Пример готовой дипломной работы по предмету: Автоматизация технологических процессов
Содержание
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ 4
1 Теоретические основы политики информационной безопасности для автоматизированных информационных систем в защищенном исполнении 8
1.1 Понятие и нормативно-правовая база политики информационной безопасности для автоматизированных информационных систем 8
1.2 Классификация автоматизированных информационных систем и угроз безопасности информации 15
1.3 Оценка необходимости защиты и требования к защите информации от несанкционированного доступа в автоматизированных системах 22
2 Анализ политики информационной безопасности для АИС в ЗАО «Аэропорт «Храброво» 28
2.1 Краткая характеристика ЗАО «Аэропорт «Храброво» 28
2.2 Определение перечня защищаемых ресурсов, категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности 38
2.3 Определение особенностей расположения, функционирования и построения средств АС. Определение угроз безопасности информации и класса защищенности АС 41
3 Разработка проекта подсистемы защиты информации от несанкционированного доступа в ЗАО «Аэропорт Храброво» 51
3.1 Формирование требований к построению системы защиты информации 51
3.2 Выбор механизмов и средств защиты информации от несанкционированного доступа. Экономическая оценка проекта 54
3.3 Формулирование политики безопасности подразделений и информационных служб 63
ЗАКЛЮЧЕНИЕ 69
СПИСОК СОКРАЩЕНИЙ 73
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 74
ПРИЛОЖЕНИЕ А 80
ПРИЛОЖЕНИЕ Б 81
ПРИЛОЖЕНИЕ В 82
ПРИЛОЖЕНИЕ Г 83
ПРИЛОЖЕНИЕ Д 85
ПРИЛОЖЕНИЕ Е 87
ПРИЛОЖЕНИЕ Ж 95
ПРИЛОЖЕНИЕ З 97
ПРИЛОЖЕНИЕ И 98
ПРИЛОЖЕНИЕ К 99
Выдержка из текста
ВВЕДЕНИЕ
В настоящее время автоматизированные информационные системы (АИС), предназначенные для хранения, обработки и передачи информации имеют большое значение и играют ведущую роль в обеспечении эффективного функционирования различных предприятий, как частных, так и государственных.
Актуальность работы состоит в том, что за последние десятилетия наблюдается тенденция к увеличению числа информационных атак, которые при достижении своей цели приводят к значительным финансовым и материальным потерям для предприятия, а в некоторых случаях к полной парализации его деятельности. Существуют частные разведывательно-аналитические компании, такие как американская “Stratfor”, для которых информация является не только предметом исследования, но и ходовым товаром. На данный момент, практически любая АИС может явиться объектом информационной атаки, в результате которой может быть нарушено любое из трех свойств информации – целостность, конфиденциальность, доступность. Таким образом, тема разработки политики, призванной обеспечить надежную информационную безопасность АИС конкретного субъекта хозяйственной деятельности приобретает высокую актуальность.
Системы защиты информации – это сложная система, для построения которой используются особые принципы построения, которые должны учитывать специфику решаемых ими задач в конкретной организации, однако в любом случае здесь необходимо придерживаться определенных методологических принципов проведения исследований и проектирования. Вместе с этим необходимо учитывать требования нормативной документации. Эти вопросы будут подробно рассмотрены в первой главе данной выпускной работы.
Проблема разработки эффективной политики информационной безопасности учреждения тесно связана с вопросом выбора показателей и критериев защищенности АИС. Основными целями защиты информации являются: предотвращение утраты, хищения, искажения, предотвращение утечки, подделки информации; защита от несанкционированных действий по модификации, уничтожению, искажению, блокированию информации, копированию; предотвращение всевозможных форм незаконного вмешательства в информационные системы и информационные ресурсы.
Практическая значимость исследования заключается в том, что полученные в ходе его выполнения материалы и выводы могут быть использованы в ходе диверсификации политики информационной безопасности в ЗАО «Аэропорт «Храброво»». Политика информационной безопасности должна отвечать целям и задачам ЗАО «Аэропорт «Храброво»», в частности, описывать порядок использования и предоставления прав доступа пользователей, содержать требования к отчетности пользователей за всевозможные действия и т.п. Только в том случае система информационной безопасности окажется эффективной, если она будет соответствовать правилам политики безопасности. Процесс построения политики безопасности содержит такие обязательные пункты как: внесение в описание объекта АИС структуры ценности информации, анализ рисков, разработка правил для любого процесса использующего данный вид доступа к ресурсам объекта АИС.
Объектом исследования данной выпускной квалификационной работы является автоматизированная информационная система в защищенном исполнении.
Предмет исследования – политика информационной безопасности автоматизированных информационных систем в защищенном исполнении.
Цель квалификационной работы – изучение теоретических основ политики безопасности для автоматизированных информационных систем и разработка проекта подсистемы защиты информации для автоматизированных информационных систем в защищенном исполнении в ЗАО «Аэропорт «Храброво»».
Задачи исследования:
- рассмотреть теоретические основы политики информационной безопасности для автоматизированных информационных систем в защищенном исполнении;
- подобрать литературу на темы защиты информации и политики безопасности в области автоматизированных информационных систем;
- исследовать и проанализировать политику безопасности автоматизированной информационной системы на текущий момент в ЗАО «Аэропорт «Храброво»»;
- на основе проведенного анализа, выбрать механизмы и сформулировать требования к построению системы защиты информации;
- разработать проект подсистемы защиты информации для предприятия ЗАО «Аэропорт «Храброво»».
Теоретическую базу исследования составили материалы научных работ в области информационных технологий и проектирования автоматизированных информационных систем, относящиеся к проблемам исследования. Основные авторы, труды которых в области защиты информационных систем использовались при написании работы: кандидат технических наук, профессор, декан МИФИ Малюк А.А.; кандидат технических наук, доцент, полковник запаса Домарев В.В.; доцент кафедры комплексной защиты информации факультета информационных систем и безопасности Института информационных наук и технологий безопасности РГГУ Казарин О.В.. Эмпирической базой исследования послужила отчетность об управленческой деятельности и концепция политики информационной безопасности ЗАО «Аэропорт «Храброво»» за 2013 – 2014 гг.
Методами исследования являются: структурно — функциональный, системный анализ; расчетно-аналитический метод; метод логического анализа.
Структура квалификационной работы: введение, три раздела основной части, заключение, список использованных источников, приложения.
Во введении обозначена актуальность исследования, определены объект, предмет, цель, задачи, методы, практическая значимость исследования.
В первой главе проведен обзор теоретических и нормативно – правовых основ рассматриваемой темы.
Во второй главе проведен анализ политики информационной безопасности для АИС в ЗАО «Аэропорт «Храброво».
В третьей главе приведена разработка проекта подсистемы защиты информации от несанкционированного доступа в ЗАО «Аэропорт «Храброво».
Список использованной литературы
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург,
2. января 1981 года) // Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
2. Конституция Российской Федерации принятая всенародным голосованием
1. декабря 1993 г. (в ред. от
2. марта 2014) // СЗ РФ. – 2014.- № 7.- Ст.24.
3. Федеральный закон от
2. июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в ред. от
3. декабря 2014 г.) // СЗ РФ. – 2006. – № 18. – Ст.1365.
4. Федеральный закон от
2. июля 2006 г. № 152-ФЗ
«О персональных данных» (в ред. от
2. июля 2014 г.) // СЗ РФ. – 2006. – № 18. – Ст.1369.
5. Указ Президента РФ от 6 марта 1997 г. №
18. «Об утверждении перечня сведений конфиденциального характера» (в ред. от 23 сентября 2005 г.) // СЗ РФ. – 1997. – № 8. – Ст.3007.
6. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
7. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности// Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
8. ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий// Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
9. ГОСТ Р ИСО/МЭК 15408-2-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть
2. Функциональные требования безопасности// Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
10. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности// Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
11. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения// Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
12. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 21 февраля 2008 г. № 149/6/6-622) // Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
13. Приложение к приказу ФСТЭК России от 5 февраля 2010 г. №
5. «Положение о методах и способах защиты информации в информационных системах персональных данных» Москва. 2010 г.
14. ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» Методический документ. Москва 2008 г. – 69с.
15. ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» Методический документ. Москва 2008 г. – 10с.
16. РД Гостехкомиссии «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации» Утверждена решением Гостехкомиссии при Президенте Российской Федерации от
3. марта 1992 г.) // Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
17. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 14 февраля 2008 г.) // Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
18. Модель угроз и нарушителя безопасности персональных данных , обрабатываемых в специальных информационных системах персональных данных отрасли. Методический документ. Министерство связи и массовых коммуникаций Российской Федерации. Москва. 2010 г. – 50с.
19. РД Гостехкомиссии «Средства вычислительной техники. Защита от НСД. Показатели защищённости от несанкционированного доступа к информации». Утверждена решением Гостехкомиссии при Президенте Российской Федерации от
3. марта 1992 г.) // Правовая информационная система Гарант (последнее обновление:
1. марта 2015 г.)
20. Яковлев В.В., Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях. – М.: Маршрут, 2012. — 327 с.
21. Хорев А.А. Способы и средства зашиты информации. — М.: МО РФ, 2011. — 316 с.
22. Торокин А.А. Инженерно-техническая защита информации. – М.: Гелиос АРВ, 2012. – 960 с.
23. Сидорин Ю.С. Технические средства защиты информации: Учеб. пособие. СПб.: Изд-во Политехн. ун-та, 2013. — 141 с.
24. Нестеров С.А. Анализ и управление рисками в информационных системах на базе операционных систем. Microsoft — М.: Интернет-Университет Информационных Технологий (ИНТУИТ), 2009.— 126 c
25. Новиков Ю. С. Локальные сети: архитектура, алгоритмы, проектирование. – М.: ЭКОМ, 2012. — 145 с.
26. Малюк А.А. Теория защиты информации М.: Горячая линия — Телеком, 2012.— 184 c.
27. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая линия-Телеком, 2011. – 148 с.
28. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2014.-280 с.
29. А. А. Гладких, В. Е. Дементьев «Базовые принципы информационной безопасности вычислительных систем» Учебное пособие. Ульяновск. 2009 – 164с.
30. Бугров Ю.Г. Системные основы оценивания и защиты информации: Учеб. Пособие. — Воронеж: Воронеж. гос. техн. ун-т, 2011.- 354 с.
31. Бузов Е.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.:Дело.-2012.-416 с.
32. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С. А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) — М.: НТЦ «ФИОРД-ИНФО», 2013.-272с.
33. Домарев В.В. Безопасность информационных технологий. Системный подход – М.:Эксмо, 2012.-992 с.
34. Казарин О.В. Безопасность программного обеспечения компьютерных систем — М.: МГУЛ, 2013. — 212 с.
35. Чефранова А.О., Игнатов В.В., Уривинский А.В. и др. Технология построения VPN VIPNet: курс лекций Учебное пособие. – М.: Прометей, 2009. – 180 с.
36. Кульгин М. В. Технология корпоративных сетей. Энциклопедия. СПб, Питер, 2011. — 300 с.
37. Технологическая документация службы АСУ и связи ЗАО «Аэропорт Храброво» 2011 – 2015 год — 153с.
Электронные ресурсы:
38. Политика информационной безопасности (расширенный комплект) [Электронный ресурс]: URL: http://securitypolicy.ru/index.php/ (дата обращения: 11.04.2015)
39. Обнаружение несанкционированных подключений к локальной сети в режиме реального времени [Электронный ресурс]: URL: http://citforum.ru/security/articles/ids/ (дата обращения: 1.04.2015)
40. «Российские компании боятся инсайдеров больше чем вырусов» Исследования компании «Код безопасности» [Электронный ресурс]: URL: http://servernews.ru/595169 (дата обращения: 6.04.2015)
41. Сердюк В. Информационная безопасность автоматизированных систем предприятия [Электронный ресурс]
URL: http://www.interface.ru/home.asp?artId=17238 (дата обращения: 6.04.2015)
42. Меньшаков Ю.К. Защита объектов и информации от технических средств разведки [Электронный ресурс]
URL: http://isopenid.ru/zashchita-obektov-i-informatsii-ot-tekhnicheskikh-sredstv-razvedki.html (дата обращения: 15.04.2015)
43. Корчагин И. Принципы построения защищенных автоматизированных информационных систем [Электронный ресурс]
URL: http://daily.sec.ru/2015/01/16/Printsipi-postroeniya-zashishennih-avtomatizirovannih-informatsionnih-sistem.html (дата обращения: 13.04.2015)
