Разработка предложений по организационной защите информации научно-исследовательских организаций (к заказу Б-360012) 3

Содержание

СОДЕРЖАНИЕ

СПИСОК СОКРАЩЕНИЙ 4

ВВЕДЕНИЕ 5

ГЛАВА 1. АНАЛИЗ СТРУКТУРЫ И ДОКУМЕНТОПОТОКОВ НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ ОРГАНИЗАЦИИ КАК ОБЪЕКТА ЗАЩИТЫ 8

1.1. Организационно-функциональная структура научно-исследовательской организации 8

1.2. Анализ документопотоков научно-исследовательской организации 10

1.3. Источники дестабилизирующего воздействия на информацию научно-исследовательской организации 13

1.4. Анализ каналов утечки конфиденциальной информации 16

1.5. Анализ схемы локально вычислительной сети научно-исследовательской организации 24

ГЛАВА 2. ОРГАНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ ОРГАНИЗАЦИИ 30

2.1. Организация деятельности службы безопасности 30

2.2. Нормативно-правовая база защиты конфиденциальной информации в информационной системе и на автоматизированных рабочих местах 33

2.3. Управление персоналом, имеющим доступ к конфиденциальной

информации 37

ГЛАВА 3. СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ ОРГАНИЗАЦИИ 39

3.1. Совершенствование службы безопасности 39

3.2 Совершенствование нормативно-правовых документов 42

3.3. Разработка модели угроз и уязвимостей 43

3.4. Разработка комплекса технических мероприятий 44

3.5. Экономическое обоснование 72

ЗАКЛЮЧЕНИЕ 77

СПИСОК ЛИТЕРАТУРЫ 80

Выдержка из текста

ВВЕДЕНИЕ

Актуальность выпускной квалификационной работы заключается в том, что на сегодняшний день существует возможность доступа физических лиц к базам конфиденциальных данных, а так же усилением риска вторжения в сферу коммерческой тайны предприятия и нарушением прав неприкосновенности информации. Защита конфиденциальной информации является одной из наиболее острых проблем в информатизации организаций, например, в научной сфере.

Современные информационные технологии играют важнейшую роль во всех сферах деятельности человека, но одной из наиболее серьезных проблем, препятствующих их повсеместному внедрению, является обеспечение защиты информации, в том числе защиты информации и сведений, составляющих конфиденциальную тайну, – данных об инновационных разработках научно-исследовательского института [15].

Современное общество уделяет большое внимание глобальному обмену информацией, которая, вероятно, становится самым важным и востребованным ресурсом [31-34]. Информация об объектах, конкурентах собирается постоянно. В последнее время в России был принят ряд законодательных актов, которые регламентируют меры по защите конфиденциальной информации, однако крупные организации, не торопятся принимать адекватные меры по защите. В большей степени это обусловлено несовершенством самих Законодательных и нормативных актов, регулирующих это направление [1,3,4-5, 17,23,27-29].

Долгое время вопросы защиты конфиденциальной информации в информационных системах в России никак не регулировались [19]. Все эти годы огромные массивы информации находились фактически в свободном доступе в сети Интернет.

Актуальной проблемой остается вопрос минимизации затрат по защите конфиденциальной информации в соответствии с требованиями действующих законов и нормативных актов.

Объектом исследования выпускной квалификационной работы является «Информационная безопасность автоматизированных информационных систем (АИС)», а предметом исследования – «Методы и средства защиты информации в АИС предприятия».

Целью выпускной квалификационной работы является: «Разработка предложений по организации и защите информации в научно-исследовательской организации.

Для достижения поставленной цели необходимо решить следующие задачи:

1) рассмотреть основные принципы, методы и средства защиты информации в АИС;

2) выполнить анализ информационной системы научно-исследовательской организации;

3) разработать предложения по защите информационной системы научно-исследовательской организации и выработать рекомендации по внедрению разработанных предложений [18];

5) выполнить оценку экономической эффективности внедрения комплексной системы защиты АИС предприятия.

Теоретические основы данной работы составляют работы следующих авторов: В.А. Галатенко [5], В.В. Домарева [9], В.Н. Ярочкина [9], С. Бармена [5], В.В. Липаева [7], А.В.Некраха [12].

Практическая значимость работы состоит в разработке средств и методов защиты информации в автоматизированных информационных системах, которые могут быть использованы для организации комплексных систем защиты информации на предприятиях различных форм собственности. В результате работы будут разработаны рекомендации по разработке системы защиты информации в компьютерной сети научно-исследовательской организации.

Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы.

Первая глава посвящена анализу функциональной структуры предприятия, а так же анализу схемы локально вычислительной сети научно-исследовательской организации, проводится анализ системы защиты организации на основе анализа информационных потоков организации.

Во-второй главе проводится анализ защищенности организации, а так же деятельность службы информационнной безопасности, деятельность лиц при работе с конфиденциальной информацией.

В третьей главе проводится разработка предложений по созданию комплексной системы защиты информации, включая совершенствование деятельности службы безопасности и нормативно-правовых документов, технической структуры предприятия, рассмотрены вопросы состава технического решения для обеспечения системы защиты информации, а так же приведено экономическое обоснования целесообразности внедрения, разработанных предложений по защите информации в научно исследовательской организации.

Общий объем работы составляет 70 страниц.

Список использованной литературы

СПИСОК ЛИТЕРАТУРЫ

1. Бармен С., Разработка правил информационной безопасности. — М.: Издательский дом "Вильямс", 2002. — 208 с.

2. Бачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. — 789 с.

3. Белов Е.Б., Лось В.П., Основы информационной безопасности. — М.: Горячая линя — Телеком, 2006. — 544 с

4. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. — СПб.: СПбГУ ИТМО, 2004. — 161 с.

5. Блэк У. Интернет: протоколы безопасности. Учебный курс. — СПб.: Питер, 2001. — 288 с.: ил.

6. Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. — Пенза: Изд-во ПГУ, 2005. — 107 с.

7. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя — Телеком, 2004. — 346 с

8. Гайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.

9. Галатенко В.А., Стандарты информационной безопасности. — М.: "Интернет-университет информационных технологий — ИНТУИТ.ру", 2004. — 328 c.

10. Государственный стандарт Российской Федерации ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

11. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;

12. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;

13. ГОСТ Р 50739-95 — Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

14. Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.

15. Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере; Форум — Москва, 2014. — 368 c.

16. Защита информации в системах мобильной связи; Горячая Линия — Телеком — , 2013. — 176 c.

17. Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации; Форум — Москва, 2011. — 256 c.

18. Кузнецов А. А. Защита деловой информации; Экзамен — Москва, 2013. — 256 c.

19. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.

20. Мельников, Виталий Викторович Защита информации в компьютерных системах; М.: Финансы и статистика; Электроинформ — Москва, 2010. — 368 c.

21. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)

22. Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах. Константинова Л.А., Писеев В.М.МИЭТ , 2007.

23. Методы и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В.И., Писеев В.М. МИЭТ, 1995.

24. Некраха А. В., Шевцова Г. А. Организация конфиденциального делопроизводства и защита информации; Академический Проект — , 2011. — 224 c.

25. Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru) [15.04.2014]

26. Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru)

27. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)

28. Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.

29. Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

30. Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;

31. Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;

32. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;

33. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

34. Северин В. А. Комплексная защита информации на предприятии; Городец — Москва, 2013. — 368 c.

35. Сергеева Ю. С. Защита информации. Конспект лекций; А-Приор — Москва, 2011. — 128 c.

36. Спесивцев, А.В.; Вегнер, В.А.; Крутяков, А.Ю. Защита информации в персональных ЭВМ; М.: Радио и связь — Москва, 2012. — 192 c.

37. Судоплатов А.П., Пекарев СВ. Безопасность предприниматель-ской деятельности: Практическое пособие. VI.: 2001.

38. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г.

39. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.12.2013) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.02.2014).

40. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) "О персональных данных"

41. Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 28.12.2013)

42. Хорев П. Б. Программно-аппаратная защита информации; Форум — Москва, 2014. — 352 c.

43. Шаньгин В. Ф. Защита информации в компьютерных системах и сетях; ДМК Пресс — Москва, 2012. — 592 c.

44. Шаньгин В. Ф. Комплексная защита информации в корпоративных системах; Форум, Инфра-М — Москва, 2010. — 592 c.

45. Шаньгин В.Ф. Защита компьютерной информации; Книга по Требованию — Москва, 2010. — 544 c.

46. Шаньгин, В.Ф. Защита компьютерной информации; М.: ДМК Пресс — Москва, 2011. — 544 c.

47. Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996

48. Мельников Д. А. Учебник ''Информационная безопасность открытых систем''.:2012

49. Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

50. Постановление Правительства Российской Федерации от 16.03.2009 N 228 Правительство Российской Федерации Постановление от 16 марта 2009 г. N 228 “О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».

51. Национальный стандарт Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст).