Автор работы: Пользователь скрыл имя, 20 Мая 2013 в 17:09, дипломная работа
Цель дипломной работы – анализ комплексной системы защиты информации в Федеральном территориальном органе исполнительной власти.
Для достижения поставленной цели необходимо выделить и решить следующие задачи:
изучить этапы построения комплексной системы защиты информации;
проанализировать систему защиты информации в территориальном органе исполнительной власти;
разработать рекомендации по улучшению и дальнейшему усовершенствованию КСЗИ.
Введение…………………………………………………………………………4
ГЛАВА 1. АНАЛИЗ КСЗИ В УПРАВЛЕНИИ РОССВЯЗЬОХРАНКУЛЬТУРЫ
1.1 Характеристика Управления и объектов его защиты………………….…..7
1.2 Анализ системы защиты информации в Управлении…………………….13
1.2.1 Функции отдела контроля по обеспечению безопасности……………..16
1.2.2 Инженерно- техническая защита Управления…………………………..18
ГЛАВА 2. ПОНЯТИЕ КСЗИ И ПРИНЦИПЫ ЕЁ ФУНКЦИОНИРОВАНИЯ
2.1 Направления комплексной системы защиты информации……………….20
2.2 Принципы построения комплексной системы защиты информации.........38
2.3 Основные этапы построения КСЗИ……………………….………………..42
ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ КСЗИ.
3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры
по Иркутской области и УОБАО с теоретической базой………………...53
Сравнение правового направления……………………………………...53
Сравнение организационного направления…………………………….54
Сравнение инженерно-технического направления…………………….55
Разработка рекомендаций по совершенствованию работы СБ………….56
Заключение………………………………………………………………………62
Список литературы……………………………………
Целью информационно-аналитической деятельности является общая направленность исследования, ожидаемый конечный результат. Цель исследования указывает на характер задач исследования и достигается посредством их решения. В свою очередь к задачам исследования относится совокупность целевых установок, в которых формулируются основные требования к анализу и решению исследуемой проблемы.
Исходя из этих определений основная цель информационно-аналитической деятельности заключается в обеспечении руководства достоверной, объективной и полной информацией о намерениях партнеров, смежников, клиентов и контрагентов, о сильных и слабых сторонах конкурентов; сборе данных, позволяющих оказывать влияние на позицию оппонентов в ходе деловых переговоров; оповещении о возможном возникновении кризисных ситуаций; мониторинге и контроле хода реализации заключенных договоров и достигнутых ранее договоренностей.
К задачам относится:
1. Своевременное
обеспечение руководства
2. Организация
максимально эффективной
3. Выработка
краткосрочных и долгосрочных
прогнозов влияния окружающей
среды на хозяйственную
4. Усиление
благоприятных и локализация
неблагоприятных факторов
4. Работа с документированной информацией.
Основная работа в сфере защиты ценной информации состоит в предотвращении несанкционированного доступа, утраты или разглашения.
Помимо создания перечня конфиденциальных документов, разрабатывается положение об организации конфиденциального делопроизводства, которое устанавливает правила отнесения документов, изданий и других материальных носителей к категории ограниченного распространения, определяет единый порядок их создания, учета, хранения и уничтожения, а так же утверждает правила, определяющие условия обеспечения сохранности в тайне сведений конфиденциального характера.
Второй не менее важный документ инструкция по организации конфиденциального производства. Данный документ регламентирует работу системы защиты конфиденциальной информации и механизмы её функционирования. Он предназначен для сотрудников, имеющих доступ к сведениям, составляющим КИ, и непосредственно касается их ежедневной работы. Инструкция определяет:
Организация конфиденциального делопроизводства является одним из первоочередных действий при создании систем информационной безопасности. Именно на этом этапе закладывается правовая основа, решаются вопросы организации работы с закрытой информацией, персоналом и другими организациями. Работа с документированной информацией относится, как к организационной, так и к правовой защите.
При создании системы конфиденциального делопроизводства можно выделить ряд этапов:
1 этап создание обычного делопроизводства.
2 этап – определение перечня сведений конфиденциального характера с указанием степени конфиденциальности (строго конфиденциально, конфиденциально, для служебного пользования). На этом этапе, как правило, создаётся экспертная коммисия (ЭК) либо выделяется ответственный за эту сферу специалист, в зависимости от масштабов организации, от видов деятельности, от финансовых возможностей, от целесообразности включения информации в круг конфиденциальных сведений.
ЭК анализирует все списки и составляет обязательный список КД, где указывает не только степень конфиденциальности и сроки хранения, но и ответственное лицо, либо подразделение, количество экземпляров документов, фамилии должностных лиц имеющих право подписывать и утверждать их КД, а также "Перечень сведений, которые не должны разглашаться посторонним лицам в целях личной безопасности сотрудников организации".
3 этап – утверждение перечня сведений конфиденциального характера у руководства, а также определение порядка и сроков переутверждения данного перечня, снижение и снятие грифа конфиденциальности.
4 этап – определение правил конфиденциального бумажного делопроизводства на основе общего бумажного делопроизводства (создание журналов регистрации КД).
5 этап – определение порядка допуска сотрудников к сведениям конфиденциального характера. Установление режимных мер и разграничение доступа.
6 этап – создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.).
7 этап – доведение
нормативных документов до
8 этап – заключение договоров с персоналом о нераспространении конфиденциальных сведений, которые будут допущены к работе. Этот этап оформляется при подписании трудового договора.
9 этап – создание
системы учета, обращения и
хранения информации
10 этап - создание механизмов контроля за соблюдением конфиденциального делопроизводства.
11 этап - создание механизмов
ответственности за нарушение
правил конфиденциального
5. Регламентация использования технических средств информационной безопасности.
На предприятии существует определенная совокупность норм, правил, стандартов и процедур, ограничивающих и определяющих формы деятельности связанные с работой технических средств. Создаются должностные инструкции, инструкции по эксплуатации, по безопасности проводится учет оборудования, разрабатываются обучающие программы.
Инженерно- техническая защита
Инженерно-технические мероприятия,
проводимые для защиты информационной
инфраструктуры организации, могут включать
использование защищенных подключений,
межсетевых экранов, разграничение потоков
информации между сегментами сети, использование
средств шифрования и защиты от несанкционированного
доступа.
В случае необходимости, в рамках проведения
инженерно-технических мероприятий, может
осуществляться установка в помещениях
систем охранно-пожарной сигнализации,
систем контроля и управления доступом.
Отдельные помещения могут быть оборудованы
средствами защиты от утечки акустической
(речевой) информации.
Задачи инженерно-технической защиты информации
Инженерно-техническая защита информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:
• что защищать техническими средствами в данной организации, здании, помещении;
• каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств;
• какие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращение;
• как организовать и реализовать техническую защиту информации в организации;
Мировой опыт организации защиты информации показывает, что на информационную безопасность выделяется порядка 10-20% от общей прибыли предприятия. Из этого следует вывод, что защищать нужно только ту информацию которая: имеет действительную или потенциальную коммерческую ценность в силу её неизвестности третьим лицам и к которой нет свободного доступа на законном основании.
Поскольку значительную часть расходов на защиту информации составляют затраты на покупку и эксплуатацию средств защиты, то методология инженерно-технической защиты информации должна обеспечивать возможность рационального выбора средств защиты информации.
Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности и решает следующие задачи:
1. Предотвращение проникновения
злоумышленника к источникам
информации с целью её
2. Защита носителей
информации от уничтожения в
результате воздействия
3. Предотвращение утечки
информации по различным
Для решения поставленных задач необходимо классифицировать возможные технические каналы утечки информации.
Классификация каналов утечки информации:
Под каналом утечки информации будем понимать физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное получение охраняемых сведений. Для возникновения (образования) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства восприятия и фиксации информации на стороне злоумышленника.
Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы:
Каждому виду каналов утечки информации свойственны свои специфические особенности.
Защита информации от утечки по визуально оптическим каналам
Защита информации от утечки по визуально-оптическому каналу - это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет распространения световой энергии.
С целью защиты информации от утечки по визуально-оптическому каналу рекомендуется:
В качестве оперативных средств сокрытия находят широкое применение аэрозольные завесы. Это взвешенные в газообразной среде мельчайшие частицы различных веществ, которые в зависимости от размеров и агрегатного сочетания образуют дым, копоть, туман. Они преграждают распространение отраженного от объекта защиты света. Хорошими светопоглощающими свойствами обладают дымообразующие вещества.
Аэрозольные образования в виде маскирующих завес обеспечивают индивидуальную или групповую защиту объектов и техники, в том числе и выпускаемую продукцию.
Защита информации от утечки по акустическим каналам
Защита информации от утечки по акустическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.