Размещено на http:\\www.allbest.ru\

33

Оглавление

• Введение 2
• 1. Описание предприятия 3
• 1.1 Характеристика информационной системы предприятия 4
• 1.2 Актуальность проблемы защиты информации в торговом центре 5
• 1.3 Задачи 6
• 1.4 Цели и задачи защиты информации в торговом центре 6
• 1.5 Объекты и предметы защиты в торговом центре 8
• 1.6 Угрозы защищаемой информации в торговом центре 9
• 2. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию 12
• 2.1 Каналы и методы несанкционированного доступа к защищаемой информации в торговом центре 14
• 2.2 Система защиты персональных данных 14
• 2.3 Матрица доступа 21
• 2.4 Классы информационных систем персональных данных (ИСПД) 23
• 2.5 Требования по защите информации от НСД 24
• 2.6 Требования к классу защищенности 1Г 26
• 2.7 Организация комплексной системы защиты информации в торговом центре 30
• Заключение 32
• Список используемой литературы 33

Введение

Целью курсовой работы является разработка политики безопасности предприятия.

Совершенствование политики информационной безопасности на предприятиях, фирмах и организациях очень важно в современном мире.

Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации.

Отсутствие современной, правильно выстроенной политики безопасности на предприятии, может привести к потере важной информации, что приводит к большим издержкам материального характера и потере доверия со стороны клиентов организации. Поэтому необходимо уделять пристальное внимание вопросам информационной безопасности.

1. Описание предприятия

Торговый центр «Мельфиорэ».

Пользователей - 20.

Компьютеров - 8.

Режим многопользовательский.

Есть выход в интернет.

Система распределенная.

Обрабатываемых данных больше 1000 и меньше 10000.

Нужно защитить персональные данные.

Торговый центр включает в себя следующие отделы:

1. хозяйственный отдел;

2. канцелярский отдел;

3. отдел бытовой техники.

Уровни конфиденциальности:

1. персональные данные;

2. информация для служебного пользования.

В торговом центре имеются следующие должности:

1. директор;

2. главный бухгалтер;

3. управляющий;

4. администратор;

5. системный администратор;

6. продавец;

7. кассир;

8. менеджер по продажам;

9. менеджер отдела кадров;

10. грузчик;

11. кладовщик.

1.1 Характеристика информационной системы предприятия

Торговый центр использует следующее программное обеспечение:

- пакет Microsoft Office;

- 1С Предприятие 8. Управление торговлей (управление отношениями с клиентами, управление правилами продаж, управление процессами продаж, управление торговым представителями, управление запасами, управление закупками, управление складом, управление финансами, контроль и анализ целевых показателей деятельности предприятия, анализ товарооборота предприятия, анализ цен и управление ценовой политикой, мониторинг и анализ эффективности торговой деятельности);

- скидка 0.1 (программа для расчета и учета накопительных скидок);

Персональный компьютер есть только у директора (анализирует работу предприятия, планирования деятельности и т.п.), у главного бухгалтера (рассчитывает заработную плату, ведет учет ведения склада, расчеты с поставщиками, и учет денежных расходов торгового центра) и у кассира (проводит денежные операции). Кассиров всего три.

Другие компьютеры персональными не являются и их используют другие работники в своих целях, входя в систему под своим логином и паролем.

Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз Advanced на платформе Windows. В состав программного обеспечения входят прокси-сервер, межсетевой экран, антивирусная защита, система обнаружения атак, система анализа содержимого трафика, анти-спам.

Так как предприятие хранит персональные данные покупателя, не подлежащие разглашению (т.е. доступ к которым разрешен не всем), в торговом центре установлена система считывания индивидуальных электронных карт. Эти карты позволяют покупателю получить товары со скидкой. Персональные данные видит только кассир во время считывания карты. Такая система позволяет избежать использования личной информации и настроек данного клиента другим пользователем.

Так же для защиты помещений от несанкционированного доступа, в залах установлены камеры видеонаблюдения, система сигнализации, система противопожарной безопасности, радиочастотная противокражная система.

1.2 Актуальность проблемы защиты информации в торговом центре

Эффективность современной организации сегодня всё больше определяется степенью использования информационных технологий в процессе его функционирования. Происходит непрерывное увеличение как объема информации, обрабатываемой в электронном виде, так и количества различных информационных систем. В связи с этим на передний план в задаче обеспечения безопасности предприятия выходит разработка политики безопасности и защита информации на предприятии.

Обеспечение защиты информации в торговом центре предусматривает необходимость защиты персональных данных. Наиболее важной представляется защита персональных данных, так как доверие покупателей в первую очередь основывается на предоставлении своих личных данных, и соответственно, сохранением их сотрудниками организации.

Поэтому целью обеспечения безопасности в торговом центре является разработка политики безопасности и обеспечение надежной защиты информации на предприятии для его нормального функционирования.

1.3 Задачи

В данной курсовой работе поставлены следующие задачи:

1. определить цели и задачи защиты информации в торговом центре;

2. выбрать модель политики безопасности для данного предприятия;

3. составить матрицу доступа;

4. определить группу требований к автоматизированной системе (далее будет использовано сокращение АС);

5. определить класс защищенности АС и требования к нему;

6. определить основные объекты защиты на предприятии;

7. определить предмет защиты на предприятии;

8. выявить возможные угрозы защищаемой информации в торговом центре и их структуру;

9. выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии;

10. выявить каналы и методы несанкционированного доступа к защищаемой информации на предприятии;

11. определить основные направления, методы и средства защиты информации на предприятии.

1.4 Цели и задачи защиты информации в торговом центре

Целями защиты информации предприятия являются:

- предупреждение хищения, утечки, утраты, искажения, подделки конфиденциальной информации (персональных данных);

- предотвращение угроз безопасности личности и предприятия;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение, конфиденциальности документированной информации в соответствии с законодательством.

К задачам защиты информации на предприятии относятся:

- обеспечение управленческой, финансовой и маркетинговой деятельности предприятия режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать предприятию преимущества перед конкурентами и оправдывать затраты средств на защиту информации.

- гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации;

- отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности предприятия;

- документирование процесса защиты информации, особенно сведений с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что предприятие принимало необходимые меры к защите этих сведений;

- организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.

1.5 Объекты и предметы защиты в торговом центре

Основными объектами защиты в торговом центре являются:

1. персонал (так как эти лица допущены к работе с охраняемой законом информацией (персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается);

2. объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний;

3. информация ограниченного доступа, а именно:

- персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника);

- персональные данные покупателей (фамилия, имя, отчество, дата рождения, телефон, данные о персональных картах и привилегиях покупателя);

4. защищаемая от утраты общедоступная информация:

- документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников (устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников);

- информация, которая может служить доказательным источником в случае возникновения конфликтных ситуаций (расписки);

5. материальные носители охраняемой законом информации (личные дела работников, личные дела покупателей, электронные базы данных работников и покупателей, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов);

6. средства защиты информации (антивирусные программы, архиватор данных, программа для создания и восстановления резервной копии Windows, шифрование);

7. технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (данные о бывших покупателях и сотрудников).

Предметом защиты информации в торговом центре являются носители информации, на которых зафиксированы, отображены защищаемые сведения:

- база данных о покупателях и сотрудниках предприятия в бумажном и электронном виде;

- приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы в бумажном и электронном виде.

1.6 Угрозы защищаемой информации в торговом центре

Внешние угрозы:

- конкуренты;

- несанкционированный доступ к информации (хакеры, взломщики)

- вирусы;

- чрезвычайные ситуации;

- шпионские программы (флешки и т.п.);

- несанкционированное копирование;

- кража программно-аппаратных средств.

Внутренние угрозы:

- разглашение конфиденциальной информации сотрудниками предприятия;

- нарушение целостности данных со стороны персонала предприятия;

- потеря информации на жестких носителях;

- угрозы целостности баз данных;

- угрозы целостности программных механизмов работы предприятия;

- делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией, открытие портов;

- системные сбои;

- повреждение аппаратуры, отказ программного или аппаратного обеспечения;

- угрозы технического характера;

- угрозы нетехнического или некомпьютерного характера - отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях.

Классификация угроз:

1. по объектам:

1.1. персонал;

1.2. материальные ценности;

1.3. финансовые ценности;

2. по ущербу:

2.1. материальный;

2.2. моральный;

3. по величине ущерба:

3.1. предельный (полное разорение);

3.2. значительный (некоторая валового дохода);

3.3. незначительный (потеря прибыли);

4. по отношению к объекту:

4.1. внутренние;

4.2. внешние;

5. по вероятности возникновения:

5.1. весьма вероятные;

5.2. вероятные;

5.3. маловероятные;

6. по характеру воздействия:

6.1. активные;

6.2. пассивные;

7. по причине проявления:

7.1. стихийные;

7.2. преднамеренные.

2. Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию

К источникам дестабилизирующего воздействия относятся:

- люди;

- технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования;

- природные явления.

Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям.

Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:

- непосредственное воздействие на носители защищаемой информации;

- несанкционированное распространение конфиденциальной информации;

- вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи;

- нарушение режима работы перечисленных средств и технологии обработки информации;

- вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.

Несанкционированное распространение конфиденциальной информации может осуществляться путем:

- словесной передачи (сообщения) информации;

- передачи копий (снимков) носителей информации;

- показа носителей информации;

- ввода информации в вычислительные сети;

- опубликования информации в открытой печати;

- использования информации в открытых публичных выступлениях, в т.ч. по радио, телевидению;

- потеря носителей информации.

Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:

- повреждение отдельных элементов средств;

- нарушение правил эксплуатации средств;

- внесение изменений в порядок обработки информации;

- заражение программ обработки информации вредоносными программами;

- выдача неправильных программных команд;

- превышение расчетного числа запросов;

- передача ложных сигналов - подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;

- нарушение (изменение) режима работы систем обеспечения функционирования средств.

К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся:

- выход средств из строя;

- сбои в работе средств

- создание электромагнитных излучений.

2.1 Каналы и методы несанкционированного доступа к защищаемой информации в торговом центре

информация защита несанкционированный

К числу наиболее вероятных каналов утечки информации можно отнести:

- визуальное наблюдение;

- подслушивание;

- техническое наблюдение;

- прямой опрос, выведывание;

- ознакомление с материалами, документами;

- сбор открытых документов и других источников информации;

- хищение документов и других источников информации;

- изучение множества источников информации, содержащих по частям необходимые сведения.

2.2 Система защиты персональных данных

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Для торгового центра подходит условие «а», так как информационная система центра обрабатывает от 1000 до 10000 субъектов персональных данных.

Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Для торгового центра подходит условие «б», так как информационная система центра обрабатывает от 1000 до 10000 субъектов персональных данных.

Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Для торгового центра подходит условие «б», так как информационная система центра обрабатывает от 1000 до 10000 субъектов персональных данных. Также подходит условие «в».

Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Для торгового центра подходит условие «б», так как информационная система центра обрабатывает от 1000 до 10000 субъектов персональных данных.

Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований (является 13 пунктом, смотри ниже):

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 постановления Российской Федерации от 1 ноября 2012 года №1119, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе (является пунктом 14).

Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 постановления Российской Федерации от 1 ноября 2012 года №1119, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей (является пунктом 15).

Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 постановления Российской Федерации от 1 ноября 2012 года №1119, необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

2.3 Матрица доступа

Основой политики безопасности является избирательное управление доступом, которое подразумевает, что все субъекты и объекты системы должны быть идентифицированы; права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД), иногда ее называют матрицей контроля доступа. Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и др.

Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей МД.

Начальное состояние системы определяется матрицей доступа, все действия регламентированы и зафиксированы в данной матрице.

R - чтение из объекта;

W - запись в объект;

CR - создание объекта;

D - удаление объекта;

“+” - определяет права доступа для данного субъекта;

“-” - не определяет права доступа для данного субъекта.

Состояние системы считается безопасным, если в соответствии с политикой безопасности субъектам разрешены только определённые типы доступа к объектам (в том числе отсутствие доступа).

Объектами защиты на предприятии являются:

О1 - технические средства приема, передачи и обработки информации;

O2 - персональные данные покупателей;

O3 - персональные данные работников;

О4 - документированная информация;

О5 - личные дела работников;

О6 - электронные базы данных работников и покупателей;

О7 - средства защиты информации (антивирусные программы, система сигнализации, система противопожарной охраны и др.);

Субъектами доступа к ресурсам предприятия являются:

S1 - директор;

S2 - главный бухгалтер;

S3 - управляющий;

S4 - системный администратор;

S5 - кассир;

S6 - менеджер по продажам;

S7 - менеджер отдела кадров;

Таблица 1. Матрица доступа

О1

О2

О3

О4

О5

О6

О7

S2

S3

S4

S6

S7

S1

R

R

R,W

R,W

R,W

R,W

R

+

+

+

+

+

S2

R,W

-

R

R,W

R

-

-

-

-

-

-

-

S3

R,W, DCR

R,W, DCR

R,W, DCR

R,W, DCR

R,W, DCR

R,W,D

R,W

-

+

-

+

+

S4

R

R

R

R,W

-

R,W, DCR

R,W, DCR

-

-

-

-

-

S5

R,W

-

-

R

-

R

R

-

-

-

-

-

S6

R

-

-

R,W

-

-

-

-

-

-

-

-

S7

R

-

R,W, DCR

R,W

R,W, DCR

R

-

-

-

-

-

+

2.4 Классы информационных систем персональных данных (ИСПД)

Таблица 2. Классы информационных систем персональных данных (ИСПД)

Класс 1 (К1)	ИСПД, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных
Класс 2 (К2)	ИСПД, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных
Класс 3 (К3)	ИСПД, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных
Класс 4 (К4)	ИСПД, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных

Таблица 3. Определение класса информационной системы

Х пд \ Х нпд	3	2	1
категория 4	К4	К4	К4
категория 3	К3	К3	К2
категория 2	К3	К2	К1
категория 1	К1	К1	К1

Соответственно, категория персональных данных - 2, объем обрабатываемых данных - от 1000 до 10 000 субъектов, и класс ИС - К3.

2.5 Требования по защите информации от НСД

Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД, условно состоящей из следующих четырех подсистем:

- управления доступом;

- регистрации и учета;

- криптографической;

- обеспечения целостности.

Формализованные требования к защите компьютерной информации АС.

Существует 3 группы АС с включающими в себя требованиями по защите систем. Но, учитывая структуру торгового центра, рассматривается первая группа АС (в соответствии с используемой в классификацией), как включающую в себя наиболее распространенные многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Причем не все пользователи имеют право доступа ко всей информации АС.

Стоит отметить, что первая группа «Подсистема управления доступом» является основополагающей для реализации защиты от НСД, т.к. именно механизмы защиты данной группы призваны непосредственно противодействовать несанкционированному доступу к компьютерной информации. Остальные же группы механизмов реализуются в предположении, что механизмы защиты первой группы могут быть преодолены злоумышленником.

Требования к АС первой группы.

Обозначения:

" - " - нет требований к данному классу;

" + " - есть требования к данному классу.

Таблица 4. Требования к АС

Подсистемы и требования	Классы
	1Д	1Г	1В	1Б	1А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему	+	+	+	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	-	-	+	-	+
к программам	-	+	+	+	+
к томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
1.2. Управление потоками информации	-	-	+	+	+
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети)	+	+	+	+	+
выдачи печатных (графических) выходных документов	-	+	+	+	+
запуска (завершения) программ и процессов (заданий, задач)	-	+	+	+	+
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	-	+	+	+	+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
изменения полномочий субъектов доступа	-	-	+	+	+
создаваемых защищаемых объектов доступа	-	-	+	+	+
2.2. Учет носителей информации	+	+	+	+	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	-	+	+	+	+
2.4. Сигнализация попыток нарушения защиты	-	-	+	+	+
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации	+	-	-	+	+
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах	-	-	-	-	+
3.3. Использование аттестованных (сертифицированных) криптографических средств	-	-	-	+	+
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+	+	+	+	+
4.2. Физическая охрана средств вычислительной техники и носителей информации	+	+	+	+	+
4.3. Наличие администратора (службы) защиты информации в АС	-	-	+	+	+
4.4. Периодическое тестирование СЗИ НСД	+	+	+	+	+
4.5. Наличие средств восстановления СЗИ НСД	+	+	+	+	+
4.6. Использование сертифицированных средств защиты	-	-	+	+	+

Структуре торгового центра подходит класс 1Г, так как 1Г это класс, задающий необходимые требования для обработки персональной информации, хранящейся в клиентской базе. В данном случае этот класс является наиболее подходящим для специфики предприятия.

2.6 Требования к классу защищенности 1Г

Подсистема управления доступом

- должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;

- должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;

- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

- должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Подсистема регистрации и учета

- должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:

- дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

- результат попытки входа: успешная или неуспешная - несанкционированная;

- идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

- код или пароль, предъявленный при неуспешной попытке;

- должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. В параметрах регистрации указываются:

- дата и время выдачи (обращения к подсистеме вывода);

- спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

- краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

- идентификатор субъекта доступа, запросившего документ;

- должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:

- дата и время запуска;

- имя (идентификатор) программы (процесса, задания);

- идентификатор субъекта доступа, запросившего программу (процесс, задание);

- результат запуска (успешный, неуспешный - несанкционированный);

- должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:

- дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;

- идентификатор субъекта доступа;

- спецификация защищаемого файла;

- должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:

- дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;

- идентификатор субъекта доступа;

- спецификация защищаемого объекта (логическое имя (номер));

- должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

- учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

- должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

Подсистема обеспечения целостности

- должна быть обеспечена целостность программных средств системы защиты информации (далее СЗИ) НСД, а также неизменность программной среды. При этом:

- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

- целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

- должна осуществляться физическая охрана устройств и носителей информации, предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

- должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;

- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

2.7 Организация комплексной системы защиты информации в торговом центре

Для организации эффективной защиты конфиденциальной информации необходимо разработать программу, которая должна позволить достигать следующие цели:

- обеспечить обращение сведений в заданной сфере;

- предотвратить кражу и утечку конфиденциальной информации, любую порчу конфиденциальной информации;

- документировать процесс защиты данных, чтобы в случае попыток незаконного завладения какими-либо данными предприятия можно было защитить свои права юридически и наказать нарушителя.

Программа будет отражать размер данного предприятия, тип технологии и деловой информации, которую необходимо защищать.

В программе должны учитываться возможные источники и каналы утечки информации.

Для построения системы защиты конфиденциальной информации на предприятии необходимо создание службы защиты информации (далее - СлЗИ), которая будет являться структурной единицей предприятия, непосредственно участвующей в производственно-коммерческой деятельности. Работа этого отдела проводится во взаимодействии со структурными подразделениями предприятия. Структура и штат СлЗИ в зависимости от объема работ и особенностей производственно-коммерческой деятельности определяются руководителем предприятия и, как правило, должны комплектоваться инженерно-техническими работниками - специалистами основного профиля работы данного предприятия, а также специалистами, имеющими практический опыт защиты информации или работы с различными группами людей. Назначение на должность начальника СлЗИ предприятия, а также его освобождение производится только руководителем предприятия. Руководитель службы защиты информации регулярно, в установленные сроки отчитывается в своей работе перед директором предприятия.

Система доступа к конфиденциальным данным, должна обеспечить безусловное ознакомление с такими материалами только тех лиц, которым они нужны по службе. Система доступа к конфиденциальной информации - есть комплекс административно-правовых норм, обеспечивающих получение необходимой для работы информации каждым исполнителем и руководителем секретных работ. Цель системы - обеспечить только санкционированное получение необходимого объема конфиденциальной информации. В структуру этой системы входят:

- разрешительная система доступа к документальной конфиденциальной информации;

- система пропусков и шифров, обеспечивающая только санкционированный доступ в помещения, где ведутся секретные работы.

Для обеспечения физической сохранности носителей засекреченной информации и предотвращения доступа посторонних лиц нужна система охраны, которая включает в себя комплекс мероприятий, сил и средств, задействованных для преграждения доступа посторонних лиц к носителям защищаемой информации.

Заключение

В процессе выполнения курсового проекта была поставлена задача - создать и проанализировать средства информационной безопасности торгового центра «Мельфиорэ». Поставленные цели были достигнуты при помощи классифицирования предприятия, были предложены методы и средства для усовершенствования политики безопасности данного предприятия, в результате выполнения которых предприятие позволит повысить эффективность средств защиты и сократит риск потери и искажения информации.

Следует обратить внимание на то, что только при совместном взаимодействии персонала, программно-аппаратных средств и средств защиты информации возможна эффективность данных мероприятий.

Данное предприятие циркулирует большим количеством информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью являлась разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации были бы минимальны.

В результате анализа была построена модель информационной системы с позиции безопасности.

Никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.

Список используемой литературы

1. Домов, С. Информационная безопасность/ С.Домов// Вестн. Волжского ун-та.- Сер.Информат, 2005.- № 8.- С.53-55;

2. Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Изд-во «ЗАО Челябинская межрайонная типография», 2006.- 361 с.;

3. Иванов, А.В. Экономическая безопасность предприятий/ А.В.Иванов.- М.: Вираж-центр, 2000.- 39 с.;

4. Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия: Учебное пособие.-2-е изд. - М., Издательско-торговая компания «Дашков и К», 2005.-336с.;

5. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

6. Постановление Российской Федерации от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

7. Интернет-ресурсы.

Размещено на allbest.ru

...