Автор работы: Пользователь скрыл имя, 20 Мая 2013 в 17:09, дипломная работа
Цель дипломной работы – анализ комплексной системы защиты информации в Федеральном территориальном органе исполнительной власти.
Для достижения поставленной цели необходимо выделить и решить следующие задачи:
изучить этапы построения комплексной системы защиты информации;
проанализировать систему защиты информации в территориальном органе исполнительной власти;
разработать рекомендации по улучшению и дальнейшему усовершенствованию КСЗИ.
Введение…………………………………………………………………………4
ГЛАВА 1. АНАЛИЗ КСЗИ В УПРАВЛЕНИИ РОССВЯЗЬОХРАНКУЛЬТУРЫ
1.1 Характеристика Управления и объектов его защиты………………….…..7
1.2 Анализ системы защиты информации в Управлении…………………….13
1.2.1 Функции отдела контроля по обеспечению безопасности……………..16
1.2.2 Инженерно- техническая защита Управления…………………………..18
ГЛАВА 2. ПОНЯТИЕ КСЗИ И ПРИНЦИПЫ ЕЁ ФУНКЦИОНИРОВАНИЯ
2.1 Направления комплексной системы защиты информации……………….20
2.2 Принципы построения комплексной системы защиты информации.........38
2.3 Основные этапы построения КСЗИ……………………….………………..42
ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ КСЗИ.
3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры
по Иркутской области и УОБАО с теоретической базой………………...53
Сравнение правового направления……………………………………...53
Сравнение организационного направления…………………………….54
Сравнение инженерно-технического направления…………………….55
Разработка рекомендаций по совершенствованию работы СБ………….56
Заключение………………………………………………………………………62
Список литературы……………………………………
Гибкость системы защиты.
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты.
Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам).
Простота применения средств защиты.
Механизмы защиты должны быть понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
Научная обоснованность и техническая реализуемость.
Средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.
Специализация и профессионализм.
Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Общества (специалистами подразделений технической защиты информации).
Обязательность контроля.
Принцип обязательности контроля предполагает выявления, и пресечения попыток нарушения установленных правил ОБИ на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
2.3 Основные этапы построения КСЗИ
Построение КСЗИ и ее функционирование должны осуществляться в соответствии со следующими основными этапами:
1. Ориентация в пространстве, определение объекта защиты
Без глубокого и детального анализа структуры объекта защиты и условий его функционирования, технологий и способов обработки информации невозможно правильно сформулировать требования к составу СЗИ, правила и порядок разграничения доступа персонала к ресурсам организации, разделение и хранение информационных потоков, организационные мероприятия.
В процессе выполнения первого этапа собирается информация экономической, технической и организационной составляющей объекта защиты: действующая система безопасности на предприятии, деятельность организации, положении на рынке, взаимодействие с конкурирующими и другими фирмами, система управления, работа с кадрами, изучение нормативной базы, контактирование с филиалами, если таковые имеются, изучение периметра объекта защиты. Создается общее представление о внешнем и внутреннем функционировании организации, о месте и роли действующей системы защиты, о нормативно правовой базе предприятия (соответствует ли она действующему законодательству), а так же о средствах и методах работы службы безопасности.
Собранную информацию следует классифицировать, чтобы определить приоритетность, необходимость и степень ее защиты. Некоторые виды информации могут требовать дополнительного уровня защиты или специальных методов обработки. Систему классификации информации следует использовать для определения количества уровней защиты и потребности в специальных методах обработки.
При классификации информации и связанных с ней мероприятий по управлению информационной безопасностью следует учитывать требования бизнеса в совместном использовании или ограничении доступа. По истечении некоторого периода времени информация утрачивает свою конфиденциальность, например, когда она становится общедоступной. Эти аспекты следует принимать во внимание, поскольку присвоение повышенной категории может вести к ненужным дополнительным расходам. В руководящих принципах классификации следует предвидеть и учитывать, что категория любого вида информации необязательно должна быть постоянной в течение всего времени она может изменяться в соответствии с принятой политикой безопасности в организации.
В процессе сбора сведений создается экспертная комиссия, которая классифицирует информацию и определяет “Перечень сведений конфиденциального характера”. В дополнение может быть создан "Перечень сведений, которые не должны разглашаться посторонним лицам в целях личной безопасности сотрудников организации". Обычно после создания и утверждения перечней комиссия распускается, и воссоздается при необходимости.
2. Выявление угроз и оценка их вероятности
Угрозы могут быть природного, технического или человеческого характера. Первые (стихийные бедствия, наводнения, пожары и т. д.) приносят самый ощутимый ущерб, обезопаситься от них сложнее всего, но и вероятность их возникновения невелика. Довольно большой вред наносят угрозы технического характера (аварии, сбои, отказы оборудования и средств вычислительной техники). Для защиты от них применяют различные механизмы дублирования систем и их компонентов. «Человеческие» угрозы – необязательно преднамеренные действия нарушителей: к данной категории принадлежат и просчеты при проектировании и разработке компонентов системы, ошибки эксплуатации, развитие технологий (совершенствование методов написания вирусов и средств взлома), а также непреднамеренные действия. Например, уборщица со шваброй, моющая пол в серверной, может представлять не меньшую угрозу, чем опытный хакер.
Работа по выявлению угроз строится в двух направлениях: внешние угрозы и внутренние. Внешние угрозы выявляются по средствам:
1.разведки (работа со СМИ, наблюдение за персоналом, покидающим фирму, внедрением агентов, либо вербованием персонала конкурирующей организации и др.);
2.анализом деятельности конкурирующих фирм (опираясь на собранную разведкой информацию, составляется примерный план действий конкурирующих фирм, прогнозы, возможные направления дальнейшей деятельности);
3.аналитической работы с дружественными организациями (работа с деловыми партнерами должна строиться по принципу « Доверяй, но проверяй», деловой партнер, может стать одним из конкурентов, исходя из этого соображения прорабатываются возможное поведение партнера на рынке, его вероятные выгодные сделки с конкурирующими фирмами).
Внутренние угрозы выявляются по средствам:
1. работы службы безопасности и реакции системы защиты (если они есть);
2.анализа экономического показателя организации и эффективности работы отделов (если показатели дохода резко упали, без видимых причин, либо деятельность одного из отделов существенно затормозила производство);
3. работы с персоналом (разработка всевозможных контактов среди рабочего персонала организации, периодические проверки).
3. Оценка возможного ущерба
На этой этапе мы выявляем экономическую целесообразность КСЗИ. Применение тех или иных организационных или технических средств зависит от стоимости защищаемой информации, т. е. от потерь, которые понесет организация в случае сбоя одной или нескольких функций защиты – нарушения конфиденциальности, целостности или доступности данных. Как правило, чем крупнее компания, тем больше у нее конфиденциальной информации и тем серьезнее возможные потери. Но и обычный пользователь – например, руководитель той же компании – на своем домашнем компьютере иногда содержит информацию, утечка которой обойдется очень дорого. Поэтому его компьютер и линии связи должны быть защищены не хуже, чем корпоративная сеть.
Не имеет смысла тратить на средства защиты больше, чем стоит сама информация. Но оценка ее стоимости – одна из наиболее сложных задач при построении систем информационной безопасности. Если в системе планируется прохождение информации, порядок обработки и защиты которой регламентируется законами или другими нормативно-правовыми актами (например, составляющей государственную тайну), то для ее обработки в системе необходимо иметь разрешение соответствующего уполномоченного государственного органа. Основанием для выдачи такого разрешения является заключение экспертизы системы, т. е. проверки соответствия реализованной КСЗИ установленным нормам.
4. Обзор и анализ действующих мер защиты, определение их эффективности (достаточности и недостаточности)
На данном этапе проводятся:
1. Тестирования работоспособности технических средств защиты, проверяется их эффективность (проверка СКД, анализ проектирования охранно-пожарных сигнализации, видеонаблюдения, программно-аппаратного обеспечения, средств криптографической защиты и др.). Проверка технического соответствия включает испытания операционных систем для обеспечения уверенности в том, что мероприятия по обеспечению информационной безопасности функционирования аппаратных и программных средств были внедрены правильно. Этот тип проверки соответствия требует технической помощи специалиста. Данную проверку следует осуществлять вручную (при помощи соответствующих инструментальных и программных средств, при необходимости) опытному системному инженеру или с помощью автоматизированного пакета программ, который генерирует технический отчет для последующего анализа специалистом;
2. Работа с персоналом (определение уровня знаний, готовности к внештатным ситуациям, профессиональная пригодности, выполнение должностных обязанностей, инструкций и др.). Проводятся разнообразные тестирования, внештатные проверки, работы психологов;
3. Анализ достаточности и соответствия законодательству нормативно правовых актов предприятия. Предотвращение любых нарушений норм уголовного и гражданского права, обязательных предписаний и регулирующих требований или договорных обязательств, а также требований безопасности. Проектирование и функционирование информационных систем, их использование и управление ими могут быть предметом обязательных предписаний, регулирующих требований, а также требований безопасности в договорных обязательствах;
4. Проверяется реакция системы на противоправные действия, несанкционированный доступ (проникновение). Может быть выполнено независимыми экспертами, специально приглашенными по контракту для этого. Данное тестирование может быть полезным для обнаружения уязвимостей в системе и для проверки эффективности мер безопасности при предотвращении неавторизованного доступа вследствие этих уязвимостей. Особую осторожность следует проявлять в случаях, когда тест на проникновение может привести к компрометации безопасности системы и непреднамеренному использованию других уязвимостей.
Проверка любого этапа должна выполняться только компетентными, авторизованными лицами либо под их наблюдением. Все собранные сведения анализируются.
5. Определение адекватных мер защиты
По результатам анализа действующих мер защиты составляется план усовершенствования системы защиты, с учетом всех требований (нормативно правовой базы государства, политикой безопасности и др.). В плане указываются конкретные стадии и этапы модернизации. Причем определяется очередность их внедрения, первостепенные задачи, средства необходимые для реализации. Данный документ определяет комплекс конкретных организационно-технических мер по защите информации, а также мер по предотвращению незаконного вмешательства в процесс функционирования КСЗИ. План защиты включает описание технологии обработки данных в защищаемых системах, анализ угроз и оценку риска нанесения ущерба, правила эксплуатации систем, необходимый набор инструкций должностным лицам (инструкция пользователю ИС, инструкция администратору безопасности, инструкции охране и др. ). Кроме того, План защиты определяет порядок взаимодействия подразделений и должностных лиц.
На этом этапе производится подсчет затрат трудовых (рабочие сметы, персонал организации, специалисты со стороны), финансовых (материальные сметы), организационных ресурсов, обоснование необходимости их внедрения, сроки на реализацию и ответственность(закуп оборудования, доставка и внедрение как всего комплекса мер, так и отдельных этапов). Документ заверяется подписью руководителя организации.