Автор работы: Пользователь скрыл имя, 20 Мая 2013 в 17:09, дипломная работа
Цель дипломной работы – анализ комплексной системы защиты информации в Федеральном территориальном органе исполнительной власти.
Для достижения поставленной цели необходимо выделить и решить следующие задачи:
изучить этапы построения комплексной системы защиты информации;
проанализировать систему защиты информации в территориальном органе исполнительной власти;
разработать рекомендации по улучшению и дальнейшему усовершенствованию КСЗИ.
Введение…………………………………………………………………………4
ГЛАВА 1. АНАЛИЗ КСЗИ В УПРАВЛЕНИИ РОССВЯЗЬОХРАНКУЛЬТУРЫ
1.1 Характеристика Управления и объектов его защиты………………….…..7
1.2 Анализ системы защиты информации в Управлении…………………….13
1.2.1 Функции отдела контроля по обеспечению безопасности……………..16
1.2.2 Инженерно- техническая защита Управления…………………………..18
ГЛАВА 2. ПОНЯТИЕ КСЗИ И ПРИНЦИПЫ ЕЁ ФУНКЦИОНИРОВАНИЯ
2.1 Направления комплексной системы защиты информации……………….20
2.2 Принципы построения комплексной системы защиты информации.........38
2.3 Основные этапы построения КСЗИ……………………….………………..42
ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ КСЗИ.
3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры
по Иркутской области и УОБАО с теоретической базой………………...53
Сравнение правового направления……………………………………...53
Сравнение организационного направления…………………………….54
Сравнение инженерно-технического направления…………………….55
Разработка рекомендаций по совершенствованию работы СБ………….56
Заключение………………………………………………………………………62
Список литературы……………………………………
Все применяемые нормы законодательства, обязательные предписания, регулирующие требования и договорные обязательства, следует четко определять и документировать для каждой информационной системы. Конкретные мероприятия по обеспечению информационной безопасности и
индивидуальные обязанности должностных лиц по выполнению этих требований необходимо соответствующим образом определять и документировать.
6. Организационное, финансовое, юридическое, техническое и др. обеспечение мер защиты
В соответствии с планом по усовершенствованию системы защиты, выделяются необходимые ресурсы. Проводиться закуп технического оборудования (в отчете: сметы, накладные и др. документация подтверждающая подлинность приобретенного).
Все сотрудники организации и, при необходимости, пользователи третьей стороны должны пройти соответствующее обучение и получать на регулярной основе обновленные варианты политик и процедур информационной безопасности, принятых в организации. Обучение сотрудников должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством, мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации.
В общем на этом этапе основная работа проводится в кадровом, юридическом и экономических отделах.
Ввод в эксплуатацию комплексной системы защиты информации осуществляется в соответствии с разработанным службой защиты информации и утвержденным руководством организации планом по усовершенствованию системы защиты информации.
Для координации внедрения мероприятий по управлению информационной безопасностью в большой организации может потребоваться создание комитета, включающего представителей руководства заинтересованных подразделений организации.
Как правило, такой комитет:
- согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;
-согласовывает конкретные
методики и процедуры
-согласовывает и обеспечивает
поддержку инициатив и
- обеспечивает учет
включения требований
- оценивает адекватность
и координирует внедрение
- проводит анализ инцидентов
нарушения информационной
- способствует демонстрации
поддержки информационной
Кроме создания
комитета необходимо
На этом этапе проводится сбор подписей персонала организации в документах о неразглашении конфиденциальной информации. Для привлечения их к ответственности. Включение требований безопасности в договоры на оказание услуг по обработке информации, выполнение работ в помещениях и на территории предприятия сторонними организациями.
После ввода в эксплуатацию КСЗИ в случаях, предусмотренных нормативными документами, проводится государственная экспертиза КСЗИ в соответствии с действующим законодательством.
8. Организация контроля эффективности принятого комплекса
После внедрения КСЗИ в рабочее состояние, необходимо контролировать четкое выполнения должностных инструкций. Проводить постоянный контроль целостности, анализ состояния и уточнение требований к выбранным средствам защиты. Как правило, при введении каких-либо изменений персоналу необходимо адаптироваться к новым условиям, для ускорения этого процесса нужно проводить консультативные лекции, планерки и др.
9. Мониторинг (процесс непрерывного функционирования)
КСЗИ должна быть динамичной, внешние и внутренние условия изменяются. Не постоянна и структура организации – в ней создаются новые отделы и подразделения, информационные службы (базы данных, Web-службы и др.), приходят и увольняются сотрудники, осуществляется переезд из одних помещений в другие и т. д. Изменяется и циркулирующая в системе информация, а также политика компании в области обеспечения ее безопасности. И под все эти изменения необходимо постоянно подстраивать КСЗИ. То есть вся дальнейшая работа сводиться к контролю непрерывного функционирования и модернизации КСЗИ в зависимости от окружающей обстановки и с учетом научного прогресса.
Для поддержания эффективности КСЗИ, создаются консультации специалистов по вопросам безопасности. В идеале, их должен обеспечивать опытный консультант по информационной безопасности, являющийся сотрудником организации для обобщения знаний и опыта, с целью обеспечения согласованности и поддержки в принятии решений по безопасности. Этот сотрудник должен также иметь доступ к необходимым внешним консультантам для получения профессиональных консультаций по вопросам, выходящим за рамки его собственной компетенции.
От качества оценки угроз безопасности консультантом и разработки рекомендаций относительно мероприятий по управлению информационной безопасностью существенным образом зависит ее эффективность в организации. Для обеспечения максимальной результативности деятельности консультантов (администраторов) им должна быть предоставлена возможность непосредственного доступа к высшему руководству организации.
В целях повышения безопасности предприятия, необходимо периодически проверять систему(все возможные тестирования, внештатные проверки, тот же механизм определения мер и средств защиты что представлен выше)
В процессе функционирования КСЗИ должны быть наиболее эффективно реализованы все возможности, заложенные в систему при проектировании. С учетом изменяющихся условий эксплуатации необходимо также обеспечить возможности для дальнейшего совершенствования защитных функций системы.
ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ
КСЗИ
3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры по Иркутской области и УОБАО с теоретической базой
Как было представлено во второй главе, основными направлениями защиты являются: правовое, организационное, инженерно-техническое. Далее сравним и проанализируем эти направления.
1. Создание основополагающих документов, правил и нормативных актов касающихся ИБ (концепция, политика, инструкции, положения);
2. Создание конфиденциального документооборота (внесение изменений в документацию, создание перечня КД);
3.Проведение мероприятий
по обеспечению защиты
Сравнение правового направления
В Управлении Россвязьохранкультуры по Иркутской области и УОБАО правовое направление проработано на весьма высоком уровне. Вся документация составлена в соответствии с действующими, положениями, законами и законодательствами РФ. Разработана и тщательно соблюдается все необходимая документация для нормального и безопасного функционирования режима государственной тайны и закрепления ответственности за лицами допущенных к ней. Концепция и политика ИБ оформлены в единый документ который утверждён приказом руководителя управления: «концепция комплексной защиты информации Управления Россвязьнадзора по Иркутской области». Работа с КД описана в «Инструкции по работе с конфиденциальными документами». Перед созданием инструкции был утвержден перечень сведений конфиденциального характера разработанный комиссией, в состав которой входили начальники структурных отделов, специалист по защите информации и руководитель Управления, являющийся главным государственным инспектором.
Организационное направление:
1. работа с персоналом.
2. организация режима и охраны.
3. информационно-аналитическая деятельность по выявлению внутренних и внешних угроз, анализ и управление информационными рисками.
4.работа с документированной информацией
5.регламентация использования
технических средств
Сравнение организационного направления
Организационное направление на мой взгляд одно из самых слабых и недоработанных. Основным недостатком является слаборазвитое планирование деятельности службы безопасности, которое является сложным и многоплановым процессом, который участвует во всех сферах жизнедеятельности предприятия. Благодаря планированию деятельности службы безопасности можно качественно улучшить работу персонала Управления, т.к. план является первопричиной мотивации персонала и оценки его работы. И так, при полностью задействованном планировании деятельности службы безопасности можно добиться:
● рационального решения поставленных задач и с минимальными затратами;
● улучшить координацию действий исполнителей;
● контролировать события и определять проблемы;
● более рационально использовать ограниченные ресурсы;
● усилить коллективные возможности за счёт совместных действий заинтересованных лиц.
Второй недостаток в работе Управления связан с либеральностью контроля выполнения требований системы защиты. Существующая в Управлении система нормативно-правового регулирования отношений и различные должностные инструкции, не в полной мере выполняются. Служащие Учреждения в полной мере ознакомлены с имеющимися правилами, но контроль выполнения и периодические проверки не проводятся. Отсюда появляются неконтролируемые угрозы, которые в дальнейшем могут привести к непредсказуемым последствиям.
Помимо основных недостатков, Управлению не хватает:
-квалифицированных специалистов (особенно в сфере информационной защиты).
-финансирования информационно-аналитической деятельности (работа в данном направлении проводится но частично).
-периодических тренировок персонала в случае возникновения чрезвычайных ситуаций (пожар, стихийные бедствия и т.п.).
Инженерно-техническое направление:
1. Совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты обеспечения информационной безопасности.
Сравнение инженерно-технического направления
Технические средства защиты - это средства, в которых основная защитная функция реализуется некоторым техническим устройством (комплексом или системой).
К несомненным достоинствам технических средств относятся: широкий круг задач; достаточно высокая надежность; возможность создания развитых комплексных систем защиты; моментальное реагирование на попытки несанкционированных действий; традиционность используемых методов осуществления защитных функций.
Основные недостатки состоят в следующем: высокая стоимость многих средств; необходимость регулярного проведения регламентных работ и контроля; возможность подачи ложных тревог.
Инженерно-техническая защита Управления имеет ряд недостатков:
1. Слабая техническая оснащённость камерами видео наблюдения.
2. Слабая техническая оснащённость средствами охранно-пожарной сигнализации.
3.Система контроля доступа весьма примитивна и требует в дальнейшем обновления и доработки.
4.Временные пропуска на объект бумажные и легко подделываются.
5. Слабая техническая оснащенность отдела охраны службы безопасности, что сильно увеличивает значение “человеческого фактора” в процессе проведения деловых переговоров, т.к. пронести диктофон или же какой либо другой прибор для скрытного сбора и получения интересующей злоумышленника информации очень легко.
6. Нет дополнительной технической аппаратуры для защиты конфиденциальной информации, по различным техническим каналом утечки информации.
3.2 Разработка рекомендаций по совершенствованию работы СБ
Работа КСЗИ в Управлении Россвязьохранкультуры по Иркутской области и УОБАО могла бы функционировать на более высоком уровне, если бы структурные отделы подчинялись единому руководителю и перед ними стояли общие задачи, но к сожалению это невозможно, так как у каждого из отделов своя чёткая и узкая направленность.
Служба безопасности
является самостоятельной
Возглавляет службу безопасности начальник
отдела в должности заместителя руководителя
Управления по безопасности. Поэтому чёткая
постановка целей, задач и функций перед
службой безопасности, является главной
задачей начальника службы безопасности.
Служба безопасности является основным
подразделением, которое будет предупреждать,
выявлять и пресекать угрозы информации.