Разработка комплексных методов обеспечения информационной безопасности в организации, занимающейся разработкой программного обеспечения для банковских терминалов
Исследование информационной системы коммерческой организации по разработке программного обеспечения для мобильных банковских терминалов. Анализ степени защищённости данных, обрабатываемых на исследуемом объекте. Технические средства защита информации.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 22.10.2017 |
| Размер файла | 760,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Оба межсетевых экрана имеют сертификаты ФСБ и ФСТЭК, пропускная скорость фильтрации ViPNet Custom - 250Мбит\с, ALTELL NEO 100 - 120Мбит\с
1) ViPNet Custom производства компании ОАО «Инфотекс»:
|
Наименование |
Цена (в рублях за 1 шт) |
|
|
Передача права на использование ПО ViPNet Administrator |
72300 |
|
|
ПЭВМ (Аппаратная часть) |
65200 |
|
|
ViPNet Coordinator HW100A |
31000 |
|
|
Установка и настройка |
22300 |
|
|
Техническое сопровождение (1 год) |
41500 |
|
|
Общая стоимость |
232300 |
2) ALTELL NEO 100 производства компании ООО «ALTELL».
|
Наименование |
Цена (в рублях за 1 шт) |
|
|
ALTELL NEO 100 |
72100 |
|
|
Установка и настройка |
13300 |
|
|
Техническое сопровождение (1 год) |
24500 |
|
|
Общая стоимость |
109900 |
Выбор средств защиты: принятие решения
Принимая во внимание следующие факты:
1. OOO “Altius Plus” является коммерческой организацией
2. Все представленные варианты удовлетворяют требованиям скорости и надёжности работы.
Выбор средств защиты будет основываться на минимизации материальных расходов.
Таким образом, на основе вышесказанного рекомендуется установить и настроить:
- систему регистрации и контроля доступа TAGMASTER от компании Keytex
- межсетевой экран ALTELL NEO 100 производства компании ООО «ALTELL».
В результате проведённой работы по анализу информационной системы OOO Altius Plus было установлено, что уровень исходной защищённости объекта не полностью соответствует требованиям нормативно-методических документов и были предложены инженерно-технические средства защиты информации и меры по привидению его в соответствие с требованиями нормативно-методических документов.
Перечень используемых определений и терминов
Автоматизированная система -- система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию установленных функций. [5]
Безопасность персональных данных - состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. [5]
Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. [5]
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных. [5]
Доступ к информации -- возможность получения информации и её использования. [1]
Доступность информации -- состояние информации, характеризуемое способностью автоматизированной системы обеспечить беспрепятственный доступ к информации субъектов, имеющих на это полномочия. [5]
Закладочное устройство - элемент средства съёма информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съёма информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации). [5]
Защита информации от несанкционированного доступа или воздействия -- деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию). [5]
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. [5]
Информационные сети общего пользования -- вычислительные (информационно-телекоммуникационные) сети, открытые для использования всем физическим и юридическим лицам, в услугах которых этим лицам не может быть отказано. [5]
Информация -- сведения (сообщения, данные) независимо от их формы представления. [1]
Источник угрозы безопасности информации - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. [5]
Контролируемая зона -- пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных, технических и иных материальных средств. [5]
Конфиденциальная информация -- информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. [5]
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. [5]
Локальная вычислительная сеть -- совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, через определённые точки входа/выхода информации, которые являются границей локальной вычислительной сети. [5]
Межсетевой экран - локальное (однокомпонентное) или функционально распре делённое программное (программно-аппаратное) средство (комплекс), реализующая контроль за информацией, поступающей в автоматизированную систему и (или) выходящей из автоматизированной системы. [5]
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных. [5]
Несанкционированный доступ -- доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средством вычислительной техники или автоматизированной системой. [5]
Обработка персональных данных -- действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. [2]
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. [2][5]
Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, приём и обработку информативных сигналов. [5]
Персональные данные -- любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его имя, фамилия, отчество, год, месяц и дата рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. [2]
Побочные электромагнитные излучения и наводки -- электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания. [5]
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты её функционирования. [5]
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. [5]
Программная закладка - скрытно внесённый в программное обеспечение функциональный объект, который при определённых условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода. [5]
Программно-математическое воздействие -- несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ. [5]
Средства вычислительной техники -- совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. [5]
Субъект доступа -- лицо или процесс, действия которого регламентируются правилами разграничения доступа. [5]
Технические средства информационной системы персональных данных -- средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных. [5]
Технический канал утечки информации -- совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. [5]
Угрозы безопасности персональных данных -- совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. [5]
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. [5]
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации. [5]
Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации. [5]
Целостность информации -- состояние защищённости информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на неё в процессе обработки и хранения. [5]
DNS( система доменных имён) -- компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене.
Домен Windows NT --собрание участников безопасности (все объекты Active Directory), имеющих единый центр (который называется контроллером домена), использующий единую базу, известную как Active Directory.
Бамнковская кaрта (BC, BCard, Bank Card) -- пластиковая карта, привязанная к одному или нескольким расчётным счетам в банке. Используется для оплаты товаров и услуг, в том числе через Интернет, а также снятия наличных. Карты бывают дебетомвые и кредитные. Бывают карты с магнитной полосой, контактным и бесконтактным чипом.
POS терминал - электронное программно-техническое устройство для приема к оплате по банковским картам, оно может принимать карты с чип-модулем, магнитной полосой и бесконтактные карты, а также другие устройства, имеющие бесконтактный интерфейс. Также под POS-терминалом часто подразумевают весь программно-аппаратный комплекс, который установлен на рабочем месте кассира.
Система контроля версий (SVN) - программное обеспечение для облегчения работы с изменяющейся информацией. Система управления версиями позволяет хранить несколько версий одного и того же документа, при необходимости возвращаться к более ранним версиям, определять, кто и когда сделал то или иное изменение, и многое другое.
Перечень используемых сокращений
Ниже приведён перечень использованных в курсовой работе сокращений и аббревиатур.
|
АРМ |
- Автоматизированное рабочее место |
|
|
АС |
- Автоматизированная система |
|
|
БД |
- База данных |
|
|
ВТСС |
- Вспомогательные технические средства и системы |
|
|
ИВС |
- Информационно-вычислительная система |
|
|
ИС |
- Информационная система |
|
|
КЗ |
- Контролируемая зона |
|
|
ЛВС |
- Локальная вычислительная сеть |
|
|
МЭ |
- Межсетевой экран |
|
|
НМД |
- Нормативно-методический документ |
|
|
НСД |
- Несанкционированный доступ |
|
|
ОАО |
- Открытое акционерное общество |
|
|
ОИ |
- Объект информатизации |
|
|
ОМС |
- Обязательное медицинское страхование |
|
|
ООО |
- Общество с ограниченной ответственностью |
|
|
ОРД |
- Организационно-распорядительная документация |
|
|
ОРМ |
- Организационно-режимные меры |
|
|
ОС |
- Операционная система |
|
|
ОТСС |
- Основные технические средства и системы |
|
|
ПК |
- Программный комплекс |
|
|
ПМВ |
- Программно-математическое воздействие |
|
|
ПО |
- Программное обеспечение |
|
|
ПФР |
- Пенсионный фонд Российской Федерации |
|
|
ПЭВМ |
- Персональная электронно-вычислительная машина |
|
|
ПЭМИН |
- Побочные электромагнитные излучения и наводки |
|
|
РД |
- Руководящий документ |
|
|
РФ |
- Российская Федерация |
|
|
СВТ |
- Средства вычислительной техники |
|
|
СЗИ |
- Система (средство) защиты информации |
|
|
СУБД |
- Система управления базой данных |
|
|
ТС |
- Технические средства |
|
|
ФЗ |
- Федеральный закон |
|
|
ФСБ |
- Федеральная служба безопасности |
|
|
ФНС |
- Федеральная налоговая служба |
|
|
ФСС |
- Фонд социального страхования |
|
|
ФСТЭК |
- Федеральная служба по техническому и экспортному контролю |
|
|
ЯО |
- Ярославская область |
Список литературы
При подготовке курсовой работы использовались следующие документы и информационные источники:
1. Торокин А.А. Инженерно-техническая защита информации. - М.: Гелиос АРВ, 2005. - 959 с.
2. Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации»
3. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
4. «Положение о методах и способах защиты информации в информационных системах персональных данных» утверждённое Приказом № 58 ФСТЭК от 5 февраля 2010г.
5. Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13.02.2008 «Об утверждении «Порядка проведения классификации информационных систем персональных данных».
6. Нормативно-методический документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
7. Нормативно-методический документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
8. Нормативно-методический документ ФСТЭК «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»
9. «Уголовный кодекс Российской Федерации» от 13.06.1996 № 63-ФЗ (принят ГД ФС РФ 24.05.1996) (редакция от 07.04.2010) (с изменениями и дополнениями, вступающими в силу с 18.04.2010)
10. «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ (принят ГД ФС РФ 20.12.2001) (редакция от 05.04.2010)
11. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
Размещено на Allbest.ru
...Подобные документы
Разработка информационной системы для управления оперативной деятельностью фирмы, занимающейся ремонтом и технической поддержкой компьютеров и программного обеспечения, этапы и особенности. Программные средства реализации проекта, их выбор и обоснование.
дипломная работа [306,6 K], добавлен 28.08.2014Изучение основных видов угроз программного обеспечения. Выявление наиболее эффективных средств и методов защиты программного обеспечения. Анализ их достоинств и недостатков. Описания особенностей лицензирования и патентования программного обеспечения.
курсовая работа [67,9 K], добавлен 29.05.2013Понятие программного обеспечения, вопросы его разработки и использования. Общая характеристика системного программного обеспечения и работа операционной системы. Специфика процесса управления разработкой программного обеспечения и его особенности.
курсовая работа [636,2 K], добавлен 23.08.2011Программные средства защиты от вредоносного программного обеспечения, основные требования к ним, оценка возможностей и функциональности. Системы обнаружения вторжения. Анализ средств защиты информации на предприятии. Политика корпоративной безопасности.
дипломная работа [1,2 M], добавлен 17.10.2015Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Цели и задачи информационной системы управления предприятием как формальной структуры для выдачи администрации данных, необходимых для принятия решений. Составление внутрифирменных баз данных. Правовая и экономическая защита программного обеспечения.
курсовая работа [1,6 M], добавлен 21.08.2011Общие требования к информационной системе, основные этапы ее разработки и оценка практической эффективности. Проектирование базы данных и технология доступа к ним. Разработка клиентского программного обеспечения, средства, защита и сохранность данных.
курсовая работа [720,7 K], добавлен 09.04.2013Технические средства обеспечения функционирования информационной системы. Проектирование базы данных информационной системы. Разработка веб-приложения – справочно-информационной системы для предприятия. Организация записи информации в базу данных.
дипломная работа [4,4 M], добавлен 16.05.2022Угрозы безопасности программного обеспечения и классификация средств атаки на средства защиты ПО. Методы и средства защиты программ от компьютерных вирусов и средств исследования программ. Анализ стандартов в области информационной безопасности.
дипломная работа [1,4 M], добавлен 29.06.2012Разработка и проектирование информационной системы подбора сувенирной продукции по заявкам и предпочтениям пользователя. Организация внутримашинной информационной базы. Структура программного обеспечения и функции частей программного обеспечения.
курсовая работа [5,0 M], добавлен 14.01.2018Методы защиты программного обеспечения, их оценка и анализ защищенности. Методы свершенствования подсистемы защиты информации от вредоносного программного обеспечения. Перечень сведений конфиденциального характера организации ООО "СтройСпецКомплект".
дипломная работа [1,9 M], добавлен 10.07.2015Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Создание прикладного программного обеспечения для реализации интерфейса терминала по приему платежей за услуги связи. Анализ требований к программному обеспечению. Выбор языка программирования. Разработка интерфейса пользователя и проектной документации.
дипломная работа [1,3 M], добавлен 18.06.2015Предпроектное обследование ООО "ЮГАГРОМАШ". Технические и программные средства ЭИВТ предприятия. Создание логической и физической модели базы данных информационной подсистемы складского учета. Себестоимость автоматизированной информационной системы.
дипломная работа [4,8 M], добавлен 24.06.2011- Разработка информационной системы института заочного и дополнительного профессионального образования
Информационная система и ее виды. Общие понятия реляционного подхода к организации баз данных. Функциональное описание разрабатываемого программного обеспечения "База ИДПО". Определение стоимости и трудоёмкости разработки данного программного средства.
дипломная работа [2,1 M], добавлен 15.06.2013 Разработка базы данных и прикладного программного приложения с целью обеспечения хранения, накопления и предоставления информации об учащихся МБОУ "Средняя общеобразовательная школа №18" г. Грозный. Методы обеспечения информационной безопасности.
дипломная работа [2,9 M], добавлен 25.06.2015Анализ предметной области, главных функций организации. Разработка макета внутренней структуры программного обеспечения информационной системы в виде диаграммы классов. Составление схемы базы данных. Разработка интерфейса и руководства пользователя.
курсовая работа [866,3 K], добавлен 02.06.2015Основные принципы и условия обеспечения информационной безопасности. Защита информации от несанкционированного и преднамеренного воздействия, от утечки, разглашения и иностранной разведки. Цели, задачи и принципы системы ИБ. Понятие политики безопасности.
презентация [118,4 K], добавлен 19.01.2014Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Анализ программного обеспечения, ограничивающего вредоносную деятельность на ПК. Анализ возможностей встроенных программ и программ сторонних производителей, а также необходимых настроек операционной системы (ОС) в плане информационной безопасности.
курсовая работа [3,2 M], добавлен 02.01.2010
