Содержание
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 3
1. СУЩНОСТЬ И ЗАДАЧИ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 5
1.1. Подходы к проектированию систем защиты информации 5
1.2. Понятие комплексной системы защиты информации (КСЗИ) 8
1.3. Назначение комплексной системы защиты информации 12
1.4. Принципы построения комплексной системы защиты информации 15
1.5. Основные требования, 17
предъявляемые к комплексной системе защиты информации 17
2. РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ НА ПРИМЕРЕ ПРЕДПРИЯТИЯ ОАО «МЕГАФОН РИТЕЙЛ» 19
2.1 Цели и политики безопасности 19
2.2 Хранение, обработка и передача электронных конфиденциальных данных 44
2.3 Коммерческая тайна Компании. 47
2.4 Организация учета носителей персональных данных на магнитной, магнитооптической и бумажной основе 34
3. СИСТЕМА ТЕХНИЧЕСКОЙ ЗАЩИТЫ 37
3.1 Расчет контролируемой зоны объекта 37
3.2 Выявление каналов утечки и несанкционированного доступа к ресурсам. 40
3.3 Разработка подсистемы контроля и управления доступом 45
3.4 Разработка подсистемы видеонаблюдения 53
3.5 Система охранно-пожарной сигнализации 61
3.3 Система противодействия утечке информации по техническим каналам 72
3.6 Расчёт экономической эффективности комплексной системы защиты информации (КСЗИ) 87
ЗАКЛЮЧЕНИЕ 90
ПРИЛОЖЕНИЕ 1 94
ПРИЛОЖЕНИЕ 2 99
ПРИЛОЖЕНИЕ 3 100
ПРИЛОЖЕНИЕ 4 101
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 102
Выдержка из текста
ВВЕДЕНИЕ
На рынке защиты информации предлагается много от¬дельных инженерно-технических, программно-аппарат¬ных, криптографических средств защиты информации. В литературе по защите информации можно найти описа¬ние методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым эле¬ментом системы и вместе с тем самым трудно формализуе¬мым и потенциально слабым ее звеном.
Создание системы защиты информации (СЗИ) не явля¬ется главной задачей предприятия, как, например, произ¬водство продукции и получение прибыли. Поэтому созда¬ваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть эконо¬мически оправданным. Тем не менее она должна обеспечи¬вать защиту важных информационных ресурсов предпри¬ятия от всех реальных угроз.
В дипломной работе предложен комплексный подход к организа¬ции защиты информации (ЗИ) на предприятии. При этом объектом исследования является не только информацион¬ная система, но и предприятие в целом.
Рассматриваются концептуальные основы защиты ин¬формации, раскрывающие сущность, цели, структуру и стратегию защиты.
Анализируются источники, способы и результаты де¬стабилизирующего воздействия на информацию, а также каналы и методы несанкционированного доступа к инфор¬мации.
Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности. Политика описывает безопасность в обобщенных терминах, без специфических деталей и не оперирует способами реализации.
Прежде чем приступать к разработке руководящих документов, необходимо определить глобальные цели политики предприятия.
Необходимо выделить системы, в которых обращается конфиденциальная информация, чтобы знать, сколько и каких правил необходимо разработать, и быть уверенными, что все стороны деятельности охвачены разрабатываемыми правилами.
Как правило, выделяют следующий минимум систем:
− контроля доступа в помещения организации;
− аппаратные средства (в том числе локальная вычислительная сеть и инвентаризационный учёт);
− программные средства (в том числе подсистема резервирования и архивации информации);
− управление доступом (политики учётных записей и паролей);
− кадровая;
− антивирусная;
− внешнего доступа (в зависимости от сложности может быть разделена на отдельные системы электронной почты, Web и т.д.);
− внекомпьютерных информационных ресурсов (бумажные документы, персонал).
Политика информационной безопасности должна ясно определить и установить ответственность за защиту информации, которая обрабатывается, хранится и передается в информационных системах.
Список использованной литературы
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
I. Нормативно-правовые материалы:
1. Об информации, информационных технологиях и о защите информации: Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ // Российская газета. – 2006. – 29 июля.
2. О персональных данных: Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ// Российская газета. – 2006. – 29 июля.
3. О коммерческой тайне: Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ // Российская газета. – 2004. – 30 июля.
4. Концепция национальной безопасности Российской Федерации: Утв. Указом Президента Российской Федерации от 10.01.2000 г. № 24 // Собрание законодательства Российской Федерации. – 2000. – № 2
5. www.base.consultant.ru
II. Специальная литература:
6. Северин, В.А Правовая защита информации в коммерческих организациях / В. А. Северин. М.: ИЦ Академия, 2009. 224 с.
7. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. М.: Форум, 2009. 415 с.
8. Асанов С. Методические указания к курсовой работе по дисциплине "Информационная безопасность и защита информации": С. Асанов. – Кемерово: Типография ГУ КузГТУ, 2007. – 8 с.
9. Бармен. С. Разработка правил информационной безопасности: пер. с англ. / С. Бармен. – М.: Изд. дом. «Вильямс», 2002. – 208 с.
10. Липаев В. Информационная бюллетень Функциональная безопасность программных средств: В. Липаев. – М.: Jet Info, № 8 (135)/2004.
11. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А.,
Петров Ю.А. Информационная безопасность государственных
организаций и коммерческих фирм. Справочное пособие (под общей
редакцией Реймана Л.Д.) М: НТЦ «ФИОРД-ИНФО», 2002г.-272с.
12. Шпионские страсти. Электронные устройства двойного применения.
Рудометов Е.А. четвертое издание 2000г.
13. Петраков А.В. Основы практической защиты информации. 3-е изд.
Учебное пособие-М.: Радио и связь, 2001г.-368с.
14. Хорошко В.А., Чекатков А.А. Методы и средства защиты
информации(под редакцией Ковтанюка) К.: Издательство Юниор,
2003г.-504с.
15. WEB-сайт www.razvedka.ru
16. Игнатьев В.А. «Информационная безопасность современного коммерческого предприятия»; ТНТ, 2005; ISBN 5-94178070-2;
17. Ярочкин В.И. «Информационная безопасность»; Гаудеамус, 2004; ISBN 5-98426-008-5;
18. ГОСТ Р ИСО/МЭК 27000-2011 «Системы менеджмента информационной безопасности. Общий обзор и терминология», проект;
19. ГОСТ Р ИСО/МЭК 27001-2006 «Системы менеджмента информационной безопасности. Требования»;
20. ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью»;
21. ГОСТ Р ИСО/МЭК 27003-2011 «Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности», проект;
22. ISO/IEC 27005-2008 «Информационные технологии. Менеджмент рисков информационной безопасности»;
23. ГОСТ Р ИСО/МЭК 13335-1-2006 «Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»;
24. ГОСТ Р ИСО/МЭК 13335-3-2007 «Методы менеджмента безопасности информационных технологий»;
25. ГОСТ Р ИСО/МЭК 15408-1-2008 «Критерии и методы оценки безопасности информационных технологий. Введение и общая модель»;
26. РС БС ИББС 2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности по требованиям СТО БР ИББС 1.0»;
27. ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищённом исполнении»;
28. Руководящий документ Гостехкомиссии «Межсетевые экраны. Показатели защищённости от несанкционированного доступа к информации»;
29. Руководящий документ Гостехкомиссии «Средства вычислительной техники. Показатели защищённости от несанкционированного доступа к информации»;
30. Руководящий документ Гостехкомиссии «Классификация автоматизированных систем и требования по защите информации»;
31. Руководящий документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
32. Руководящий документ ФСТЭК «Методика оценки уровня исходной защищённости информационных систем персональных данных».
Размещено