Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Автономная некоммерческая организация

высшего профессионального образования

«Межрегиональный открытый социальный институт»

Кафедра безопасности информационных технологий

Специальность 090104

«Комплексная защита объектов информатизации»

КУРСОВАЯ РАБОТА

по дисциплине

«Программно-аппаратная защита информации»

студента очной формы обучения, 4 курса, группы КЗ-41

Головко Александра Владимировича

на тему:

«Обеспечение криптографической защиты информации в

ООО «ГарантПро» »

Научный руководитель________(А.А.Кречетов)

Студент________(А.В.Головко)

Йошкар-Ола

2012

Содержание

Введение

Постановка задачи

Описание структуры организации

Исследование рынка программно-аппаратных средств

Основные угрозы информационной безопасности на предприятии

Анализ рисков

Экономическое обоснование выбранных программно-аппаратных средств защиты

Заключение

Список использованных источникоВ

ВВЕДЕНИЕ

В информационном обществе главным ресурсом является информация. Именно на основе владения информацией о самых различных процессах и явлениях можно эффективно и оптимально строить любую деятельность.

Важно не только произвести большое количество продукции, но произвести нужную продукцию в определённое время. Поэтому в информационном обществе повышается не только качество потребления, но и качество производства.

Информация сегодня стоит дорого и её необходимо охранять. Защита информации является одной из серьезных проблем в любой организации. В решение проблемы информационной безопасности значительное место занимает не только построение системы защиты. Но не стоит забывать, что для защиты в целом, необходимо обеспечить и эффективную систему организации работы, с персоналом обладающую конфиденциальной информацией.

Не стоит забывать что, даже самая защищенная в организационном плане и великолепно оснащенная техническая и система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию.

ПОСТАНОВКА ЗАДАЧИ

Обеспечить систему криптографической защиты информации в ООО «ГарантПро» в соответствии с Федеральным законом № 63-ФЗ от 14 апреля 2011 года «Об электронной подписи». В организации обрабатывается коммерческая информация в объеме до 50%, а так же конфиденциальная информация в объеме до 20%.

ОПИСАНИЕ СТРУКТУРЫ ОРГАНИЗАЦИИ

1. В данном проекте рассматривается Интернет-издательства «Медиа Паблиш» И.П. Гаврилюк А.Н, обрабатывающая конфиденциальную информацию.

Организация занимает две здании . Структура организации имеет 4-х уровневую иерархию: головной центр, подчиненные управления, отделения и отделы.

Связь в организации осуществляется через общедоступную сеть Интернет. В организации так же используются беспроводной выход в интернет.

Все рабочие станции корпоративной сети работают под управлением операционной системы Microsoft Windows 7.

Таблица 1. Описание структуры

ИССЛЕДОВАНИЕ РЫНКА ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ

На данный момент, на рынке существует много средств обеспечивающих криптографическую защиту информации, предоставляющие следующие возможности:

- аутентификации

- шифрования

- имитозащиты

- формирование и проверка ЭЦП

- хеширование

Далее рассмотрим программные и программно-аппаратные средства, поддерживающие полностью или частично необходимые нам возможности и функции.

1) КриптоПро CSP разработан в соответствии с требованиями фирмы Microsoft к функциям, реализующим криптографические алгоритмы - Microsoft Cryptographic Service Provider. Криптопровайдер в своем составе содержит дополнительные модули, обеспечивающие использование российских криптографических алгоритмов в различном прикладном ПО Microsoft.

Использование КриптоПро CSP позволяет решить сразу несколько задач:

- для корпоративных пользователей - это возможность использовать стандартные и повсеместно используемые приложения фирмы Microsoft с надежной российской криптографией.

- для системных интеграторов - это возможность создания новых, надежно защищенных приложений с использованием богатейшего и проверенного временем инструментария разработки фирмы Microsoft.

В состав входят примеры использования различных криптопровайдеров, входящих в состав Windows, для формирования/проверки электронной цифровой подписи, шифрования/дешифрования сообщений, создания и проверки сертификатов и другие примеры. КриптоПро CSP может использоваться для встраивания в прикладное программное путем непосредственного вызова функций КриптоПро CSP после загрузки модуля с использованием функции LoadLibrary.

Рисунок 1 - Использования КриптоПро CSP в Microsoft Certification Authority

информационная безопасность коммерческий секретный защита

2) Криптопровайдер "Верба-ДМ" предназначена для защиты конфиденциальной информации, не являющейся государственной тайной, и разработана для решения задач обеспечения безопасности информационных ресурсов.

«Верба-ДМ» представляет собой криптопровайдер (аналог «КриптоПро CSP», «Signal-Com CSP» и т.п.), реализующий отечественные криптографические стандарты перечисленные ниже:

- шифрование/дешифрование информации (ГОСТ 28147-89);

- формирование и проверка ЭЦП (ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001);

- хеширование (ГОСТ Р 34.11-94).

СКЗИ «Верба-ДМ» функционирует в следующих операционных системах: MS Windows 2000, MS Windows XP.

Формирование секретных ключей производится на гибких магнитных дисках 3,5", flash-накопителях, eToken-брелоках, смарт-картах и в реестре компьютера.

СКЗИ «Верба-ДМ» для связи с прикладными программами использует интерфейс Crypto API 1.0/2.0, что позволяет использовать его как для встраивания в действующие информационные системы, так и для реализации новых программно-аппаратных комплексах в защищенном исполнении.

Сферой применения СКЗИ «Верба-ДМ» является:

- защита электронной почты;

- шифрование и работа с ЭЦП над файлами;

- встраивание в системы электронного документооборота;

- сдача отчетности в электронном виде;

- интеграция в системы управления предприятием, персоналом.

3) Криптопровайдер Signal-COM CSP поддерживает российские криптографические алгоритмы и обеспечивает к ним доступ из пользовательских приложений через стандартный криптографический интерфейс компании Microsoft - CryptoAPI 2.0.

Signal-COM CSP выполнен в соответствии с технологией Cryptographic Service Provider (CSP), благодаря чему российские алгоритмы шифрования и ЭЦП могут использоваться во многих популярных и широко распространенных приложениях:

· Удостоверяющий Центр Microsoft Certification Authority

· приложения Microsoft Office (MS Outlook, MS Word, MS Excel, MS Power Point, MS Info Path);

· почтовый клиент Microsoft Outlook Express

· приложение контроля целостности программного обеспечения Microsoft Authenticode

· программа для защиты файлов КриптоАРМ (разработчик - ООО «Цифровые технологии»);

· почтовый клиент The Bat! (разработчик - компания «RITLABS»)

· cистема защиты конфиденциальной информации на персональном компьютере Secret Disk NG (разработчик - компания «ALADDIN Software Security R.D.») и др.

Посредством открытых интерфейсов Microsoft CryptoAPI, CAPICOM, Certificate Enrollment Control и MSXML (XMLdsig) криптопровайдер Signal-COM CSP легко интегрируется в любые уже существующие или вновь создаваемые защищенные приложения, функционирующие на платформах Windows.

В дополнение к криптопровайдеру Signal-COM CSP поставляется модуль Signal-COM TLS, разработанный в соответствии с криптографическим интерфейсом Microsoft - Security Support Provider Interface (SSPI). Signal-COM TLS является расширением стандартного провайдера MS Schannel и позволяет использовать протоколы TLS v.1 и SSL v.3 с российскими криптографическими алгоритмами в стандартных приложениях Microsoft:

- Internet Information Server,

- Internet Explorer,или разрабатывать собственные приложения с использованием интерфейса SSPI.

ОСНОВНЫЕ УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

На предприятии могут быть реализованы следующие виды угроз:

- Несанкционированный доступ к информации;

- Модификация данных;

Далее рассмотрим эти виды угроз более подробно и предположим возможные последствия в случаи их реализации.

В случае осуществление угрозы несанкционированного доступа к информации можно предположить, что конкуренты получат конфиденциальные сведения, благодаря которым они смогут улучшить свои позиции на рынке. Так же возможно ухудшение экономического состояния нашей организации, или прекращение ее дальнейшего функционирования.

В случае осуществления угрозы модификации данных, основная угроза - это дезинформация. Нужно рассматривать все возможности применения конкурентами данной угрозы. Конкуренты могут дезинформировать не только руководство организации, но и организации, сотрудничавшие с нами, а так же клиентов.

АНАЛИЗ РИСКОВ

Для того что бы рассчитать оценку возможного ущерба, будем использовать выше перечисленные угрозы, которые могут быть осуществлены.

Разобьем все угрозы на 3 вида: маловероятные (около 25%), средней вероятности (от 25% до 75%) и высокой вероятности (свыше 50%).

Для выполнения одного вида заказа на предприятии примерно составляет 2500000, учитывая, что 1 час простоя на предприятии составляет 8000 рублей, то можно рассчитать примерные потери на предприятии. Рассмотрим непредвиденные расходы в таблице 2.

Таблица 2. Оценка реализации угроз

Рассчитываем возможный риск, простоя организации на 1 час и это составит 4.170.800 рублей. Данная оценка риски проделана с целью выбора криптографических средств защиты экономически оправданной. С учетом того что криптографические средства подлежат обязательной сертификации, необходимо включить расходы и на это мероприятие.

ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ВЫБРАННЫХ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ ЗАЩИТЫ

Для того что бы подсчитать общие затраты, необходимо учитывать не только затраты на покупку средств, но и на обучение персонала (повышение квалификации).

Таблица 3. Оценка расходов

В связи с тем, что средства КриптоПро CSP и Signal-COM CSP для клиентских рабочих станций имеют одинаковые функции, но разную стоимость (КриптоПро CSP - 1600р, Signal-COM CSP - 1200р), то рационально купить Signal-COM CSP. В итоге сэкономленная сумма составит 11600 рублей.

Так как серверная версия КриптоПро CSP содержит весь необходимый нам функционал, то его и выбираем.

В среднем курсы повышения квалификации составляют от 30-50 тысяч рублей. В связи с этим к общей стоимости нужно прибавить стоимость обучения сотрудников, которых необходимо обучить.

Размещено на Allbest.ru

ЗАКЛЮЧЕНИЕ

В результате выполнения курсовой работы были выполнены следующие задачи: исследован рынок программно-аппаратных средств защиты, выявлены основные угрозы информационной безопасности на предприятии, рассчитан анализ рисков. Лишь после решения дынных проблем, выбрали средства криптографической защиты, которые подходят к данному предприятию, не только технически, но и экономически.

Размещено на Allbest.ru