Содержание
СОДЕРЖАНИЕ
СПИСОК СОКРАЩЕНИЙ 4
ВВЕДЕНИЕ 5
ГЛАВА 1. АНАЛИЗ СТРУКТУРЫ И ДОКУМЕНТОПОТОКОВ НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ ОРГАНИЗАЦИИ КАК ОБЪЕКТА ЗАЩИТЫ 8
1.1. Организационно-функциональная структура научно-исследовательской организации 8
1.2. Анализ документопотоков научно-исследовательской организации 10
1.3. Источники дестабилизирующего воздействия на информацию научно-исследовательской организации 13
1.4. Анализ каналов утечки конфиденциальной информации 16
1.5. Анализ схемы локально вычислительной сети научно-исследовательской организации 24
ГЛАВА 2. ОРГАНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ ОРГАНИЗАЦИИ 30
2.1. Организация деятельности службы безопасности 30
2.2. Нормативно-правовая база защиты конфиденциальной информации в информационной системе и на автоматизированных рабочих местах 33
2.3. Управление персоналом, имеющим доступ к конфиденциальной
информации 37
ГЛАВА 3. СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ ОРГАНИЗАЦИИ 39
3.1. Совершенствование службы безопасности 39
3.2 Совершенствование нормативно-правовых документов 42
3.3. Разработка модели угроз и уязвимостей 43
3.4. Разработка комплекса технических мероприятий 44
3.5. Экономическое обоснование 72
ЗАКЛЮЧЕНИЕ 77
СПИСОК ЛИТЕРАТУРЫ 80
Выдержка из текста
ВВЕДЕНИЕ
Актуальность выпускной квалификационной работы заключается в том, что на сегодняшний день существует возможность доступа физических лиц к базам конфиденциальных данных, а так же усилением риска вторжения в сферу коммерческой тайны предприятия и нарушением прав неприкосновенности информации. Защита конфиденциальной информации является одной из наиболее острых проблем в информатизации организаций, например, в научной сфере.
Современные информационные технологии играют важнейшую роль во всех сферах деятельности человека, но одной из наиболее серьезных проблем, препятствующих их повсеместному внедрению, является обеспечение защиты информации, в том числе защиты информации и сведений, составляющих конфиденциальную тайну, – данных об инновационных разработках научно-исследовательского института [15].
Современное общество уделяет большое внимание глобальному обмену информацией, которая, вероятно, становится самым важным и востребованным ресурсом [31-34]. Информация об объектах, конкурентах собирается постоянно. В последнее время в России был принят ряд законодательных актов, которые регламентируют меры по защите конфиденциальной информации, однако крупные организации, не торопятся принимать адекватные меры по защите. В большей степени это обусловлено несовершенством самих Законодательных и нормативных актов, регулирующих это направление [1,3,4-5, 17,23,27-29].
Долгое время вопросы защиты конфиденциальной информации в информационных системах в России никак не регулировались [19]. Все эти годы огромные массивы информации находились фактически в свободном доступе в сети Интернет.
Актуальной проблемой остается вопрос минимизации затрат по защите конфиденциальной информации в соответствии с требованиями действующих законов и нормативных актов.
Объектом исследования выпускной квалификационной работы является «Информационная безопасность автоматизированных информационных систем (АИС)», а предметом исследования – «Методы и средства защиты информации в АИС предприятия».
Целью выпускной квалификационной работы является: «Разработка предложений по организации и защите информации в научно-исследовательской организации.
Для достижения поставленной цели необходимо решить следующие задачи:
1) рассмотреть основные принципы, методы и средства защиты информации в АИС;
2) выполнить анализ информационной системы научно-исследовательской организации;
3) разработать предложения по защите информационной системы научно-исследовательской организации и выработать рекомендации по внедрению разработанных предложений [18];
5) выполнить оценку экономической эффективности внедрения комплексной системы защиты АИС предприятия.
Теоретические основы данной работы составляют работы следующих авторов: В.А. Галатенко [5], В.В. Домарева [9], В.Н. Ярочкина [9], С. Бармена [5], В.В. Липаева [7], А.В.Некраха [12].
Практическая значимость работы состоит в разработке средств и методов защиты информации в автоматизированных информационных системах, которые могут быть использованы для организации комплексных систем защиты информации на предприятиях различных форм собственности. В результате работы будут разработаны рекомендации по разработке системы защиты информации в компьютерной сети научно-исследовательской организации.
Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы.
Первая глава посвящена анализу функциональной структуры предприятия, а так же анализу схемы локально вычислительной сети научно-исследовательской организации, проводится анализ системы защиты организации на основе анализа информационных потоков организации.
Во-второй главе проводится анализ защищенности организации, а так же деятельность службы информационнной безопасности, деятельность лиц при работе с конфиденциальной информацией.
В третьей главе проводится разработка предложений по созданию комплексной системы защиты информации, включая совершенствование деятельности службы безопасности и нормативно-правовых документов, технической структуры предприятия, рассмотрены вопросы состава технического решения для обеспечения системы защиты информации, а так же приведено экономическое обоснования целесообразности внедрения, разработанных предложений по защите информации в научно исследовательской организации.
Общий объем работы составляет 70 страниц.
Список использованной литературы
СПИСОК ЛИТЕРАТУРЫ
1. Бармен С., Разработка правил информационной безопасности. — М.: Издательский дом "Вильямс", 2002. — 208 с.
2. Бачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. — 789 с.
3. Белов Е.Б., Лось В.П., Основы информационной безопасности. — М.: Горячая линя — Телеком, 2006. — 544 с
4. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. — СПб.: СПбГУ ИТМО, 2004. — 161 с.
5. Блэк У. Интернет: протоколы безопасности. Учебный курс. — СПб.: Питер, 2001. — 288 с.: ил.
6. Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. — Пенза: Изд-во ПГУ, 2005. — 107 с.
7. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя — Телеком, 2004. — 346 с
8. Гайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.
9. Галатенко В.А., Стандарты информационной безопасности. — М.: "Интернет-университет информационных технологий — ИНТУИТ.ру", 2004. — 328 c.
10. Государственный стандарт Российской Федерации ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
11. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
12. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
13. ГОСТ Р 50739-95 — Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
14. Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.
15. Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере; Форум — Москва, 2014. — 368 c.
16. Защита информации в системах мобильной связи; Горячая Линия — Телеком — , 2013. — 176 c.
17. Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации; Форум — Москва, 2011. — 256 c.
18. Кузнецов А. А. Защита деловой информации; Экзамен — Москва, 2013. — 256 c.
19. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.
20. Мельников, Виталий Викторович Защита информации в компьютерных системах; М.: Финансы и статистика; Электроинформ — Москва, 2010. — 368 c.
21. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)
22. Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах. Константинова Л.А., Писеев В.М.МИЭТ , 2007.
23. Методы и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В.И., Писеев В.М. МИЭТ, 1995.
24. Некраха А. В., Шевцова Г. А. Организация конфиденциального делопроизводства и защита информации; Академический Проект — , 2011. — 224 c.
25. Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru) [15.04.2014]
26. Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru)
27. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
28. Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.
29. Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
30. Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
31. Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
32. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
33. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
34. Северин В. А. Комплексная защита информации на предприятии; Городец — Москва, 2013. — 368 c.
35. Сергеева Ю. С. Защита информации. Конспект лекций; А-Приор — Москва, 2011. — 128 c.
36. Спесивцев, А.В.; Вегнер, В.А.; Крутяков, А.Ю. Защита информации в персональных ЭВМ; М.: Радио и связь — Москва, 2012. — 192 c.
37. Судоплатов А.П., Пекарев СВ. Безопасность предприниматель-ской деятельности: Практическое пособие. VI.: 2001.
38. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г.
39. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.12.2013) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.02.2014).
40. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) "О персональных данных"
41. Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 28.12.2013)
42. Хорев П. Б. Программно-аппаратная защита информации; Форум — Москва, 2014. — 352 c.
43. Шаньгин В. Ф. Защита информации в компьютерных системах и сетях; ДМК Пресс — Москва, 2012. — 592 c.
44. Шаньгин В. Ф. Комплексная защита информации в корпоративных системах; Форум, Инфра-М — Москва, 2010. — 592 c.
45. Шаньгин В.Ф. Защита компьютерной информации; Книга по Требованию — Москва, 2010. — 544 c.
46. Шаньгин, В.Ф. Защита компьютерной информации; М.: ДМК Пресс — Москва, 2011. — 544 c.
47. Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996
48. Мельников Д. А. Учебник ''Информационная безопасность открытых систем''.:2012
49. Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
50. Постановление Правительства Российской Федерации от 16.03.2009 N 228 Правительство Российской Федерации Постановление от 16 марта 2009 г. N 228 “О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».
51. Национальный стандарт Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст).