Автор работы: Пользователь скрыл имя, 22 Апреля 2013 в 18:27, курсовая работа
Целью своей курсовой работы автор избрал разработку проекта КСЗИ на примере Управы Дмитровского района города Москва.
Задачи, которые автор поставил перед собой:
1. Проанализировать общую характеристику объекта защиты, оформленную в виде «Паспорта предприятия»;
2. Построить модель бизнес-процессов с целью выявления конфиденциальной информации;
1. ВВЕДЕНИЕ................................................................................................. 3
2. ПАСПОРТ ПРЕДПРИЯТИЯ. .................................................................... 5
3. ОПИСАНИЕ МОДЕЛИ БИЗНЕСС ПРОЦЕСС....................................... 9
4. ЗАДАЧИ ПОСТРОЕНИЯ КСЗИ .............................................................. 10
5. ЭТАПЫ ПОСТРОЕНИЯ КСЗИ ................................................................ 11
6. РАСЧЕТ ИНФОРМАЦИОННЫХ РИСКОВ ........................................... 13
7. РАЗРАБОТКА ПИБ ................................................................................... 20
8. ЗАКЛЮЧЕНИЕ .......................................................................................... 22
9. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ.. 23
10. ПРИЛОЖЕНИЯ .......................................................................................... 24
ПРИЛОЖЕНИЕ 1 .................................................................................... 24
ПРИЛОЖЕНИЕ 2...................................................................................... 36
ПРИЛОЖЕНИЕ 3........................................................................... ......... 45
ПРИЛОЖЕНИЕ 4..................................................................................... 47
Состав рабочей документации
Для документального определения режимов обработки и защиты информации в состав рабочей (исполнительной) документации по защите конфиденциальной информации необходимо включить следующие документы:
Приложение 2
"Политика безопасности Управы района Дмитровский города Москва"
Управа Дмитровского Района |
Политика
19.12.2012 г. № 1__
г. Москва
безопасности Управ Дмитровского района города Москва
Политика является основой для:
Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления
Разглашение КИ – несанкционированный выход защищаемых сведений и документов за пределы круга лиц, которым они доверены или стали известны в ходе их трудовой деятельности.
Разрешительная (разграничительная)
система доступа к информации
– совокупность обязательных норм,
устанавливаемых первым руководителем
или коллективным органом руководства
фирмой с целью закрепления за
руководителями и сотрудниками права
использования для выполнения служебных
обязанностей выделенных помещений, рабочих
мест, определенного состава
Сервер – аппаратно-
Автоматизированная станция - совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработки данных и информации и производства вычислений.
Коммерческая тайна –
это конфиденциальная информация, которая
имеет действительную или потенциальную
коммерческую ценность в силу неизвестности
её третьим лицам, к которой нет
свободного доступа на законном основании
и в отношении которой
Информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
Нарушитель – это лицо, которое предприняло попытку выполнения запрещённых операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные методы, возможности и средства.
АРМ – автоматизированное рабочее место
АС – автоматизированная станция
ЗИ – защита информации
ИБ – информационная безопасность
ИТ – информационные технологии
КД – конфиденциальные документы
КИ – конфиденциальная информация
КТ – коммерческая тайна
ЛВС – локальная вычислительная сеть
НДВ – не декларированные возможности
НСД – несанкционированный доступ
ПБ – политика безопасности
ПИ – персональный идентификатор
ПК – персональный компьютер
ПО – программное обеспечение
ПЭВМ – персональная электронно-вычислительная машина
ПЭМИН – побочные электромагнитные излучения и наводки
ОС – операционная система
ЧС – чрезвычайная ситуация
ЭЛТ – электронно-лучевая трубка
Ответственность подразделений распределяется следующим образом:
Режим функционирования информационной системы – только в рабочее время. В целях выполнения регламентных работ по обслуживанию оборудования или программного обеспечения системы возможна остановка в работе отдельных элементов системы (сервера.) без ущерба для общей функциональности.
При возникновении сбоев
соответствующее сообщение
Цель: обеспечение защиты информации от ее искажения, модификации, утраты, которые могут привести к нарушению работы районной управы, как муниципального органа управления.
Задачи политики безопасности:
определение оптимального количества сил и средств, необходимых для обеспечения безопасности.
Для поддержки программных приложений, системный администратор обязательном порядке, каждое утро проверяет наличие обновлений на сайтах производителей установленного ПО и, при наличии, принимает меры по исправлению сложившейся ситуации.
В случае обнаружения
несовпадения контрольных сумм
– осуществляется
Резервные копии информации и программного обеспечения должны извлекаться и тестироваться на регулярной основе.
Документация должна включать записи решений руководства для обеспечения отслеживаемости действий к решениям руководства и политикам, а также воспроизводимости записанных результатов.
В структуру документации по системе защиты информации входят:
Разрабатываемая документация оформляется в соответствии с ГОСТ РД 50-34.698-90 и ГОСТ 6.10-84, а так же «Положением о конфиденциальном документообороте».
В целях оперативного оповещения о произошедших инцидентах, плановых и внеплановых работ, ограничении функциональности и изменениях в документах, посвященных системе защиты информации оповещаются все служащие посредствам совещаний..
Все служащие Районной управы должны в обязательном порядке проходить обучение по вопросам информационной безопасности. Для персонала непосредственно участвующего в процессе разработки или поддержки функционирования информационной системы и системы безопасности такое обучение должно проходить не реже 1 раза в год, для всего остального персонала – не реже 1 раза в 3 года, для вновь принятых на работу – перед вступлением в должность.
Все инциденты информационной
безопасности должны записываться в
базу знаний для дальнейшего анализа
и выработки решений для
Кроме того должны быть разработаны и утверждены инструкции по действиям в аварийных ситуациях (пожар, затопление и др.).
Процедуры идентификации и аутентификации должны обеспечивать надёжный контроль доступа к ресурсам ИС.
Система контроля доступа должна обеспечивать надёжный контроль доступа к ресурсам ИС.
Система регистрации должна обеспечивать запись всех событий, происходящих в ИС, а так же предоставлять данные записи в удобочитаемом виде, для последующего ознакомления с ними соответствующими сотрудниками.
«Список объектов защиты»
Управа Дмитровского Района |
СПИСОК
19.12.2012 г. № 1__
г. Москва
объектов защиты