Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти

Автор работы: Пользователь скрыл имя, 20 Мая 2013 в 17:09, дипломная работа

Описание работы

Цель дипломной работы – анализ комплексной системы защиты информации в Федеральном территориальном органе исполнительной власти.
Для достижения поставленной цели необходимо выделить и решить следующие задачи:
изучить этапы построения комплексной системы защиты информации;
проанализировать систему защиты информации в территориальном органе исполнительной власти;
разработать рекомендации по улучшению и дальнейшему усовершенствованию КСЗИ.

Содержание работы

Введение…………………………………………………………………………4
ГЛАВА 1. АНАЛИЗ КСЗИ В УПРАВЛЕНИИ РОССВЯЗЬОХРАНКУЛЬТУРЫ
1.1 Характеристика Управления и объектов его защиты………………….…..7
1.2 Анализ системы защиты информации в Управлении…………………….13
1.2.1 Функции отдела контроля по обеспечению безопасности……………..16
1.2.2 Инженерно- техническая защита Управления…………………………..18
ГЛАВА 2. ПОНЯТИЕ КСЗИ И ПРИНЦИПЫ ЕЁ ФУНКЦИОНИРОВАНИЯ
2.1 Направления комплексной системы защиты информации……………….20
2.2 Принципы построения комплексной системы защиты информации.........38
2.3 Основные этапы построения КСЗИ……………………….………………..42
ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ КСЗИ.
3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры
по Иркутской области и УОБАО с теоретической базой………………...53
Сравнение правового направления……………………………………...53
Сравнение организационного направления…………………………….54
Сравнение инженерно-технического направления…………………….55
Разработка рекомендаций по совершенствованию работы СБ………….56
Заключение………………………………………………………………………62
Список литературы……………………………………

Файлы: 1 файл

Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти.doc

— 819.00 Кб (Скачать файл)

    Целью информационно-аналитической деятельности является общая направленность исследования, ожидаемый конечный результат. Цель исследования указывает на характер задач исследования и достигается посредством их решения. В свою очередь к задачам исследования относится совокупность целевых установок, в которых формулируются основные требования к анализу и решению исследуемой проблемы.

      Исходя из этих определений основная цель информационно-аналитической деятельности заключается в обеспечении руководства достоверной, объективной и полной информацией о намерениях партнеров, смежников, клиентов и контрагентов, о сильных и слабых сторонах конкурентов; сборе данных, позволяющих оказывать влияние на позицию оппонентов в ходе деловых переговоров; оповещении о возможном возникновении кризисных ситуаций; мониторинге и контроле хода реализации заключенных договоров и достигнутых ранее договоренностей.

     К задачам относится:

1. Своевременное  обеспечение руководства надежной  и всесторонней информацией об окружающей предприятие среде. Выявление угроз, которые могут затронуть экономические интересы предприятия и помешать его нормальному функционированию.

2. Организация  максимально эффективной информационной  работы, исключающей дублирование структурными подразделениями предприятия функций друг друга.

3. Выработка  краткосрочных и долгосрочных  прогнозов влияния окружающей  среды на хозяйственную деятельность  предприятия. Разработка рекомендаций  по локализации и нейтрализации  активизирующих факторов риска.

4. Усиление  благоприятных и локализация  неблагоприятных факторов влияния  окружающей среды на хозяйственную  деятельность предприятия (управление  рисками).

4.   Работа с документированной информацией.

    Основная работа в сфере защиты ценной информации состоит в предотвращении несанкционированного доступа, утраты или разглашения.

    Помимо создания перечня конфиденциальных документов, разрабатывается положение об организации конфиденциального делопроизводства, которое устанавливает правила отнесения документов, изданий и других материальных носителей к категории ограниченного распространения, определяет единый порядок их создания, учета, хранения и уничтожения, а так же утверждает правила, определяющие условия обеспечения сохранности в тайне сведений конфиденциального характера.

    Второй не менее важный документ инструкция по организации конфиденциального производства. Данный документ регламентирует работу системы защиты конфиденциальной информации и механизмы её функционирования. Он предназначен для сотрудников, имеющих доступ к сведениям, составляющим КИ, и непосредственно касается их ежедневной работы. Инструкция определяет:

  • Порядок выноса-вноса КД применительно к охраняемой территории
  • Порядок работы с КД вне служебных помещений
  • Порядок изготовления и использования бланков организации, печатей и штампов
  • Порядок использования бланков строгой отчетности
  • Прядок передачи КД в случае ухода в отпуск, командировку, либо увольнение с работы.
  • Порядок подготовки КД, его согласование, в том числе с юристами, финансистами, корректорами, а так же порядок подписи КД
  • Порядок пересылки КД вне контролируемых помещениях.

    Организация конфиденциального делопроизводства является одним из первоочередных действий при создании систем информационной безопасности. Именно на этом этапе закладывается правовая основа, решаются вопросы организации работы с закрытой информацией, персоналом и другими организациями. Работа с документированной информацией относится, как  к организационной, так и  к правовой защите.

При создании системы конфиденциального делопроизводства можно выделить ряд этапов:

1 этап создание обычного  делопроизводства.

2 этап – определение перечня сведений конфиденциального характера с указанием степени конфиденциальности (строго конфиденциально, конфиденциально, для служебного пользования). На этом этапе, как правило, создаётся экспертная коммисия (ЭК) либо выделяется ответственный за эту сферу специалист, в зависимости от масштабов организации, от видов деятельности, от финансовых возможностей, от целесообразности включения информации в круг конфиденциальных сведений.

    ЭК анализирует все списки и составляет обязательный список КД, где указывает не только степень конфиденциальности и сроки хранения, но и ответственное лицо, либо подразделение, количество экземпляров документов, фамилии должностных лиц имеющих право подписывать и утверждать их КД, а также "Перечень сведений, которые не должны разглашаться посторонним лицам в целях личной безопасности сотрудников организации".

3 этап – утверждение перечня сведений конфиденциального характера у руководства, а также определение порядка и сроков переутверждения данного перечня, снижение и снятие грифа конфиденциальности.

4 этап – определение правил конфиденциального бумажного делопроизводства на основе общего бумажного делопроизводства (создание журналов регистрации КД).

5 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера. Установление режимных мер и разграничение доступа.

 6 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).

7 этап – доведение  нормативных документов до сотрудников  в рамках функциональных обязанностей.

8 этап – заключение договоров с персоналом о нераспространении конфиденциальных сведений, которые будут допущены к работе. Этот этап оформляется  при подписании трудового договора.

9 этап – создание  системы учета, обращения и  хранения информации ограниченного  распространения в организации. 

10 этап - создание механизмов контроля за соблюдением конфиденциального делопроизводства.

11 этап - создание механизмов  ответственности за нарушение  правил конфиденциального делопроизводства.

   

5. Регламентация использования технических средств информационной безопасности.

     На предприятии существует определенная совокупность норм, правил, стандартов и процедур, ограничивающих и определяющих формы деятельности связанные с работой технических средств. Создаются должностные инструкции, инструкции по эксплуатации, по безопасности проводится учет оборудования, разрабатываются обучающие программы.

                                  Инженерно- техническая защита

    Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа. 
В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом. 
Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.

             Задачи инженерно-технической защиты информации

    Инженерно-техническая защита информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:

•  что защищать техническими средствами в данной организации, здании, помещении;

• каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств;

• какие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращение;

• как организовать и реализовать техническую защиту информации в организации;

    Мировой опыт организации защиты информации показывает, что на информационную безопасность выделяется порядка 10-20% от общей прибыли предприятия. Из этого следует вывод, что защищать нужно только ту информацию которая: имеет действительную или потенциальную коммерческую ценность в силу её неизвестности третьим лицам и к которой нет свободного доступа на законном основании.

   Поскольку значительную часть расходов на защиту информации составляют затраты на покупку и эксплуатацию средств защиты, то методология инженерно-технической защиты информации должна обеспечивать возможность рационального выбора средств защиты информации.

         Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности и решает следующие задачи:

1. Предотвращение проникновения  злоумышленника к источникам  информации с целью её уничтожения,  хищения или изменения. 

2. Защита носителей  информации от уничтожения в  результате воздействия стихийных сил.

3. Предотвращение утечки  информации по различным техническим  каналам. 

    Для решения поставленных задач необходимо классифицировать возможные технические каналы утечки информации.

 

                Классификация каналов утечки информации:

   Под каналом утечки информации будем понимать физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное получение охраняемых сведений. Для возникновения (образования) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства восприятия и фиксации информации на стороне злоумышленника.

    Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы:

  • визуально-оптические;
  • акустические (включая и акустико-преобразовательные);
  • электромагнитные (включая магнитные и электрические);
  • материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида — твердые, жидкие, газообразные).

    Каждому виду каналов утечки информации свойственны свои специфические особенности.

 Защита информации от утечки по визуально оптическим каналам

    Защита информации от утечки по визуально-оптическому каналу - это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет распространения световой энергии.

    С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется:

  • располагать объекты защиты так, чтобы исключить отражение света в стороны возможного расположения злоумышленника (пространственные ограждения);
  • уменьшить отражательные свойства объекта защиты;
  • уменьшить освещенность объекта защиты (энергетические ограничения);
  • использовать средства преграждения или значительного ослабления отраженного света: ширмы, экраны, шторы, ставни, темные стекла и другие 
    преграждающие среды, преграды;
  • применять средства маскирования, имитации и другие с целью защиты и введения в заблуждение злоумышленника;
  • использовать средства пассивной и активной защиты источника от неконтролируемого распространения отражательного или излученного света и 
    других излучений;
  • осуществлять маскировку объектов защиты, варьируя отражательными свойствами и контрастом фона;
  • применять маскирующие средства сокрытия объектов можно в виде аэрозольных завес и маскирующих сеток, красок, укрытий.

     В качестве оперативных средств сокрытия находят широкое применение аэрозольные завесы. Это взвешенные в газообразной среде мельчайшие частицы различных веществ, которые в зависимости от размеров и агрегатного сочетания образуют дым, копоть, туман. Они преграждают распространение отраженного от объекта защиты света. Хорошими светопоглощающими свойствами обладают дымообразующие вещества.

     Аэрозольные образования в виде маскирующих завес обеспечивают индивидуальную или групповую защиту объектов и техники, в том числе и выпускаемую продукцию.

       Защита информации от утечки по акустическим каналам

     Защита информации от утечки по акустическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.

Информация о работе Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти