Автор работы: Пользователь скрыл имя, 22 Апреля 2013 в 18:27, курсовая работа
Целью своей курсовой работы автор избрал разработку проекта КСЗИ на примере Управы Дмитровского района города Москва.
Задачи, которые автор поставил перед собой:
1. Проанализировать общую характеристику объекта защиты, оформленную в виде «Паспорта предприятия»;
2. Построить модель бизнес-процессов с целью выявления конфиденциальной информации;
1. ВВЕДЕНИЕ................................................................................................. 3
2. ПАСПОРТ ПРЕДПРИЯТИЯ. .................................................................... 5
3. ОПИСАНИЕ МОДЕЛИ БИЗНЕСС ПРОЦЕСС....................................... 9
4. ЗАДАЧИ ПОСТРОЕНИЯ КСЗИ .............................................................. 10
5. ЭТАПЫ ПОСТРОЕНИЯ КСЗИ ................................................................ 11
6. РАСЧЕТ ИНФОРМАЦИОННЫХ РИСКОВ ........................................... 13
7. РАЗРАБОТКА ПИБ ................................................................................... 20
8. ЗАКЛЮЧЕНИЕ .......................................................................................... 22
9. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ.. 23
10. ПРИЛОЖЕНИЯ .......................................................................................... 24
ПРИЛОЖЕНИЕ 1 .................................................................................... 24
ПРИЛОЖЕНИЕ 2...................................................................................... 36
ПРИЛОЖЕНИЕ 3........................................................................... ......... 45
ПРИЛОЖЕНИЕ 4..................................................................................... 47
РАЗРАБОТКА ПРОЕКТА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРИМЕРЕ РАЙОННОЙ УПРАВЫ ГОРОДА МОСКВА
Курсовая работа
студента 76 курса специальности
«Организация и технология защиты информации»
Научный руководитель
____________________________
(ученая степень, ученое звание)
_______
(фамилия, инициалы)
Отметка ____________________
____________________________
(подпись научного
« » __________ 2023 г.
Москва 2023
СОДЕРЖАНИЕ:
ПРИЛОЖЕНИЕ 1 ..............................
ПРИЛОЖЕНИЕ 2.............................
ПРИЛОЖЕНИЕ 3.............................
ПРИЛОЖЕНИЕ 4.............................
1. ВВЕДЕНИЕ
С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации. Следовательно, возрастет необходимость ее защиты. Для того чтобы защита была полной необходимо прорабатывать ее комплексно.
Утечка любой информации может отразиться на деятельности организации. Особую роль играет конфиденциальная информация, потеря корой может повлечь большие изменения в самой организации и материальные потери. Так как Управа Дмитровского района является управленческим органом, то потеря конфиденциальной информации может повлечь потери не только для самой Районной управы, как организации, так и для всего города в целом. Поэтому мероприятия по защите информации в данное время очень актуальны и важны.
Для обеспечения полноценной
защиты конфиденциальной
Целью своей курсовой работы автор избрал разработку проекта КСЗИ на примере Управы Дмитровского района города Москва.
Задачи, которые автор поставил перед собой:
2. ПАСПОРТ ПРЕДПРИЯТИЯ
Здание Управы р-на Дмитровский находится по адресу г. Москва, ул. Танкистов, д. 34. Здание Районной управы является трехэтажным. Имеет свой хозяйственный двор для служебного автотранспорта. Перед зданием имеется автомобильная парковка. Вход людей в здание осуществляется через контрольно-пропускной пункт, находящемся на 1-ом этаже здания.
Доступ имеет свои разграничения:
— в Отдел, занимающийся вопросыработы с вопросыи просьбами населения, имеют доступ все посетители. Отдел находится на первом этаже здания.
— В отделы и помещения, находящиеся на втором этаже здания, где находиться конфиденциальная информация допуск осуществляемся только по пропускам.
— Во все остальные помещения и отделы имеют доступ лишь служащие и клиенты по записи,
— Доступ в кабинет Главы управы в его отсутствие запрещен.
Границей Контрольной Зоны Районной управы является забор, ограничивающий периметр здания и хозяйственного двора.
Электропитание здания осуществляется
от трансформаторной подстанции, которая
расположена на неконтролируемой территории
и обслуживается сторонней
Здание окружено жилыми домами (9- этажными).
В состав ВТСС входят:
— система кондиционирования (по одному в каждом кабинете);
— телефонный аппарат (в каждом кабинете, телефонная связь осуществляется через общую АТС здания, кабели АТС выходят за пределы КЗ). В каждом отделе по 2.
— компьютер (на каждом рабочем месте: системный блок, монитор, мышь, клавиатура, 2 динамика)
— принтер (в каждом отделе по 1 штуке).
— телевизор (1шт. в кабинете Главы управы).
В Районной управе в каждом кабинете по 1-3 окна, в зависимости от площади кабинета. Все окна – тройной евростеклопакет. На окнах установлены жалюзи. Окна с одной стороны здания выходят на хозяйственный двор, остальные на шумные улицы.
Количество стояков
отопления соответствует
Стены и потолок – железобетонные плиты толщиной 400 мм, отделаны гипсокартонном толщиной 10 мм, пол – железобетонные плиты толщиной 400 мм, покрытые паркетом (отделы) и ковролином (кабинет Главы управы).
Количество дверей соответствует количеству кабинетов в здании.
Дверь входа в здание – железная укрепленная.
Требования к монтажу кабельной проводки – скрытый монтаж.
Генераторы вибро-акустического зашумления не установлены.
Генераторы электромагнитного шума не установлены.
Направления деятельности Районной управы:
— юридический отдел;
— отдел муниципального обслуживания;
— вопросы безопасности;
— вопросы строительства;
— вопросы транспорта;
— вопросыкоординации жилищно-коммунального хозяйства;
— вопросы социального развития;
— вопросы общественных организаций;
— вопросы экономического развития;
— вопросы кадрового развития;
— вопросы бытового обслуживания;
На предприятии отсутствуют
сведения, составляющие государственную
тайну, но ведется работа с коммерческой
и служебной тайной. Существует ряд
нормативно- правовых актов регламентирующих
правила пользования этими
В Районной управе существует своя локальная сеть, доступ к которой имеют только служащие Районной управы. В большинстве случаев имеется доступ лишь к ограниченному числу сайтов этой сети, необходимых в ходе трудовой деятельности. Информация о каждом выходе в сеть фиксируется системным администратором. Это также относится к сети Интернет.
Основными объектами защиты являются:
— АРМ сотрудников;
— сервер локальной сети;
— конфиденциальная информация (документы);
— кабинет Главы управы;
— зал проведения совещаний;
— кабинеты с конфиденциальной документацией.
В Районной управе разработана часть мер по защите информации:
— заключен договор об охране помещения и территории;
— разработан график работы и посещения населения;
— разработан режим и
правила противопожарной
— режим видеонаблюдения этажей;
— разработаны должностные инструкции служащих, разграничивающие их права и обязанности;
—дополнительные соглашения
к трудовым договорам сотрудников
о неразглашении ими
— инструкции по охране периметра, по эксплуатации системы охранной сигнализации и видеонаблюдения;
— положение о конфиденциальном документообороте;
— описание технологического процесса обработки КИ;
— установлена антивирусная системы защиты на АРМ;
— доступ к АРМ разграничен паролями.
Модель бизнес-процесса Районной управы Дмитровского района максимально подробно описана в Приложении №1.
Проанализировав структуру
Районной управы можно выделить, что
она имеет очень обширную сферу
деятельности. Потому, что состоит
из множества отделов. В каждом отделе
рассматриваются различные
В связи с этим значение
данного объекта и его
4. ЗАДАЧИ ПОСТРОЕНИЯ КСЗИ
После анализа имеющихся данных можно выделить ряд задач необходимых для построения КСЗИ:
— дополнение имеющихся мер защиты, внедрение и организацию;
— составить комплекс организационных мероприятий;
—проработать перечень программно-аппаратных и инженерно-технических мер;
— необходимо составить перечень конфиденциальной информации;
— составляется перечень объектов защиты;
— определить перечень угроз для этих объектов;
— рассчитать информационные риски.
Рассмотрев состав информационных ресурсов предприятия, определяем состав конфиденциальной информации:
— Сведения, составляющие коммерческую тайну;
— Сведения, содержащие персональные данные.
Получаем перечень сведений, составляющих конфиденциальную информацию
Также необходимо определить местоположение защищаемой информации на предприятии. Для этого составляется перечень объектов защиты (Приложение №3), включающий структурную графическую схему второго этажа в здании Районной управы (Приложение №4), где проходит основной поток конфиденциальной информации.
5. ЭТАПЫ ПОСТРОЕНИЯ КСЗИ
Для создания комплексной системы защиты информации на предприятии необходимо провести ряд мероприятий.
Эти мероприятия может проводить как специально приглашённая фирма- исполнитель, так и служба безопасности предприятия (если она имеет лицензию на осуществление этой деятельности).
1.Стартовый (начальный).
— Получение согласия высшего руководства на создание КСЗИ.
— Разработка плана работ по созданию КСЗИ.
— Формирование команды по созданию КСЗИ.
В результате проведения этого этапа должны появиться следующие документы:
— Приказ о создании КСЗИ,
— план работ по созданию КСЗИ,
— приказ о формировании команды,
— приказ о проведении обследования предприятия.
2. Этап предпроектного обследования.
На этом этапе проводится обследование (аудит) предприятия.
— Инвентаризация объектов информатизации и персонала.
— Выявление информационных потоков.
— Моделирование бизнес-процессов.
— Разработка отчёта, в который должны входить: объекты защиты с точки зрения угроз, модели злоумышленников, ответственные за объекты информатизации, расчёт рисков, ранжирование рисков.
— Разработка технического задания на проектирование КСЗИ. В него входят ключевые объекты защиты, меры и средства защиты, требования по защите.
3. Проектирование.
— Создание системного проекта.
— Создание “Политики безопасности”.
— Проведение работ по созданию КСЗИ (технический проект с опорой на ресурсы, «Технический проект на создание КСЗИ» представляет собой комплект документов, в который входит часть документов разработанных на предыдущих этапах и ряд новых документов, в которых описано, как именно будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ).
— Создание рабочего проекта.
4. Внедрение
На этом этапе создаётся пакет документов «Эксплуатационная документация на КСЗИ», который включает:
— Инструкции эксплуатации КСЗИ и её элементов;
— Процедуры регламентного
— Правила и положения по проведению тестирования и анализа работы КСЗИ.
На этом этапе проводится все
пусконаладочные работы, обучает
и инструктирует персонал предприятия
правилам и режимам эксплуатации
КСЗИ.
После реализации этого этапа внедренная
КСЗИ готова к последующему испытанию.
В процессе испытаний выполняются тестовые
задания и контролируются полученные
результаты, которые и являются индикатором
работоспособности спроектированной
КСЗИ. По результату испытания КСЗИ делается
вывод относительно возможности представления
КСЗИ на государственную экспертизу.