Защита информации в базе данных автоматизированной системы управления предприятием

Общие понятия и определения в области проектирования защищенных автоматизированных систем. Классификация автоматизированных систем. Требования к защите конфиденциальной информации. Оценка необходимости защиты информации от несанкционированного доступа.

Рубрика Менеджмент и трудовые отношения
Вид курсовая работа
Язык русский
Дата добавления 25.11.2013
Размер файла 46,6 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Содержание

I. Введение

II. Анализ нормативно-правовой базы обеспечения комплексной защиты информации в автоматизированных системах

II.1 Общие понятия и определения в области проектирования защищенных автоматизированных систем

II.2 Классификация автоматизированных систем (АС)

II.2.1 Особенности АС класса 1

II.2.2 Особенности АС класса 2 и 3

II.2.3 Системы информационной безопасности

II.3 Порядок создания комплексной системы защиты информации

III. Обоснование направлений создания комплексной защиты информации в автоматизированных системах

III.1 Оценка необходимости защиты информации от несанкционированного доступа (НСД)

III.2 Требования к защите информации от НСД в АС

III.2.1 Требования к защите конфиденциальной информации

III.2.2 Требования к защите секретной информации

IV. Заключение

I. Введение

конфиденциальная информация автоматизированная система

Информационная безопасность - сравнительно молодая, быстро развивающаяся область информационных технологий. Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл. Состояние защищенности национальных интересов в информационной сфере определяется совокупностью сбалансированных интересов личности, общества и государства.

Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Вместе с тем, защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

С методологической точки зрения правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности - это оборотная сторона использования информационных технологий.

Говоря о системах безопасности, нужно отметить, что они должны не только и не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять и делегировать их полномочия в совместном решении задач, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации и устранять их последствия, гибко адаптируя структуру в условиях отказов, частичной потери или длительного блокирования ресурсов.

Не стоит, однако, забывать об экономической целесообразности применения тех или иных мер обеспечения безопасности информации, которые всегда должны быть адекватны существующим угрозам.

Параллельно с развитием средств вычислительной техники и появлением все новых способов нарушения безопасности информации развивались и совершенствовались средства защиты. Необходимо отметить, что более старые виды атак никуда не исчезают, а новые только ухудшают ситуацию. Существующие сегодня подходы к обеспечению защиты информации несколько отличаются от существовавших на начальном этапе. Главное отличие современных концепций в том, что сегодня не говорят о каком-то одном универсальном средстве защиты, а речь идет о КСЗИ, включающей в себя:

нормативно-правовой базис защиты информации;

средства, способы и методы защиты;

органы и исполнителей.

Другими словами, на практике защита информации представляет собой комплекс регулярно используемых средств и методов, принимаемых мер и осуществляемых мероприятий с целью систематического обеспечения требуемой надежности информации, генерируемой, хранящейся и обрабатываемой на объекте АС, а также передаваемой по каналам. Защита должна носить системный характер, то есть для получения наилучших результатов все разрозненные виды защиты информации должны быть объединены в одно целое и функционировать в составе единой системы.

Целью работы является «Защита информации в базе данных автоматизированной системы управления предприятием».

Для достижения поставленной цели, в ходе выполнения работы решались следующие задачи:

анализ нормативно-правовой базы обеспечения защиты информации в АС, а также проектирования защищенных АС;

исследование степени защищенности современных АС с последующей оценкой эффективности ее защитных мероприятий;

выбор путей повышения эффективности защитных мероприятий в АС;

разработка рекомендаций по использованию защитных мероприятий в АС.

Таким образом, объектом исследования является защищенная АС, а предметом - используемые защитные мероприятия.

Курсовая работа состоит из введения, двух разделов, заключения, списка использованной литературы.

В заключении приведены основные результаты исследований.

Перечень сокращений:

АИС (АС) - Автоматизированная информационная система

ВТСС - Вспомогательные технические средства и системы

ГСССЗИ - Государственная служба специальной связи и защиты информации

ЗМ - Защитные мероприятия

ЗП - Защищаемое помещение

ИТС - Информационно-телекоммуникационная система

КЗ - Контролируемая зона

КСЗИ - Комплексная система защиты информации

НСД - Несанкционированный доступ

ОТСС - Основные технические средства и системы

СВТ - Средства вычислительной техники

СИБ - Системы информационной безопасности

СЗИ - Системы защиты информации

ТЗ - Техническое задание

ТРП - Техническо-рабочий проект

ЭВМ - Электронно-вычислительная машина

II. Анализ нормативно-правовой базы обеспечения комплексной защиты информации в автоматизированных системах

Бурный рост конфиденциальной и коммерческой информации, а также существенное увеличение фактов ее хищения вызывает повышенный интерес все большего числа организаций к созданию собственных защищенных информационных систем.

Проектирование защищенных информационных систем процесс довольно сложный, который предполагает наличие соответствующих знаний и опыта, у ее создателей.

Потребитель может не вникать в разработку такого проекта и подробности его развития, однако он обязан контролировать каждый его этап на предмет соответствия техническому заданию и требованиям нормативных документов. В свою очередь, персональный опыт проектировщиков требует использования существующих нормативных документов в данной области для получения наиболее качественного результата.

Таким образом, процесс проектирования защищенных информационных систем должен основываться на знании и строгом выполнении требований существующих нормативных документов, как со стороны ее разработчиков, так и со стороны заказчиков.

II.1 Общие понятия и определения в области проектирования защищенных автоматизированных систем

Существующая в России нормативная база еще не достигла необходимого развития в данной области. Так, например, из огромного списка стандартов и нормативных документов России можно выделить лишь некоторые, которые могут быть использованы при проектировании защищенных АС.

Поэтому, при проведении данного рода работ, специалисты используют также международные (ISO) и межгосударственные (ГОСТы, утвержденные до 1992 года, включительно) стандарты.

Согласно одному из таких стандартов [7] АС представляет собой систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующую информационную технологию выполнения установленных функций.

В зависимости от вида деятельности выделяют следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР), автоматизированные системы научных исследований (АСНИ) и др.

В зависимости от вида управляемого объекта (процесса) АСУ делят на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т. д.

В нашем случае АС представляет собой среду обработки информации, и также информационных ресурсов в информационно-телекоммуникационной системе. Поэтому в дальнейшем будем использовать понятие автоматизированная информационная система.

Закон России «Об информации» трактует понятие «информация» в следующем виде: «под информацией понимается документируемые или публично объявленные сведения о событиях и явлениях, которые происходят в обществе, государстве и окружающей среде».

В свою очередь, защита информации в АС - деятельность, которая направлена на обеспечение безопасности обрабатываемой в АС информации и АС в целом, и позволяет предотвратить или осложнить возможность реализации угроз, а также снизить величину потенциальных убытков в результате реализации угроз.

Таким образом, АИС представляет собой сложную систему, которую целесообразно разделять на отдельные блоки (модули) для облегчения ее дальнейшего проектирования. В результате этого, каждый модуль будет независим от остальных, а в комплексе они будут составлять цельную систему защиты.

Выделение отдельных модулей АИС позволяет службе защиты информации:

своевременно и адекватно реагировать на определенные виды угроз информации, которые свойственны определенному модулю;

в короткие сроки внедрять систему защиты информации в модулях, которые только что появились;

упростить процедуру контроля системы защиты информации в целом (под системой защиты информационной инфраструктуры предприятия в целом следует понимать совокупность модулей систем защиты информации).

Постепенно наращивая количество модулей, а также усложняя структуру защиты, АИС приобретает некую комплексность, которая подразумевает использование не одного типа защитных функций во всех модулях, а их произведение.

Таким образом, построение КСЗИ становится неотъемлемым фактором в разработке эффективной системы защиты от несанкционированного доступа.

Согласно КСЗИ - совокупность организационных и инженерных мероприятий, программно-аппаратных средств, которые обеспечивают защиту информации в АС.

Отсюда видно, что, например, простым экранированием помещения при проектировании КСЗИ не обойтись, так как данный метод предполагает лишь защиту информации от утечки по радиоканалу.

В общем случае понятие «комплексность» представляет собой решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или то и другое (всеобщая комплексность).

Целевая комплексность означает, что система информационной безопасности должна строиться следующим образом:

защита информации, информационных ресурсов и систем личности, общества и государства от внешних и внутренних угроз;

защита личности, общества и государства от негативного информационного воздействия.

Инструментальная комплексность подразумевает интеграцию всех видов и направлений ИБ для достижения поставленных целей.

Современная система защиты информации должна включать структурную, функциональную и временную комплексность.

Структурная комплексность предполагает обеспечение требуемого уровня защиты во всех элементах системы обработки информации.

Функциональная комплексность означает, что методы защиты должны быть направлены на все выполняемые функции системы обработки информации.

Временная комплексность предполагает непрерывность осуществления мероприятий по защите информации, как в процессе непосредственной ее обработки, так и на всех этапах жизненного цикла объекта обработки информации.

II.2 Классификация автоматизированных систем.

Нормативным документом предполагается деление АС на 3 класса:

Класс 1 - одномашинный однопользовательский комплекс, который обрабатывает информацию одной или нескольких категорий конфиденциальности. Пример - автономная персональная ЭВМ, доступ к которой контролируется с использованием организационных мероприятий.

Класс 2 - локализированный многомашинный многопользовательский комплекс, обрабатывающий информацию разных категорий конфиденциальности. Пример - локальная вычислительная сеть.

Класс 3 - распределенный многомашинный многопользовательский комплекс, который обрабатывает информацию разных категорий конфиденциальности. Пример - глобальная вычислительная сеть.

II.2.1 Особенности АС класса 1

Информация с ограниченным доступом, а именно: конфиденциальная информация, принадлежащая государству, и информация, содержащая государственную тайну, создается, обрабатывается и хранится в режимно-секретном (РСО) органе. Такая информация, в большинстве случаев, обрабатывается с использованием АС класса 1, которые имеют следующие особенности:

в каждый момент времени с комплексом может работать только один пользователь, хотя в общем случае лиц, которые имеют доступ к комплексу, может быть несколько, но все должны иметь одинаковые полномочия (права) относительно доступа к обрабатываемой информации;

технические средства (носители информации и средства ввода / вывода), с точки зрения, защищенности относятся к одной категории и все они могут использоваться для хранения и/ или ввода/ вывода всей информации.

Для проведения работ, связанных с построением КСЗИ РСО, специалистам организации исполнителя должен быть оформлен допуск к государственной тайне.

При создании КСЗИ РСО используются только те технические средства защиты информации, которые имеют экспертное заключение или сертификат соответствия государственной службы специальной связи и защиты информации (ГСССЗИ) России, применение других технических средств защиты информации запрещено.

Методика проведения работ по построению КСЗИ АС класса 1базируется на следующих исходных данных:

Объект защиты - рабочая станция.

Защита информации от утечки по техническим каналам осуществляется за счет использования рабочей станции в защищенном исполнении или специальных средств.

Защита от несанкционированного доступа к информации осуществляется специальными программными или аппаратно-программными средствами защиты от несанкционированного доступа.

Защита компьютера от вирусов, троянских и шпионских программ - антивирусное программное обеспечение.

II.2.2 Особенности АС класса 2 и 3

В основном в АС класса 2 и класса 3 обрабатывается конфиденциальная или открытая информация, которая принадлежит государству и к которой выдвигаются требования по обеспечению целостности и доступности.

Особенности АС класса 2: наличие пользователей с разными полномочиями по доступу и/или технических средств, которые могут одновременно осуществлять обработку информации разных категорий конфиденциальности.

Особенности АС класса 3: необходимость передачи информации через незащищенную среду или, в общем случае, наличие узлов, которые реализуют разную политику безопасности.

АС класса 3 отличается от АС класса 2 наличием канала доступа в Интернет.

Так же, как и для создания КСЗИ РСО, для создания КСЗИ АС класса 2 и класса 3 организация-исполнитель должна иметь лицензию на проведение работ в сфере технической защиты информации, а также использовать сертифицированные технические средства защиты информации.

Методика проведения работ по построению КСЗИ АС класса 2 (3) базируется на следующих исходных данных:

Объектами защиты являются рабочие станции, каналы передачи данных, веб-серверы, периметр информационной системы и т. д.

Защита от несанкционированного доступа осуществляется с помощью базовых средств операционной системы или с использованием специальных программных, аппаратно-программных средств.

Защита каналов передачи данных через незащищенную среду - аппаратные, программные, аппаратно-программные средства шифрования информации.

Защита периметра - программные, аппаратные межсетевые экраны, системы обнаружения атак.

Защита компьютера (сети) от вирусов, троянских и шпионских программ - антивирусное программное обеспечение.

Защита электронного документооборота и электронной почты - использование средств электронной цифровой подписи.

Потребителями КСЗИ АС класса 2 и класса 3 являются органы государственной власти, а также предприятия, деятельность которых связана с обработкой конфиденциальной информации, принадлежащей государству.

II.2.3 Системы информационной безопасности

Выделяют еще один тип АС - системы информационной безопасности (СИБ).

СИБ представляют собой решение, направленное на обеспечение защиты критичной информации организации от разглашения, утечки и несанкционированного доступа. Как и КСЗИ, СИБ объединяет в себе комплекс организационных мероприятий и технических средств защиты информации.

СИБ в основном предназначены для защиты информации в АС класса 2 и класса 3. Однако между КСЗИ и СИБ есть принципиальные отличия.

Первое отличие заключается в том, что при построении СИБ нет необходимости выполнять требования нормативных документов в сфере технической защиты информации, так как основными потребителями СИБ являются коммерческие организации, которые не обрабатывают информацию, принадлежащую государству. Вторым принципиальным отличием является отсутствие контролирующего органа, и, как следствие, спроектированная СИБ не требует проведения государственной экспертизы. Еще одно отличие от КСЗИ - свободный выбор технических средств, возможное применение любых аппаратных и программных средств защиты информации.

СИБ можно рекомендовать коммерческим организациям, которые заботятся о сохранности своей коммерческой (критичной) информации или собираются принимать меры по обеспечению безопасности своих информационных активов.

Для определения необходимости построения СИБ и направления работ по защите информации, а также для оценки реального состояния информационной безопасности организации необходимо проводить аудит информационной безопасности.

Применительно к КСЗИ РСО и КСЗИ АС класса 2 и класса 3 проведение такого аудита тоже является первым этапом работ. Такие работы называются обследованием информационной инфраструктуры организации.

Важным моментом, который касается эксплуатации как КСЗИ АС класса 2 и класса 3, так и СИБ, является тот факт, что недостаточно просто построить и эксплуатировать эти системы защиты, необходимо постоянно их совершенствовать так же, как совершенствуются способы несанкционированного доступа, методы взлома и хакерские атаки.

Сравнительный анализ всех перечисленных систем защиты информации представлен в таблице 1.

Как мы видим, более жесткие требования выдвинуты к процессу построения КСЗИ и исполнителю этих работ по сравнению с требованиями к построению СИБ.

В дальнейшем, при проектировании системы защиты будем брать за основу АС класса 1 и 2, так как именно эти системы обработки информации представляют наиболее огромный интерес у злоумышленника с точки зрения ее хищения.

Таблица 1. 1

Сравнительный анализ систем защиты информации

Особенности КСЗИ

РСО КСЗИ

АС класса 2 (3)

СИБ

Потребители услуг

Органы государственной власти, коммерческие организации

Органы государственной власти, коммерческие организации

Коммерческие

организации

Обрабатываемая

информация

Конфиденциальная информация, которая принадлежит государству, или информация, которая содержит государственную тайну

Конфиденциальная информация, которая принадлежит государству (физическому лицу), или открытая информация, которая принадлежит государству

Критическая информация организации (персональная, финансовая, договорная информация, информация о заказчиках)

Субъекты

Заказчик

Исполнитель

Контролирующий орган

Заказчик

Исполнитель

Контролирующий орган

Заказчик

Исполнитель

Наличие лицензии на проведение работ по построению

Лицензия на проведение работ по технической защите информации

Лицензия на проведение работ по технической защите информации

Не требуется

Проведение

государственной экспертизы

Обязательно

Обязательно

Не требуется

Технические средства защиты

информации

Только сертифицированные средства

защиты информации

Только сертифицированные средства

защиты информации

Любые средства защиты информации

Выполнение требований

нормативной базы

Обязательно

Обязательно

Не требуется

II.3 Порядок создания комплексной системы защиты информации

Создание КСЗИ в ИТС осуществляется в соответствии с нормативным документом системы технической защиты информации на основании технического задания (далее - ТЗ), разработанного согласно требованиям нормативного документа системы технической защиты информации. Кроме того, при проектировании КСЗИ можно руководствоваться стандартом.

В состав КСЗИ входят мероприятия и средства, которые реализуют способы, методы, механизмы защиты информации от:

утечки техническими каналами, к которым относятся каналы побочных электромагнитных излучений и наводок, акустоэлектрических и других каналов;

несанкционированных действий и несанкционированного доступа к информации, которые могут осуществляться путем подключения к аппаратуре и линиям связи, маскировки под зарегистрированного пользователя, преодоление мероприятий защиты с целью использования информации или навязывания ошибочной информации, применение закладных устройств или программ, использование компьютерных вирусов и т. п. ;

специального влияния на информацию, которое может осуществляться путем формирования полей и сигналов с целью нарушения целостности информации или разрушения системы защиты.

Для каждой конкретной ИТС состав, структура и требования к КСЗИ определяются свойствами обрабатываемой информации, классом АС и условиями ее эксплуатации.

В общем случае, последовательность и содержание научно-исследовательской разработки КСЗИ можно предварительно разделить на 4 этапа (рис 1. 1).

Несмотря на простоту структуры разработки КСЗИ, большинство организаций придерживается именно этого алгоритма. Однако данный алгоритм - это лишь основа проектирования. Каждый представленный этап отражает множество уровней в ходе проектирования, в зависимости от структуры АС требования, предъявляемых к ее системе защиты. Рассмотрим эти этапы подробнее.

III. Обоснование направлений создания комплексной защиты информации в автоматизированных системах

Для каждого типа угроз, возникающих при функционировании системы информационной безопасности, может быть одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации защиты. Принимаемая мера противодействия с экономической точки зрения будет приемлема, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. В этой ситуации можно определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня. Из этого следует, что потенциальный нарушитель, стремящийся рационально использовать предоставленные ему возможности, не будет тратить на выполнение угрозы больше, чем он ожидает выиграть. Следовательно, необходимо поддерживать цену нарушения сохранности информации на уровне, превышающем ожидаемый выигрыш потенциального нарушителя. Рассмотрим эти подходы.

Утверждается, что большинство разработчиков средств вычислительной техники рассматривает любой механизм аппаратной защиты как некоторые дополнительные затраты с желанием за их счет снизить общие расходы. При решении на уровне руководителя проекта вопроса о разработке аппаратных средств защиты необходимо учитывать соотношение затрат на реализацию процедуры и достигаемого уровня обеспечения сохранности информации. Поэтому разработчику нужна некоторая формула, связывающая уровень защиты и затраты на ее реализацию, которая позволяла бы определить затраты на разработку потребных аппаратных средств, необходимых для создания заранее определенного уровня защиты. В общем виде такую зависимость можно задать исходя из следующих соображений. Если определять накладные расходы, связанные с защитой, как отношение количества использования некоторого ресурса механизмом управления доступом к общему количеству использования этого ресурса, то применение экономических рычагов управления доступом даст накладные расходы, приближающиеся к нулю.

III.1 Оценка необходимости защиты информации от НСД

При оценке необходимости защиты предприятия от несанкционированного доступа к информации можно считать, что полные затраты (потери) определятся выражением, которое нужно минимизировать

, (2. 1)

где полные потери

, (2. 2)

Rнез. сд. - прибыль от незаключенных сделок;

Rсорв. сд. - прибыль от сорванных сделок;

стоимость затрат на информационную защиту

, (2. 3)

Rапп. - затраты на аппаратуру;

Rэкс. - эксплуатационные затраты;

Rреж. - затраты на организацию режима на предприятии;

Рпи - вероятность потерь информации;

Рнпи - условная вероятность необнаружения потерь информации;

Ропи = (1-Рнпи) - вероятность отсутствия потерь информации, (так как они составляют полную группу событий) ;

Роопи - условная вероятность ошибки в обнаружении потерь информации.

При этом надо учитывать, что Рнпи 1 при отсутствии аппаратных средств контроля, а Rооп 0 при полном охвате контролем.

Учитывая необходимость минимизации выражения полных потерь, целесообразность использования защиты будет при соблюдении условия

.

Практически это можно определить по формуле

.

При этом k= (2-5) и он выбирается больше при большем вложении в это предприятие (страховочный подход).

Вероятность не обнаружения потерь информации

.

Учитывая определенный опыт нескольких предприятий, можно

считать, что:

P1 =0, 1 - при установке аппаратуры по защите от подслушивания в помещении;

Р2 =0, 1-0, 2 - при установке аппаратуры по защите от подслушивания по телефону;

Р3 =0, 1-0, 2- при проведении мероприятий по защите компьютерных сетей;

Р4 =0, 1 - при введении на предприятии особого режима;

Р5 =0, 1 -при защите от записи на диктофон.

Несмотря на другой (с точки зрения знака и природы) характер зависимости вероятность ошибки в обнаружении потерь информации можно приближенно определить как

.

Таким образом, применение такого подхода в оценке необходимости защиты информации безусловно правомерно на предварительном этапе решения, поскольку не требует большого количества статистических данных.

III.2 Требования к защите информации от НСД в АС

Защиту информации от НСД в России на сегодняшний день регламентируют нормативные документы.

Учитывая данные нормативные документы, а также акцентируемые классы АС (класс 1 и 2), современный рынок средств защиты конфиденциальной информации можно условно разделить на две группы:

средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов, а также требования нормативно-технических документов (государственных стандартов, нормативных документов ГСССЗИ и т. д.) ;

средства защиты для коммерческих компаний и структур, позволяющие выполнить рекомендации ISO/IEC 17799: 2002 (BS 7799-1: 2000) «Управление информационной безопасностью - Информационные технологии. - Information technology - Information security management».

Требования к защите информации от НСД могут накладываться различные.

Во-первых, на это влияет класс АС, который подразумевает обработку информации разных категорий. Рассмотренная ранее классификация АС, подробно описывает данную характеристику.

Во-вторых, важность объекта и стоимость (важность) информации. Если объект, является информационно важным (не говоря уже о государственном объекте, так как на этот случай необходимо руководствоваться исключительно нормативными документами), то в таком случае следует производить оценку информационных ресурсов, информационной системы в целом на определение ее важности (провести аудит информационной безопасности). После этого, как отдельным этапом, формируются требования к защите данного объекта.

Одним из требований обеспечения защиты информации в АС является то, что обработка в АС конфиденциальной информации должна осуществляется с использованием защищенной технологии.

Технология обработки информации является защищенной, если она содержит программно-технические средства защиты и организационные мероприятия, которые обеспечивают выполнение общих требований по защите информации.

Общие требования предусматривают:

наличие перечня конфиденциальной информации, которая подлежит автоматизированной обработке; в случае необходимости возможна ее классификация в пределах категории по целевому назначению, степенью ограничения доступа отдельной категории пользователей и другими классификационными признаками;

наличие определенного (созданного) ответственного подраздела, которому предоставляются полномочия относительно организации и внедрения технологии защиты информации, контроля за состоянием защищенности информации (дальше - служба защиты в АС, СЗИ) ;

создание КСЗИ, которая являет собой совокупность организационных и инженерно-технических мероприятий, программно-аппаратных средств, направленных на обеспечение защиты информации во время функционирования АС;

разработку плана защиты информации в АС, содержание которого определенно в приложении к НД ТЗИ 1. 4-001;

наличие аттестата соответствия КСЗИ в АС нормативным документам по защите информации;

возможность определения средствами КСЗИ нескольких иерархических уровней полномочий пользователей и нескольких классификационных уровней информации;

обязательность регистрации в АС всех пользователей и их действий относительно конфиденциальной информации;

возможность предоставления пользователям только при условии служебной необходимости санкционированного и контролируемого доступа к конфиденциальной информации, которая обрабатывается в АС;

запрет несанкционированной и неконтролируемой модификации конфиденциальной информации в АС;

осуществление с помощью СЗИ учета выходных данных, полученных во время решения функциональной задачи, в форме отпечатанных документов, которые содержат конфиденциальную информацию, в соответствии с руководящими документами;

запрет несанкционированного копирования, размножения, распространения конфиденциальной информации, в электронном виде;

обеспечение с помощью СЗИ контроля за санкционированным копированием, размножением, распространением конфиденциальной информации, в электронном виде;

возможность осуществления однозначной идентификации и аутентификации каждого зарегистрированного пользователя;

обеспечение КСЗИ возможности своевременного доступа зарегистрированных пользователей АС к конфиденциальной информации.

Приведенные требования являются базовыми и применяются при защите информации от НСД во всех типах АС.

III.2.1 Требования к защите конфиденциальной информации

Подсистема управления доступом должна удовлетворять следующим требованиям:

идентифицировать и проверять подлинность субъектов доступа при входе в систему. Причем это должно осуществляться по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

идентифицировать терминалы, ЭВМ, узлы компьютерной сети, каналы связи, внешние устройства ЭВМ по их логическим адресам (номерам) ;

по именам идентифицировать программы, тома, каталоги, файлы, записи и поля записей;

осуществлять контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

Подсистема регистрации и учета должна:

регистрировать вход (выход) субъектов доступа в систему (из системы), либо регистрировать загрузку и инициализацию операционной системы и ее программного останова. При этом в параметрах регистрации указываются:

дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

результат попытки входа - успешная или неуспешная (при НСД) ;

идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

код или пароль, предъявленный при неуспешной попытке;

регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС;

регистрировать выдачу печатных (графических) документов на «твердую» копию. При этом в параметрах регистрации указываются:

дата и время выдачи (обращения к подсистеме вывода) ;

краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности;

спецификация устройства выдачи (логическое имя (номер) внешнего устройства) ;

идентификатор субъекта доступа, запросившего документ;

регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. При этом в параметрах регистрации указывается:

дата и время запуска;

имя (идентификатор) программы (процесса, задания) ;

идентификатор субъекта доступа, запросившего программу (процесс, задание) ;

результат запуска (успешный, неуспешный - несанкционированный) ;

регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:

дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная - несанкционированная) ;

идентификатор субъекта доступа;

спецификация защищаемого файла.

регистрировать попытки доступа программных средств к дополнительным защищаемым объектам доступа (терминалам ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей). При этом в параметрах регистрации указывается:

дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная, несанкционированная;

идентификатор субъекта доступа;

спецификация защищаемого объекта [логическое имя (номер) ];

проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

регистрировать выдачу (приемку) защищаемых носителей;

осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. При этом очистка должна производиться однократной, произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов) ;

Подсистема обеспечения целостности должна:

обеспечивать целостность программных средств системы защиты информации от НСД (СЗИ НСД), обрабатываемой информации, а также неизменность программной среды. При этом:

целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

целостность программной среды обеспечивается использованием трансляторов с языка высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

осуществлять физическую охрану СВТ (устройств и носителей информации). При этом должны предусматриваться контроль доступа в помещение АС посторонних лиц, а также наличие надежных препятствий для несанкционированного проникновения в помещение АС и хранилище носителей информации. Особенно в нерабочее время;

проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;

иметь в наличии средства восстановления СЗИ НСД. При этом предусматривается ведение двух копий программных средств СЗИ НСД, а также их периодическое обновление и контроль работоспособности.

III.2.2 Требования к защите секретной информации

В общем случае требования к защите секретной информации схожи с требованиями к защите конфиденциальной информации, однако существуют принципиальные отличия. Так как секретная информация имеет высший ранг, то требования предъявляемые к ней на порядок выше. Поэтому, из-за сходства в требованиях этих двух категорий информации, отметим, только те пункты, которые относятся непосредственно к защите секретной информации.

Подсистема управления доступом должна:

управлять потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации;

Подсистема регистрации и учета должна:

регистрировать выдачу печатных (графических) документов на «твердую» копию. Данное действие должно указывать фактический объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный - весь объем, неуспешный) ;

регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:

имя программы (процесса, задания, задачи), осуществляющих доступ к файлам;

вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т. п.) ;

регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указывается:

имя программы (процесса, задания, задачи), осуществляющих доступ к файлам;

вид запрашиваемой операции (чтение, запись, монтирование, захват и т. п.) ;

регистрировать изменения полномочий субъектов доступа, а также статуса объектов доступа. В параметрах регистрации указывается:

дата и время изменения полномочий;

идентификатор субъекта доступа (администратора), осуществившего изменения;

осуществлять автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

проводить учет защищаемых носителей с регистрацией их выдачи (приема) в специальном журнале (картотеке) ;

проводить несколько видов учета (дублирующих) защищаемых носителей информации;

сигнализировать о попытках нарушения защиты;

Подсистема обеспечения целостности должна:

осуществлять физическую охрану СВТ (устройств и носителей информации). При этом должно предусматриваться постоянное наличие охраны на территории здания и помещений, где находится АС. Охрана должна производиться с помощью технических средств охраны и специального персонала, а также с использованием строгого пропускного режима и специального оборудования в помещении АС;

предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;

проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью специальных программных средств не реже одного раза в год;

использовать только сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД;

Сравним две рассмотренные выше группы требований и их особенности для защиты информации различных категорий (конфиденциальной и секретной). Ясно, что ключевыми механизмами защиты, образующими основную группу механизмов защиты от НСД («Подсистема управления доступом») являются:

идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия;

контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Дополнительным требованием и принципиальным отличием при защите секретной информации является то, что механизмом защиты должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации.

Все три перечисленных механизма являются основополагающими. Связаны они следующим образом: все права доступа к ресурсам (разграничительная политика доступа к ресурсам) задаются для конкретного субъекта доступа (пользователя). Поэтому субъект доступа (пользователь) должен быть идентифицирован при входе в систему, соответственно, должна быть проконтролирована его подлинность. Обычно это делается путем использования секретного слова - пароля.

IV. Заключение

Проанализированы особенности каждого класса АС. Наиболее требовательными к защите являются 1-й и 2-й классы. Рассмотрение 3-го класса АС было опущено. Однако проектирование системы защиты в такой АС незначительно отличается от рассмотренных подходов.

Проанализирован порядок создания КСЗИ. Установлено, что такая разработка обычно состоит из четырех этапов. Наиболее ответственным является третий этап, так как именно на данном этапе реализуются все защитные мероприятия по требованиям и техническому решению, принятым на предыдущих этапах.

Были установлены основные требования к защите как конфиденциальной, так и секретной информации от несанкционированного доступа. Требования были сформированы в результате условно разделенных подсистем АС, в состав которых входит:

подсистема управления доступом;

подсистема регистрации и учета;

подсистема обеспечения целостности.

Проанализированы основные принципы защитных мероприятий от несанкционированного доступа в АС, на основании которых установлено, что реализация таких принципов осуществляется с помощью так называемого «монитора обращений».

Для повышения эффективности используемых защитных мероприятий был проведен их математический анализ. На основании такого анализа установлено, что реализация защитных мероприятий для каждого предприятия (объекта) различна, соответственно и эффективность таких мероприятий от НСД для одних объектов будет выше (объекты большого бизнеса), а для других ниже (объекты малого бизнеса).

Проанализированы основные методы оценки эффективности защитных мероприятий в АС. К числу таковых относятся:

классический;

официальный;

экспериментальный.

Разработан подход к оценке эффективности защитных мероприятий АС от НСД, для определения которой достаточно только иметь данные о необходимых требованиях защищённости и данные о полноте выполнения этих требований.

Предложены возможные пути оптимизации защитных мероприятий в АС путем выбора контролируемых параметров по различных показателям эффективности.

Разработаны инструкции и правила для пользователей и обслуживающего персонала, которые являются основой в проведении организационных мероприятий по защите информации.

Предложен простой способ скрытного устранения несанкционированного использования диктофона.

Предложено и рассмотрено несколько эффективных устройств и методов для постановки помех с целью устранения несанкционированного доступа к информации.

Список использованной литературы:

1) http: //all-safety. ru/ Подходы к оценке эффективности КСЗИ

2) http: //www. rts. ua/ - ДСТУ (Государственные стандарты России) имеющие отношение к АСУ ТП

3) http: //www. vuzlib. net/ Оценка эффективности организационных проектов

4) Бугайский К. Проблемы построения систем информационной безопасности //»Information Security/ Информационная безопасность» - 2008. - №2

5) ГОСТ 34. 003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения»

6) ГОСТ 34. 602-89 Техническое задание на создание автоматизированной системы.

7) ГОСТ 34. 603-92. Информационная технология. Виды испытаний автоматизированных систем. М.. 1993.

8) Домарев В. В. Безопасность информационных технологий. Методология создания систем защиты. - Киев: ООО «ТИД «ДС». 2001. - 688 с.

9) Духан Е. И., Синадский Н. И., Хорьков Д. А. Применение программно-аппаратных срежств защиты компьютерной информации. Учебное пособие / Е. И. Духан, Н. И. Синадский, Д. А. Хорьков; науч. ред. д-р техн. наук, проф. Н. А. Гайдамакин. Екатеринбург: УГТУ-УПИ, 2008. - 182 с.

10) Измалкова С. А., Тарасов А. В. Принципы построения эффективной системы информационной безопасности // Управление общественными и экономическими системами. - 2006. - № 2

11) Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных системах. - М. : Горячая линия-Телеком, 2001. - 148 с. : ил.

12) Масюк М. И. НСД: теория и практика // «Специальная Техника». - 2003. - №3

13) Меньшаков Ю. К. Защита объектов и информации от технических средств разведки. - М. : Росийск. гос. гуманит. ун-т, 2002. - 399 с.

14) Методы и средства защиты информации. В 2-х томах / Ленков С. В., Перегудов Д. А., Хорошко В. А., Под ред. В. А. Хорошко. - К. : Арий, 2008. - Том I. Несанкционированное получение информации. - 464 с, ил.

15) Методы и средства защиты информации. В 2-х томах / Ленков СВ., Перегудов -Д. А., Хорошко В. А., Под ред. В. А. Хорошко. - К. : Арий, 2008. - Том II. Информационная безопасность. - 344 с, ил.

16) НД ТЗИ 3. 7-003-05 «Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе»

17) Нечаев М. Правовые и организационные основы комплексных систем защиты информации // Корпоративные системы. - 2008. - №2. - С. 54-57.

18) Партыка Т. Л., Попов И. И. Информационная безопасность. Учебное пособие для студентов учреждений среднего профессионального образования. - М. : ФОРУМ: ИНФРА-М, 2002. - 368 с. : ил.

19) Сидорин Ю. С. Технические средства защиты информации: Учеб. пособие. СПб. : Изд-во Политехн. ун-та, 2005. 141 с.

20) Торокин А. А. Инженерно-техническая защита информации. - М. : Гелиос АРВ, 2005. - 960 с. : ил.

21) Хорев А. А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие. М. : Гостехкомиссия России, 1998. - 320 с.

22) Хорев А. А. Методы и средства поиска электронных устройств перехвата информации. - М. : МО РФ, 1998. - 224 с.

23) Хорев А. А. Способы и средства зашиты информации. - М. : МО РФ, 2000. - 316 с.

Размещено на Allbest.ru

...

Подобные документы

  • Общая характеристика и основные функции CAD-систем. Характерные особенности современных автоматизированных систем управления предприятием. Принципы управления документами и организации документооборота. Свойства систем делопроизводства на предприятии.

    презентация [89,8 K], добавлен 27.10.2013

  • Понятие, методы и средства защиты конфиденциальной информации. Анализ нормативно-правовой базы конфиденциального делопроизводства. Угрозы, каналы распространения и утечки конфиденциальности. Порядок работы персонала с конфиденциальными документами.

    дипломная работа [167,4 K], добавлен 25.11.2010

  • Место информационной системы в системе управления. Краткая история АИС управления персоналом. Классификация АИС УП. Примеры автоматизированных систем управления персоналом. Зарубежный, российский рынок автоматизированных систем управления персоналом.

    реферат [133,0 K], добавлен 28.11.2010

  • Определение понятия информации как основного условия конкурентной способности организации. Основные виды управленческой информации, ее источники и этапы обмена данными. Использование локальных компьютерных систем для работы с данными и методы их защиты.

    реферат [59,3 K], добавлен 19.02.2012

  • Понятие информации, источники управленческой информации и информационные службы на предприятиях. Процесс промышленной разведки конфиденциальных сведений и их защита. Виды управленческой информации и информационные системы управления предприятием.

    реферат [29,9 K], добавлен 17.08.2009

  • Стандарты и задачи планирования, моделирование бизнес-процессов. Методы и средства проектирования. Сущность реинжиниринга корпорации. Проблемы выбора и внедрения автоматизированных систем управления предприятием, характеристика наиболее популярных из них.

    дипломная работа [628,4 K], добавлен 04.09.2010

  • Эволюция автоматизированных систем управления предприятием. Возможности автоматизируемых систем управления торговыми предприятиями. Back-office и Front-office. Возможности ERP-систем для автоматизации торговли, интеграция с внешним торговым оборудованием.

    курсовая работа [46,8 K], добавлен 01.11.2010

  • Структура системы организационного управления предприятием. Информация, используемая в управлении. Технология работы с документами. Защита данных автоматизированных информационных технологий. Инновационные направления развития информационных систем.

    презентация [2,6 M], добавлен 17.02.2012

  • Характер и уровень конфиденциальности обрабатываемой информации. Испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации. Расчёт информационных рисков. Оценка угроз информационной безопасности.

    дипломная работа [407,4 K], добавлен 21.02.2016

  • Понятие системы, ее свойства, элементы, строение и функционирование. Системы управления, их элементы, классификация, предмет, объект, достоинства и недостатки. Необходимость внедрения автоматизированных систем управления на современных предприятиях.

    контрольная работа [31,5 K], добавлен 13.09.2009

  • Направления обеспечения безопасности информационных ресурсов. Особенности увольнения сотрудников владеющих конфиденциальной информацией. Доступ персонала к конфиденциальным сведениям, документам и базам данных. Защита информации при проведении совещаний.

    курсовая работа [46,2 K], добавлен 20.11.2012

  • Интегральная оценка качества АСУ. Определение различных стадий научно-технического уровня автоматизированных систем управления. Автоматизация задач управления по расчету аналитических показателей уровня организации производства и труда по предприятию.

    контрольная работа [1020,0 K], добавлен 27.10.2010

  • Логистические информационные системы, построенные на базе ЭВМ. Автоматизированные системы управления. Информационные потоки. Схемы вертикальной и горизонтальной систем информации. Принцип приемлемости системы для пользователя, поэтапного создания системы.

    контрольная работа [461,1 K], добавлен 25.03.2009

  • Персональные данные работника: понятие и сущность. Ограничение персональных данных от другой информации. Требования к обработке персональных данных работника и гарантия их конфиденциальности. Принципы и условия обработки информации, контроль защиты.

    курсовая работа [82,2 K], добавлен 13.02.2013

  • История развития, классификация и структура автоматизированных систем управления персоналом; опыт их использования в России и за рубежом. Комплексный анализ хозяйственной деятельности предприятия. Внедрение системы с целью автоматизации работы с кадрами.

    дипломная работа [1,1 M], добавлен 15.09.2012

  • Организационная структура Минского автомобильного завода. Программное обеспечение информационных технологий в системе управления предприятием, функциональные подсистемы. Классификация современных автоматизированных информационных систем управления.

    контрольная работа [38,8 K], добавлен 11.11.2010

  • Этапы развития автоматизированных систем управления (АСУ). Их назначение, область применения и классификация. Документационное управление офисами и корпорацией. Приоритеты в развитии АСУ. Особенности документационного управления офисами и корпорацией.

    курсовая работа [68,2 K], добавлен 18.02.2010

  • Составные части системы информационного обеспечения. Методы определения потребностей в информации. Сбор и обработка информации при помощи показателей и систем показателей. Требования к современным системам отчетности. Стандартное программное обеспечение.

    курсовая работа [2,8 M], добавлен 03.08.2009

  • Характеристика способов защиты информации на предприятии. Изучение информации внутреннего, внешнего и специального характера, необходимой для создания и использования системы защиты на микроуровне. Информационное взаимодействие со службами безопасности.

    реферат [23,6 K], добавлен 10.06.2010

  • Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".

    дипломная работа [1,4 M], добавлен 23.10.2013

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.