Разработка предложений ПО совершенствованию системы инженерно-технической защиты информации для районной администрации

КУРСКАЯ АКАДЕМИЯ ГОСУДАРСТВЕННОЙ И МУНИЦИПАЛЬНОЙ СЛУЖБЫ

КАФЕДРА: «ИНФОРМАЦИОННОЙ, ТЕХНОСФЕРНОЙ БЕЗОПАСНОСТИ И ПРАВОВОЙ ЗАЩИТЫ ИНФОРМАЦИИ»

 

 

 

 

 

 

 

 

КУРСОВАЯ РАБОТА

по дисциплине: «Инженерно-техническая защита информации»

тема: «разработка предложений ПО совершенствованию системы инженерно-технической защиты информации для районной администрации»

 

 

 

 

 

Студент 5109 группы

А.Ю. Епишев

Специальность «Организация и технология защиты информации»

Специализация «Защита систем управления и принятия решений»

_________________

Руководитель

к. п. н., доцент

Е.И. Травкин

_________________

 

 

 

 

 

 

 

КУРСК 2014 

Оглавление

 

 

 

 

Введение

 

 

 

Информация является необходимой предпосылкой, важнейшим условием и одним из главных ресурсов деятельности органов государственной власти и местного самоуправления. Своевременность доступа и получение информации становится чрезвычайно важным фактором  эффективности принятия управленческих решений.

В последние годы  роль и значение информации на всех уровнях управления значительно возросли. Информация становится значительным стратегическим ресурсом, превращается в важнейший фактор социального развития общества. Успешное функционирование и развитие  районной  администрации  все больше зависит от совершенствования её деятельности в области обеспечения информационной безопасностью в сфере производства, бизнеса и предпринимательства.

На современном этапе особенно актуальной проблемой становится обеспечение защиты информации, ее необходимо решать в следующих направлениях:

1. Защита информации, которую районная администрация использует в процессе исследований, а также защита результатов исследований в виде интеллектуальной собственности.

2. Защита информации  от разрушения и потери в  связи с технологическими неполадками  в компьютерных системах.

3. Защита информации, касающейся жизнедеятельности личности, групп людей или общества в  целом и является конфиденциальной, то есть такой, которая может  принести им вред, когда станет  легкодоступной для общественности.

4. Защита информации, не подлежащей обнародованию или являющейся коммерческой, технической или технологической тайной.

5. Защита информации, являющейся государственной тайной.

Таким образом, каждый собственник информации стремится сохранить ее в тайне, создавая для этого систему защиты от несанкционированного доступа со стороны злоумышленников. Злоумышленником, в свою очередь, может быть лицо или организация, заинтересованные в получении возможности несанкционированного доступа к конфиденциальной информации, предпринимающие попытку такого доступа или совершившие его.

Районная администрация содержит большие объемы информации (данные) которые необходимы для решения сложных и важных вопросов и которые имеют определенную ценность для района. Эту ценность необходимо обеспечить  надёжной защитой от несанкционированного доступа.

Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» — федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных. В соответствии с законом, в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилия, имя, отчество).

Объектом исследования в данной курсовой работе является информационная система в районной администрации Большесолдатского района.

Предмет: система защиты информации районной администрации Большесолдатского района.

Цель работы — совершенствование системы защиты информации районной администрации на основе разработки комплекса мер инженерно-технической защиты информации.

Задачи:

1. Определение теоретических  основ инженерно - технической защиты  информации.

2. Выявление угроз информационной безопасности и утечки информации на объекте защиты

3. Разработка мер по  совершенствованию инженерно-технической  защиты информации на объекте защиты

 

Глава 1. Описание и моделирование объекта защиты

 

 

1.1 Описание объекта защиты

 

 

 

В данной курсовой работе представлен объект защиты — кабинет главы районной Администрации Большесолдатского района Курской области.

Выбор кабинета как объекта защиты обусловлен следующими факторами:

- в кабинете циркулирует наиболее ценная информация, представляющая государственную тайну района

- кабинет посещают сотрудники организации всех должностных категорий по служебным и личным вопросам;

- в кабинете, имеются различные радио и электрические приборы, которые могут быть источниками побочных электромагнитных излучений и наводок;

- в кабинете достаточно интерьера и мебели, в которой легко спрятать закладные устройства.

Объект защиты расположен на ул. Мира д.1. С северо-западной стороны на расстоянии 65 метром расположено отделение полиции. С северо-восточной стороны на расстоянии 98 метром расположена районная центральная больница. С южной стороны от объекта защиты на расстоянии 35 метров расположена площадь. С восточной стороны от объекта на расстоянии 58 метров находится теплопровод (под землей) и водопровод (под землей).

Объект защиты представляет собой трехэтажное здание. Кабинет Главы администрации находится на втором этаже и разделен на две комнаты и коридор.

Характеристика объекта:

- площадь 55кв. м.;

- высота потолка: 2.35 м.;

- стены кабинета выполнены из кирпича, толщина наружной стены 45 см.;

- перекрытия железобетонные;

- одна входная металлическая одинарная дверь, одна межкомнатная деревянная дверь.

На данном объекте существуют различного рода документы:

- муниципальные правовые акты;

- устав персонала администрации;

- обращения граждан и юридических лиц;

- персональные данные о гражданах и юридических лицах района.

Основным направлением деятельности районной администрации является создание и поддержание  эффективной работы всех местных администраций района, а также контроль за выполнением поставленных задач в экономической, социальной, культурной и других сферах деятельности и предоставление государственных муниципальных услуг и контроль за предоставлением государственных муниципальных услуг населению района.

  
Рис. 1. Организационная структура Администрации Большесолдатского района Курской области

 

 

1.2 Понятие инженерно-технической  защиты информации, этапы и принципы  построения

 

 

 

Инженерно-техническая защита информации - одна из основных составляющих комплекса мер по защите информации, составляющей государственную, коммерческую и личную тайну. Этот комплекс включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации. Инженерно-техническая защита информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк, и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты.[1, с. 77]

Основным направлением инженерно-техническая защита информации является противодействие средствам технической разведки и формирования рубежей охраны территории, зданий, помещений, оборудования с помощью комплексов технических средств. и включает себя [2, с. 120]:

- Сооружения физической (инженерной) защиты от проникновения посторонних  лиц на территорию, в здания и помещения.

- Средства защиты технических  каналов утечки информации при  работе ЭВМ, средств связи, других  приборов и офисного оборудования, при проведении совещаний, беседах  с посетителями и сотрудниками.

- Средства защиты помещений  от визуальных способов технической разведки.

- Средства обеспечения охраны  территорий, зданий, помещений.

- Средства противопожарной охраны.

- Технические средства и мероприятия, предотвращающие вынос персоналом  из помещений документов, дискет, дисков и других носителей  информации.

Кроме выше перечисленного, инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению безопасности информации техническими средствами. Она решает следующие задачи [2, с. 136]:

1. Предотвращение проникновения злоумышленника к источникам информации с целью ее уничтожения, хищения или изменения.

2. Защита носителей информации  от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.

3. Предотвращение утечки  информации по различным техническим каналам.

Способы и средства решения первых двух задач не отличаются от способов и средств защиты любых материальных ценностей, третья задача решается исключительно способами и средствами инженерно-технической защиты информации.

Для обеспечения эффективной инженерно-технической защиты информации необходимо определить [2, c. 46]:

- что защищать техническими  средствами в конкретной организации, здании, помещении;

- каким угрозам подвергается  защищаемая информация со стороны злоумышленников и их технических средств;

- какие способы и средства  целесообразно применять для обеспечения безопасности информации с учетом как величины угрозы, так и затрат на ее предотвращение;

- как организовать и  реализовать техническую защиту информации в организации.

Поскольку значительную часть расходов на защиту информации составляют затраты на закупку и эксплуатацию средств защиты, то методология инженерно-технической защиты должна обеспечивать возможность рационального выбора средств защит

Не мало важным моментом для организации и реализации защиты информации является построение ИТЗИ которое состоит из следующих этапов [3, c. 24].

1. Подготовка организационно-распорядительной  документации.

2. Обследование информационной  инфраструктуры Заказчика.

3. Разработка «Плана защиты  информации».

4. Разработка «Технического  задания на создание ИТЗИ».

5. Разработка «Технического  проекта на создание ИТЗИ».

6. Приведение информационной  инфраструктуры Заказчика в соответствие c «Техническим проектом на создание  ИТЗИ».

7. Разработка «Эксплуатационной  документации на ИТЗИ».

8. Внедрение ИТЗИ.

9. Испытание ИТЗИ.

10. Проведение государственной  экспертизы ИТЗИ и получение  «Аттестата соответствия».

11. Поддержка и обслуживание  ИТЗИ.

Так как органам безопасности, занимающимся защитой информации, противостоит разведка с мощным аппаратом и средствами, то возможности способов и средств защиты не должны, по крайней мере, уступать возможностям разведки. Исходя из этих исходных положений основу защиты информации должны составлять, аналогичные принципам добывания информации, а именно [3, c. 65]:

• непрерывность защиты информации, характеризующаяся постоянной готовностью системы защиты в любое время к отражению угроз информационной безопасности
• активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите
• скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации
• целеустремлённость, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации
• комплексное использование различных способов и средств защиты информации, позволяющее компенсировать недостатки одних достоинствами других

Еще одна группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень её защиты и позволяет сократить затраты. Эта группа включает следующие принципы [3, c. 55]:

• соответствие уровня защиты ценности информации
• гибкость защиты
• многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем её безопасности
• многорубежность защиты информации на пути движения злоумышленника или распространения носителя
• При построении системы защиты информации нужно учитывать также следующие принципы:
• минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации
• надёжность в работе технических средств системы, исключающая как не реагирование на угрозы (пропуски угроз) информационной безопасности, так и ложные реакции при их отсутствии
• ограниченный и контролируемый доступ к элементам системы обеспечения информационной безопасности
• непрерывность работы системы в любых условиях функционирования объекта защиты, в том числе, например, кратковременном отключении электроэнергии
• адаптируемость (приспособляемость) системы к изменениям окружающей среды