконаладочных работ и сдачи их в эксплуатацию.

● Осуществляет контроль технического состояния и функционирования технических средств охраны и пожарной безопасности, организовывает и проводит обучение  работников Службы режима  правилам их применения.

●  Участвует в подборе и расстановке работников Службы режима.

 

               1.2.2 Инженерно- техническая защита Управления   Россвязьохранкультуры по Иркутской области и УОБАО

  

     Важное место в системе безопасности занимают технические средства защиты, используемые службой безопасности для контроля, а так же для контроля за действиями сотрудников отдела охраны во время исполнения ими служебных обязанностей.

Служба безопасности имеет следующие техническое  оснащение:

  • систему видео и аудио наблюдения,
  • охранно-пожарную сигнализацию,
  • система контроля и управления доступом,
  • система радио и телефонной связи,
  • система охранного освещения,
  • программно-аппаратные средства

    С помощью системы видео и аудио наблюдения, контролируется вход и выход с объекта лиц, выборочно отслеживаются отдельные лица, находящиеся на объекте, просматриваются внутренние помещения (в том числе закрытые) и территория учреждения. 

   Охранно-пожарная сигнализация, служит для выдачи сигнала тревоги при попытках проникновения или возникновения пожаров на охраняемых объектах.

   Система контроля и управления доступом на охраняемом объекте предназначена для пропуска людей. На контрольно – пропускном пункте установлен турникет с блокирующим его механизмом, доступ на объект осуществляется по средствам пластиковых карт и временных бумажных пропусков.

     Система радио и телефонной связи, обеспечивает связь как внутри охраняемого объекта, так и за его пределами.

     Система  охранного освещения на объекте позволяет охране контролировать территорию.

     С помощью  программно-аппаратных средств,  обеспечивается безопасность соединения внутри сети предприятия,  контролируется интернет трафик, разграничивает доступ персонала к базам данных, оптимизируется работа персонала.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                              

 

 

 

 

                                ГЛАВА 2. ПОНЯТИЕ КСЗИ И   ПРИНЦИПЫ ЕЁ  ФУНКЦИОНИРОВАНИЯ

              2.1 Направления комплексной системы защиты информации

 

Создание эффективной  комплексной системы защиты информации, требует грамотного, продуманного, обоснованного, конкретизированного  подхода.  Выявление внутренних и внешних дестабилизирующих факторов, изучение методов и технологий враждебного воздействия, введение в непрерывную эксплуатацию интегрированных систем ЗИ (кот в дальнейшем будут противостоять противоправным действиям, будут контролировать уровень безопасности), предотвращение либо снижение до минимума случайных угроз  и это всего лишь часть необходимой работы по создания КСЗИ.  Причем функционирование КСЗИ не должно препятствовать эффективности производства предприятия и обязано соответствовать нормативно-правовой базе государства.

    КСЗИ включает в себя 3 основные направления обеспечения безопасности информационных активов предприятия:

-правовое,

             -организационное,

-инженерно-техническое.

    Каждое из этих направлений имеет свою специфику, особенности, методы, средства. Но только их комплексное использование может привести к эффективной защите.

                                   Правовая защита

    С точки зрения государственного регулирования отношения связанные с коммерческой тайной, образуют нормы различных отраслей права. Центральное место среди источников правового регулирования занимает федеральный закон от 22 августа 2004г. № 122 ФЗ «О Государственной тайне » и Закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ ГК РФ. Первый упорядочивает отношения между лицами, обладающими государственной тайной, лицами, желающими получить доступ к ней на законном основании и представителями государственной власти, получающими доступ к такой информации по долгу службы и обязанными хранить ее. Закон уточняет и конкретизирует случаи наступления ответственности за разглашение или незаконное использование государственной тайны, а также предусматривает ситуации, когда лица, получившие доступ к государственной тайне помимо воли ее обладателя, но в тоже время не имевшие умысла на получение доступа, не несут за это ответственности.

    Во втором федеральном законе раскрывается понятие «информация, предусматриваются правомочия обладателя информации, право на доступ к информации, гарантии и порядок реализации данного права, различные формы использования современных информационных технологий, таких, как информационные системы, информационно-телекоммуникационные сети, а также определяются основы государственной политики в области применения информационных технологий. Следует также отметить, что использование понятия «информационные технологии» в наименовании и тексте Федерального закона признано более целесообразным по сравнению с применением такого неопределенного понятия, как «информатизация» Кроме того, Федеральным законом определяются понятие и виды информационных систем, требования к созданию и эксплуатации государственных эксплуатационных систем».

 

    Основополагающим документом СЗИ является концепция и политика ИБ.

    Политики ИБ в соответствии с практическим правилом управления информационной безопасностью ISO/IEC 17799:2000 представляет собой следующий документ:

    а) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

    б) изложение целей и принципов информационной безопасности, сформулированных руководством;

    в) краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

    1) соответствие законодательным требованиям и договорным обязательствам;

    2) требования в отношении обучения вопросам безопасности;

    3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

    4) управление непрерывностью бизнеса;

    5) ответственность за нарушения политики безопасности;

     г) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

     д) ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи, Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.

    Необходимо, чтобы в учреждении назначалось ответственное за политику безопасности должностное лицо, которое отвечало бы за ее реализацию. Данный документ, определяет общую систему взглядов в организации на проблему защиты информации и пути решения этой проблемы с учетом накопленного опыта и современных тенденций развития средств и способов защиты.

     Концепция ИБ представляет собой документ регламентирующий  функции, обязанности, ответственность и отношения персонала в компетенции СЗИ.

     В наше время сформировался определенный подход к реализации вопроса засекречивания информации. Так как всякая деятельность учреждения должна быть юридически оформлена, одной из первоочередных задач по защите конфиденциальной информации является разработка соответствующих нормативных документов, регламентирующих деятельность всех звеньев учреждения в этом направлении.

                             Организационная защита

     Организационное направление ЗИ может включать в себя ряд аспектов. В методическом пособии [8]  приводится  5 пунктов:

1. Работа с персоналом. Во многих публикациях, относительно безопасности предпринимательства приводятся сведения о том, что сохранность 80% конфиденциальной информации зависит от правильного подбора, расстановки, контроля и воспитания кадров, персонала, преданного фирме или предприятию. В комплексной системе управления коммерческого предприятия проблемы кадрового направления и обеспечения собственной безопасности тесно связаны между собой. С одной стороны, персонал необходимо рассматривать как самостоятельный объект защиты от различных угроз, таких, как: переманивание специалистов конкурирующими фирмами, вербовка сотрудников предприятия конкурирующими и криминальными структурами, кражи, шантаж с целью склонения к должностным нарушениям.

    С другой  стороны, персонал может сам  выступать в роли субъекта  многочисленных угроз безопасности  коммерческой структуры, реализуемых в форме: уничтожения либо искажения конфиденциальной информации, хищение материальных носителей и финансовых капиталов, разглашение коммерческой тайны.

    Наличие у  персонала положительных качеств минимизирует возникновение угроз. Соответственно самым главным направление в управлении персонала является подбор и расстановка кадров.

     В международной практике существуют две основные модели оценки кадров - американская и японская. Первая делает акцент на профессиональные качества людей. При подборе учитывается уровень знаний, специализированность, опыт работы, деловые качества. Наблюдается стремление подыскивать готового специалиста, отвечающего конкретным требованиям.

    Японская модель акцентирует внимание на личностных качествах и способностях человека. После приема на работу идет овладение конкретными профессиональными навыками в соответствии с принятыми в организации программами развития персонала.   Эта модель направлена на создание единого коллективного духа организации, персонал в которой будет трудиться долгое время. Преимущество такой модели в уменьшении угроз со стороны персонала. Каждый работник считает себя неотъемлемым элементом общей системы.

    В российской практике существуют обе модели оценки, в зависимости от рода деятельности, специфики работы и руководства предприятия.

 2. Организация режима и охраны. Режим представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, помещения, к информации и документам. Любой режим базируется на разрешительной системе доступа. Право на доступ, в свою очередь подтверждается допуском, который одновременно является «правовым актом согласия собственника информации на передачу ее для работы конкретному лицу» [8]. Допуск сотрудника к работе с конфиденциальной информацией выдается при соблюдении определенных требований:

          - подписанный приказ руководителя  о приеме на работу, либо назначении  на должность лица в функциональные  обязанности которого входит  работа с конкретной информацией.

          -подписание договора о неразглашении  КИ

          -знание сотрудником мер и обязанностей  по соблюдению конфиденциальности  информации, прописанные в нормативно-методической  документации (наличие необходимых  условий работы, наличие системы контроля, соответствие функциональным обязанностям сотрудника и др.).

    Допуск выдается только полномочным лицом и только в письменном виде, может иметь разные степени, уровни. При сбое в работе системы защиты либо обнаружении факта утраты информации, должны немедленно вводиться ограничения на доступ либо блокирование до окончания служебного расследования.

3. Информационно-аналитическая деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности, анализ и управление информационными рисками.

    Современные методы управления предпринимательской деятельностью ежедневно требуют новой информации о положении той или иной финансовой, деловой структуры на отечественном и международном рынке. Эти сведения становятся товаром, который производится, помогая руководителю защитить свой бизнес от конкурентов, принять верное решение и выжить в условиях жесткой конкуренции. Аналитика в деле обеспечения безопасности предпринимательской деятельности все эффективнее внедряется в новое российское бытие. Аналитическая деятельность, когда - то бывшая уделом спецслужб, придворных политических обозревателей, ученых и т.д., активно встает на службу бизнесу, становится материальной движущей силой и защитой рыночной экономики.

    Содержание информационно-аналитической деятельности - приведение разрозненных сведений в логически обоснованную систему зависимостей (пространственно-временных, причинно-следственных и иных), позволяющих дать правильную оценку как всей совокупности фактов, так и каждому из них в отдельности.

Информация о работе Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти