Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти

Автор работы: Пользователь скрыл имя, 20 Мая 2013 в 17:09, дипломная работа

Описание работы

Цель дипломной работы – анализ комплексной системы защиты информации в Федеральном территориальном органе исполнительной власти.
Для достижения поставленной цели необходимо выделить и решить следующие задачи:
изучить этапы построения комплексной системы защиты информации;
проанализировать систему защиты информации в территориальном органе исполнительной власти;
разработать рекомендации по улучшению и дальнейшему усовершенствованию КСЗИ.

Содержание работы

Введение…………………………………………………………………………4
ГЛАВА 1. АНАЛИЗ КСЗИ В УПРАВЛЕНИИ РОССВЯЗЬОХРАНКУЛЬТУРЫ
1.1 Характеристика Управления и объектов его защиты………………….…..7
1.2 Анализ системы защиты информации в Управлении…………………….13
1.2.1 Функции отдела контроля по обеспечению безопасности……………..16
1.2.2 Инженерно- техническая защита Управления…………………………..18
ГЛАВА 2. ПОНЯТИЕ КСЗИ И ПРИНЦИПЫ ЕЁ ФУНКЦИОНИРОВАНИЯ
2.1 Направления комплексной системы защиты информации……………….20
2.2 Принципы построения комплексной системы защиты информации.........38
2.3 Основные этапы построения КСЗИ……………………….………………..42
ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ КСЗИ.
3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры
по Иркутской области и УОБАО с теоретической базой………………...53
Сравнение правового направления……………………………………...53
Сравнение организационного направления…………………………….54
Сравнение инженерно-технического направления…………………….55
Разработка рекомендаций по совершенствованию работы СБ………….56
Заключение………………………………………………………………………62
Список литературы……………………………………

Файлы: 1 файл

Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти.doc

— 819.00 Кб (Скачать файл)

     Все применяемые нормы законодательства, обязательные предписания, регулирующие требования и договорные обязательства, следует четко определять и документировать для каждой информационной системы. Конкретные мероприятия по обеспечению информационной безопасности и

индивидуальные обязанности должностных лиц по выполнению этих требований необходимо соответствующим образом определять и документировать.

 

     6. Организационное, финансовое, юридическое, техническое и др.   обеспечение мер защиты

     В соответствии  с планом по усовершенствованию системы защиты, выделяются необходимые ресурсы. Проводиться закуп технического оборудования (в отчете: сметы, накладные и др. документация подтверждающая подлинность приобретенного).

    Все сотрудники организации и, при необходимости, пользователи третьей стороны должны пройти соответствующее обучение и получать на регулярной основе обновленные варианты политик и процедур информационной безопасности, принятых в организации. Обучение сотрудников должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством, мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации.

    В общем на этом этапе основная работа проводится в кадровом, юридическом и экономических отделах.

 

                                       

                                           7. Внедрение мер защиты

    Ввод в эксплуатацию комплексной системы защиты информации осуществляется в соответствии с разработанным службой защиты информации и утвержденным руководством организации планом по усовершенствованию системы защиты информации.

    Для координации внедрения мероприятий по управлению информационной безопасностью в большой организации может потребоваться создание комитета, включающего представителей руководства заинтересованных подразделений организации.

Как правило, такой комитет:

 - согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;

-согласовывает конкретные  методики и процедуры информационной  безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;

-согласовывает и обеспечивает  поддержку инициатив и проектов  в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности;

- обеспечивает учет  включения требований безопасности  во все проекты, связанные с  обработкой и использованием информации;

- оценивает адекватность  и координирует внедрение конкретных  мероприятий по управлению информационной безопасностью для новых систем или услуг;

- проводит анализ инцидентов  нарушения информационной безопасности;

- способствует демонстрации  поддержки информационной безопасности  со стороны высшего руководства организации.

     Кроме создания  комитета необходимо документировать   функции и ответственность в области информационной безопасности (требование как правило прописанное в политике информационной безопасности организации). В должностные инструкции следует включать как общие обязанности по внедрению или соблюдению политики безопасности, так и специфические особенности по защите определенных активов или действий, касающихся безопасности.

    На этом этапе проводится сбор подписей персонала организации в документах о неразглашении конфиденциальной информации. Для привлечения их к ответственности. Включение требований безопасности в договоры на оказание услуг по обработке информации, выполнение работ в помещениях и на территории предприятия сторонними организациями.

    После ввода в эксплуатацию КСЗИ в случаях, предусмотренных нормативными документами, проводится государственная экспертиза КСЗИ в соответствии с действующим законодательством. 

 

              8. Организация контроля эффективности принятого комплекса

    После внедрения КСЗИ в рабочее состояние, необходимо контролировать четкое выполнения должностных инструкций. Проводить постоянный контроль  целостности, анализ состояния и уточнение требований к выбранным средствам защиты. Как правило, при введении каких-либо изменений персоналу необходимо адаптироваться к новым условиям, для ускорения этого процесса нужно проводить консультативные лекции, планерки и др. 

 

               9. Мониторинг (процесс непрерывного функционирования)

     КСЗИ должна быть динамичной, внешние и внутренние условия изменяются. Не постоянна и структура организации – в ней создаются новые отделы и подразделения, информационные службы (базы данных, Web-службы и др.), приходят и увольняются сотрудники, осуществляется переезд из одних помещений в другие и т. д. Изменяется и циркулирующая в системе информация, а также политика компании в области обеспечения ее безопасности. И под все эти изменения необходимо постоянно подстраивать КСЗИ. То есть вся дальнейшая работа сводиться к контролю непрерывного функционирования и модернизации КСЗИ в зависимости от окружающей обстановки и с учетом научного прогресса.

     Для поддержания  эффективности КСЗИ, создаются консультации специалистов по вопросам безопасности. В идеале, их должен обеспечивать опытный консультант по информационной безопасности, являющийся сотрудником организации для обобщения знаний и опыта, с целью обеспечения согласованности и поддержки в принятии решений по безопасности. Этот сотрудник должен также иметь доступ к необходимым внешним консультантам для получения профессиональных консультаций по вопросам, выходящим за рамки его собственной компетенции.

    От качества оценки угроз безопасности консультантом и разработки рекомендаций относительно мероприятий по управлению информационной безопасностью существенным образом зависит ее эффективность в организации. Для обеспечения максимальной результативности деятельности консультантов (администраторов) им должна быть предоставлена возможность непосредственного доступа к высшему руководству организации.

    В целях повышения безопасности предприятия, необходимо периодически проверять систему(все возможные тестирования, внештатные проверки, тот же механизм определения мер и средств защиты что представлен выше)

    В процессе функционирования КСЗИ должны быть наиболее эффективно реализованы все возможности, заложенные в систему при проектировании. С учетом изменяющихся условий эксплуатации необходимо также обеспечить возможности для дальнейшего совершенствования защитных функций системы.

 

 

 

 

            ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ  

КСЗИ

3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры   по Иркутской области и УОБАО с теоретической базой

 

     Как было представлено во второй главе, основными направлениями  защиты являются: правовое, организационное, инженерно-техническое. Далее сравним и проанализируем эти направления.

                                           Правовое направление:

1. Создание основополагающих документов, правил и нормативных актов касающихся ИБ (концепция, политика, инструкции, положения);

2. Создание конфиденциального документооборота (внесение изменений в документацию, создание перечня КД);

3.Проведение мероприятий  по обеспечению защиты информации  на правовой основе (подписание  документов, установление ответственности);

                                  Сравнение правового направления

    В Управлении Россвязьохранкультуры по Иркутской области и УОБАО правовое направление проработано на весьма высоком уровне. Вся документация составлена в соответствии с действующими, положениями, законами и законодательствами РФ. Разработана и тщательно соблюдается  все необходимая документация для нормального и безопасного функционирования режима государственной тайны и закрепления ответственности за лицами допущенных к ней.  Концепция и политика ИБ оформлены   в единый документ который утверждён приказом руководителя управления: «концепция комплексной защиты информации Управления Россвязьнадзора по Иркутской области». Работа с КД описана в «Инструкции по работе с конфиденциальными документами». Перед созданием инструкции был утвержден перечень сведений конфиденциального характера разработанный комиссией, в состав которой входили начальники структурных отделов, специалист по защите информации и руководитель Управления, являющийся главным государственным инспектором.

 

                               Организационное направление:

1. работа с персоналом.

2. организация режима  и охраны.

3. информационно-аналитическая  деятельность по выявлению внутренних и внешних угроз, анализ и управление информационными рисками.

4.работа с документированной информацией

5.регламентация использования  технических средств информационной  безопасности.

               Сравнение организационного направления

     Организационное  направление на мой взгляд одно из самых слабых и недоработанных. Основным недостатком является слаборазвитое планирование деятельности службы безопасности, которое является сложным и многоплановым процессом, который участвует во всех сферах жизнедеятельности предприятия. Благодаря планированию деятельности службы безопасности можно качественно улучшить работу персонала Управления, т.к. план является первопричиной мотивации персонала и оценки его работы. И так, при полностью задействованном планировании деятельности службы безопасности можно добиться:

● рационального решения поставленных задач и с минимальными затратами;

● улучшить координацию  действий исполнителей;

● контролировать события  и определять проблемы;

● более рационально  использовать ограниченные ресурсы;

● усилить коллективные возможности за счёт совместных действий заинтересованных лиц.

Второй недостаток в  работе Управления связан с либеральностью контроля выполнения требований системы защиты. Существующая в Управлении система нормативно-правового регулирования отношений и различные должностные инструкции, не в полной мере выполняются. Служащие Учреждения в полной мере ознакомлены с имеющимися правилами, но контроль выполнения и периодические проверки не проводятся. Отсюда появляются неконтролируемые угрозы, которые в дальнейшем могут привести к непредсказуемым последствиям.

 

Помимо основных  недостатков, Управлению не хватает:

    -квалифицированных специалистов (особенно в сфере информационной защиты).

    -финансирования информационно-аналитической деятельности (работа в данном направлении проводится но частично).

    -периодических тренировок персонала в случае возникновения чрезвычайных ситуаций (пожар, стихийные бедствия и т.п.).

 

                           Инженерно-техническое направление:

1. Совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты обеспечения информационной безопасности.

                  Сравнение инженерно-технического направления

    Технические средства защиты - это средства, в которых основная защитная функция реализуется некоторым техническим устройством (комплексом или системой).

     К несомненным достоинствам технических средств относятся: широкий круг задач; достаточно высокая надежность; возможность создания развитых комплексных систем защиты; моментальное реагирование на попытки несанкционированных действий; традиционность используемых методов осуществления защитных функций.

     Основные недостатки состоят в следующем: высокая стоимость многих средств; необходимость регулярного проведения регламентных работ и контроля; возможность подачи ложных тревог.

    Инженерно-техническая защита Управления имеет ряд недостатков:

1. Слабая техническая оснащённость камерами видео наблюдения.

2. Слабая техническая оснащённость средствами охранно-пожарной сигнализации.

3.Система  контроля доступа весьма примитивна и требует в дальнейшем обновления и доработки.

4.Временные  пропуска на объект бумажные и легко подделываются.

5. Слабая техническая оснащенность отдела охраны службы безопасности, что сильно увеличивает значение “человеческого фактора” в процессе проведения деловых переговоров, т.к. пронести диктофон  или же какой либо другой прибор для скрытного сбора и получения интересующей злоумышленника информации очень легко.

6. Нет дополнительной технической аппаратуры для защиты  конфиденциальной информации, по различным техническим каналом утечки информации.

 

         3.2 Разработка рекомендаций по  совершенствованию работы СБ

    Работа КСЗИ в Управлении Россвязьохранкультуры по Иркутской области и УОБАО могла бы функционировать на более высоком уровне, если бы структурные отделы подчинялись единому руководителю и перед ними стояли общие задачи, но к сожалению это невозможно, так как у каждого из отделов своя чёткая и узкая направленность.

Служба безопасности является самостоятельной организационной  единицей, подчиняющейся непосредственно руководителю Учреждения. 
Возглавляет службу безопасности начальник отдела в должности заместителя руководителя Управления по безопасности. Поэтому чёткая постановка целей, задач и функций перед службой безопасности, является главной задачей начальника службы безопасности. Служба безопасности является основным подразделением, которое будет предупреждать, выявлять и пресекать угрозы информации.

Информация о работе Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти