Обеспечение информационной безопасности автоматизированной системы агентства недвижимости
Характер и виды происхождения угроз, присущих объекту информационных процессов. Классы каналов несанкционированного получения информации. Политика безопасности в области эксплуатации автоматизированной информационной системы агентства недвижимости.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 22.12.2019 |
Размер файла | 2,1 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Содержание
- Введение
- 1. Теоретическая часть
- 1.1 Характеристика объекта защиты
- 1.2 Характер и виды происхождения угроз, присущих объекту информационных процессов
- 1.3 Классы каналов несанкционированного получения информации
- 1.4 Возможные причины нарушения целостности информации
- 1.5 Возможные причины нарушения доступности информации
- 2. Практическая часть
- 2.1 Определение класса защиты информации в соответствии с РД ФСТЭК России
- 2.2 Определение требований к системе защиты и факторов, влияющих на требуемый уровень
- 2.3 Выбор и применение программно-аппаратных средств для обеспечения информационной безопасности
- 2.4 Определение организационно-административных средств для обеспечения информационной безопасности объекта защиты
- 2.5 Разработка основ политики безопасности в области эксплуатации анализируемого объекта
- Заключение
- Список использованных источников
- Введение
- В наши дни информационная сеть окутала практически всю планету. Каждый день люди сталкиваются с информационными системами: на автостоянках (по карточкам), в универмагах, даже при устройстве на работу.
- Главное конкурентное преимущество любого агентства недвижимости - актуальная, постоянно обновляющаяся информация и возможность оперативного выбора необходимого из нее. Поэтому первостепенной задачей системы автоматизации для агентства недвижимости является минимизация временных затрат на сохранение и поиск данных в рамках единой информационной базы.
- Согласно ГОСТ 34.003-90, АС (Автоматизированная система) - это система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
- Через АИС (Автоматизированная информационная система) агентства недвижимости проходит много различной информации. Сюда можно отнести личные данные клиентов, сотрудников организации, базы данных, финансовые отчёты, пароли и многое другое.
Всё это представляет интерес для злоумышленников, конкурентов организации. Всё это несёт в себе определённые риски, такие как утечка информации, кража, преднамеренное уничтожение или блокирование доступа к информации. - Целью данной курсовой работы является применение программно-аппаратных средств для обеспечения информационной безопасности автоматизированной системы агентства недвижимости.
- В ходе выполнения данной работы необходимо решить следующие задачи:
— дать характеристику объекта защиты;
— установить характер и виды происхождения угроз, присущих объекту информационных процессов;
— определить классы каналов несанкционированного получения информации;
— выявить возможные причины нарушения целостности, доступности информации;
— определить класс защиты информации в соответствии с РД ФСТЭК России;
— сформулировать требования к системе защиты и выявить факторы, влияющие на требуемый уровень;
— выбрать и применить программно-аппаратные средства для обеспечения информационной безопасности автоматизированной информационной системы агентства недвижимости;
— сформулировать организационно-административные методы защиты объекта;
— разработать основы политики безопасности в области эксплуатации автоматизированной информационной системы агентства недвижимости.
1. Теоретическая часть
угроза информационный безопасность автоматизированный
1.1 Характеристика объекта защиты
Согласно статье 5 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации", информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.
Если обратится к 3 статье Федерального закона от 25 июля 2011 г. N 261-ФЗ, то персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
В 6 статье Федерального закона от 27.07.2006 n 152-фз (ред. От 25.07.2011) "о персональных данных" написано, что "Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом."
Согласно 7 статье Федерального закона от 27.07.2006 n 152-фз (ред. От 25.07.2011) "о персональных данных", " Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом."
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
Закон при определении того, к каким данным доступ является ограниченным, ссылается на указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера", где перечислены сведения, которые могут считаться конфиденциальными. В соответствии с пунктом 3 этого указа, сведения, хранящиеся в автоматизированной информационной системе организации, являются конфиденциальными и классифицируются как "служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна)", так как содержат в себе списки имён, фамилий, адреса клиентов агентства недвижимости (персональные данные), финансовые отчёты (для служебного пользования).
В агентстве недвижимости используется система bpm'online CRM, которая позволяет автоматизировать работу в организации.
Bpm'online CRM --прикладное программное обеспечение, полностью обслуживаемое провайдером, разработанное компанией Terrasoft. Bpm'online CRM объединяет возможности системы управления взаимоотношениями с клиентами (CRM) и системы управления бизнес-процессами (BPM). На рисунке 1.1 представлен пример данных, хранящихся в системе.
Рисунок 1.1 Персональные данные конфиденциального характера в программе, используемой для автоматизации работы в организации
В соответствии со статьёй 3 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне", содержащаяся в облачной системе информация является конфиденциальной, так как информацией, составляющей коммерческую тайну являются "сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам". На рисунке 1.2 изображено окно программы с разделом продажи, где содержится различная информация о компании, должностных лицах с которыми ведется сотрудничество.
Рисунок 1.2 Окно программы с разделом продажи, где содержатся различная информация о компании, должностных лицах с которыми ведется сотрудничество
На рисунке 1.3 изображено окно информационной системы в котором производится документооборот важных документов, которые используются в агентстве недвижимости и есть существенный риск утечки важных документов.
Рисунок 1.3 Окно информационной системы в котором производится документооборот
СRM программа сокращает время на ежедневную рутину. Система предусматривает все необходимые инструменты для управления как внешним, так и внутренним документооборотом компании.
Эти инструменты предоставляют средства автоматического формирования документов по шаблонам, подготовки печатных форм документов, поддержки версионности документов, быстрого поиска документов в системе, создание электронного хранилища документов и многое другое.
При ведении в CRM документации, можно организовать коллективную работу с документами при гибком разграничении прав доступа, электронное визирование, а также учет взаимосвязей между документами.
Из этого следует вывод, что вводимая и хранимая в облачной системе агентства недвижимости является конфиденциальной информацией ограниченного доступа, относящейся к персональным данным, коммерческой тайне и объектам авторского права.
Система разработана с использованием веб-технологий, обладает рациональным и дружественным пользовательским интерфейсом, проста в использовании и обслуживании. Система доступна в облаке, то есть нет необходимости покупать, устанавливать и обслуживать собственные сервера и дополнительное ПО.
Автоматизированная информационная система предоставляет широкие функциональные возможности для работы с клиентами и управления продажами вашего бизнеса.
Клиентская база, история взаимоотношений, управление сделками (В2В/В2С), активности/календарь, документы и аналитика.
Рисунок 1.3 Окно программы, где изображена общая сводка по E-mail
1.2 Характер и виды происхождения угроз, присущих объекту информационных процессов
Характер угроз информационной безопасности, присущих облачной системе, содержащей персональные данные клиентов и данные агентства недвижимости, подразделяется на умышленные и естественные факторы.
Умышленные факторы:
- несанкционированная передача данных другим лицам;
- подключение к сети с целью перехвата передаваемых данных (персональные данные клиентов, конфиденциальные данные компании);
- перехват электромагнитных излучений;
- несанкционированный доступ к файловым ресурсам путём повышения привилегий;
- копирование, изменение, искажение файлов после повышения привилегий.
Естественные факторы:
- несчастные случаи;
- стихийные бедствия;
- программно-аппаратные ошибки в процессе обработки информации;
- ошибки обслуживающего персонала.
Виды угроз информационной безопасности, присущих онлайн системе агентства недвижимости, содержащей персональные данные клиентов:
- физическое искажение или уничтожение информации;
- нарушение доступности информации;
- возможность несанкционированной модификации;
- нарушение конфиденциальности информации;
- несанкционированная модификация информации.
1.3 Возможные причины нарушения целостности, доступности и конфиденциальности информации
К рассматриваемому объекту информационных процессов можно отнести три класса каналов несанкционированного получения информации.
Каналы от источника информации при НСД к нему:
- хищение носителей информации;
- копирование информации с носителей;
- выведывание информации у обслуживающего персонала на объекте.
Каналы со средств обработки информации при НСД к ним:
- установка закладных устройств в компьютеры;
- ввод программных продуктов, позволяющих злоумышленнику получать информацию;
- копирование информации с технических устройств отображения.
К каналу от источника информации без НСД к нему относится выведывание информации у обслуживающего персонала за пределами объекта.
К каналу со средств обработки информации без НСД к ним относится подключение к онлайн системе агентства недвижимости по компьютерным сетям.
2. Практическая часть
2.1 Определение класса защиты информации в соответствии с РД ФСТЭК России
Облачная информационная система, содержащая в себе информацию о клиентах агентства недвижимости, сотрудниках организации, а также важные электронные документы является многопользовательской системой, в которой одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации системы. Эти признаки говорят о том, что облачная автоматизированная система относится к первой группе автоматизированных систем, которая содержит в себе пять классов. К классам 1Д и 1Г относится служебная тайна, которая будет защищаться в данной работе. К классу 1Г относится служебная тайна с персональными данными. Таким образом, сервер относится к классу 1Г. На таблице 2 приведены требования к автоматизированным системам этого класса.
Таблица 1
Требования к АС класса 1Г
Подсистемы и требования |
Класс 1Г |
|
1. Подсистема управления доступом |
||
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: |
||
в систему |
+ |
|
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ |
+ |
|
к программам |
+ |
|
к томам, каталогам, файлам, записям, полям записей |
+ |
|
1.2. Управление потоками информации |
- |
|
2. Подсистема регистрации и учета |
||
2.1. Регистрация и учет: |
||
входа (выхода) субъектов доступа в (из) систему (узел сети) |
+ |
|
выдачи печатных (графических) выходных документов |
+ |
|
запуска (завершения) программ и процессов (заданий, задач) |
+ |
|
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи |
+ |
|
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей |
+ |
|
изменения полномочий субъектов доступа |
- |
|
создаваемых защищаемых объектов доступа |
- |
|
2.2. Учет носителей информации |
+ |
|
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей |
+ |
|
2.4. Сигнализация попыток нарушения защиты |
- |
|
3. Криптографическая подсистема |
||
3.1. Шифрование конфиденциальной информации |
- |
|
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах |
- |
|
3.3. Использование аттестованных (сертифицированных) криптографических средств |
- |
|
4. Подсистема обеспечения целостности |
||
4.1. Обеспечение целостности программных средств и обрабатываемой информации |
+ |
|
4.2. Физическая охрана средств вычислительной техники и носителей информации |
+ |
|
4.3. Наличие администратора (службы) защиты информации в АС |
- |
|
4.4. Периодическое тестирование СЗИ НСД |
+ |
|
4.5. Наличие средств восстановления СЗИ НСД |
+ |
|
4.6. Использование сертифицированных средств защиты |
- |
2.2 Определение требований к системе защиты и факторов, влияющих на требуемый уровень
Класс защиты информации, установленный в соответствии с РД ФСТЭК РФ, устанавливает требования, описанные ниже.
Подсистема управления доступом:
- должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;
- должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;
- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
- должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа,
Подсистема регистрации и учета:
- должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа: успешная или неуспешная - 16 несанкционированная, идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке;
- должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются: дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи [логическое имя (номер) внешнего устройства], краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа, идентификатор субъекта доступа, запросившего документ;
- должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются: - дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный - несанкционированный);
- должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются: - дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная, несанкционированная. Идентификатор субъекта доступа, спецификация защищаемого файла;
- должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются: дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная. Идентификатор субъекта доступа, спецификация защищаемого объекта [логическое имя (номер)];
- должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку), учет защищаемых носителей должен проводиться в журнале (картотеке) с 17 регистрацией их выдачи (приема);
- должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Подсистема обеспечения целостности:
- должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды: целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ, целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
- должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;
- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
2.3 Выбор и применение программно-аппаратных средств для обеспечения информационной безопасности
Для защиты облачной информационной системы агентства недвижимости, содержащего персональные данные клиентов, а также сотрудников организации необходимо выбрать программно-аппаратное средство защиты информации, сертифицированное ФСТЭК РФ и соответствующее требованиям. Выбор осуществлялся среди четырёх систем защиты информации: "Аура", "Dallas Lock 8.0-K", "Secret Net 7", "Security Studio Endpoint Protection". На таблице 4 приводится сравнение систем защиты информации.
Таблица 2
Сравнение систем защиты информации
Критерии сравнения |
Система защиты информации |
||||
"Security Studio Endpoint Protection" |
"Dallas Lock 8.0-K" |
"Secret Net 7" |
"Аура" |
||
Вариант развёртывания |
Рабочая станция и сервер |
Рабочая станция и сервер |
Рабочая станция и сервер |
Рабочая станция и сервер |
|
Поддерживаемые ОС |
MS Windows 2000 Server SP4,Windows Server 2003 SP2, Windows Server 2008, MS Windows XP SP3, MS Windows Vista |
Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Server 2003, 2008, 2012, 2016 |
Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Server 2003, 2008, 2012, 2016 |
Windows 7, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012 R2 |
|
Поддерживаемые электронные идентификаторы |
Нет |
USB-Flash-накопители, электронные ключи Touch Memory (iButton), USB-ключи и смарт-карты eToken, USB-ключи и смарт-карты Рутокен, USB-ключи и смарт-карты JaCarta, карты HID Proximity, USB-ключи и смарт-карты ESMART |
eToken PRO, eToken PRO (Java), iKey, Rutoken S, Rutoken ЭЦП, Rutoken Lite, JaCarta, ESMART и iButton |
Rutoken 1.0/2.0/3.0, eToken PRO, eToken Java, USB флеш-накопители |
|
Методы разграничения доступа |
Нет |
Мандатный и дискреционный |
Мандатный и дискреционный |
Дискреционный |
|
Разграничение доступа к устройствам |
Нет |
Есть |
Есть |
Нет |
|
Механизм замкнутой программной среды |
Нет |
Есть |
Есть |
Нет |
|
Контроль целостности |
Нет |
Есть |
Есть |
Есть |
|
Маркировка печатных документов |
Нет |
Есть |
Есть |
Есть |
|
Контроль носителей информации |
Нет |
Есть |
Есть |
Есть |
|
Регистрация событий |
Есть |
Есть |
Есть |
Есть |
|
Межсетевой экран |
Есть |
Есть |
Нет |
Нет |
|
Антивирус |
Есть |
Нет, но есть средства для сочетания защиты с Kaspersky Endpoint Security |
Нет |
Нет |
|
Средство обнаружения вторжений |
Есть |
Есть |
Нет |
Нет |
|
Средства тестирования СЗИ |
Нет |
Есть |
Есть |
Нет |
|
Функция зачистки памяти |
Нет |
Есть |
Есть |
Есть |
|
Средства восстановления СЗИ |
Есть |
Есть |
Нет |
Нет |
|
Цена |
3200 |
6600-13300, в зависимости от функционала |
7700 |
5 900 |
|
Лицензии и сертификаты |
Соответствие требованиям ФСТЭК к защите конфиденциальной информации - НДВ4, СВТ5, САВЗ4, СОВ4, МЭ3, СКСН4 |
СЗИ сертифицирована ФСТЭК на соответствие 4 уровню контроля отсутствия НДВ, 5 классу защищенности от НСД, 3 классу защищенности МЭ, классу защиты СОВ ИТ.СОВ.У4.ПЗ, классу защиты СКН ИТ.СКН.П4.ПЗ. |
Сертифицирована ФСТЭК на СВТ 3, НДВ 2, для защиты АС до класса 1Б включительно (в т.ч. защита гостайны с грифом «совершенно секретно»), ИСПДн до УЗ1 включительно и ГИС до 1 класса включительно. |
Сертифицирована ФСТЭК для использования в автоматизированных системах (АС) классами 1Б, 1В, 1Г, 1Д и соответствует требованиям документов: РД НДВ(4), РД СВТ(5) |
СЗИ Security Studio Endpoint Protection обеспечивает защиту компьютера с применением межсетевого экрана, антивируса и средства обнаружения вторжений, вошли обновленные антивирусное ядро и эвристический анализатор. Интерфейс программы приведен на рисунке 2.1
Рисунок 2.1 Интерфейс "Security Studio Endpoint Protection"
Secret Net 7 является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов, с его интерфейсом можно ознакомиться на рисунке 2.2
Рисунок 2.2 Интерфейс "Secret Net 7"
СЗИ Аура -- система защиты информации от несанкционированного доступа. Разработана и выпускается Санкт-Петербургским институтом информатики и автоматизации РАН (СПИИРАН) Научно-исследовательским отделом проблем информационной безопасности (НИО ПИБ) Интерфейс программы можно увидеть на рисунке 2.3
Рисунок 2.3 Интерфейс "Аура"
СЗИ Dallas Lock 8.0-K - система защиты конфиденциальной информации от несанкционированного доступа в процессе её хранения и обработки. Представляет собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов. Интерфейс Dallas Lock изображён на рисунке 8.
Система защиты информации обеспечивает защиту конфиденциальной информации от несанкционированного доступа на персональных, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), работающих как автономно, так и в составе ЛВС, а также поддерживает виртуальные среды.
Эта система защиты информации позволяет объединить защищенные персональные компьютеры для централизованного управления механизмами безопасности.
Рисунок 2.4 Интерфейс "Dallas Lock 8.0-K"
После сравнения нескольких систем защиты информации, была выбрана "Аура", так как может обеспечить необходимый уровень защиты компьютеров, содержащих персональные данные при разумных затратах на приобретение СЗИ.
В первую очередь для настройки системы защиты информации, необходимо настроить подсистему идентификации и контроля доступа в систему. Для этого нужно добавить пользователей в систему для назначения им прав в дальнейшем.
С результатами настройки подсистемы идентификации и контроля доступа можно ознакомиться на рисунке 2.5.
Рисунок 2.5 Настройка контроля доступа в менеджере пользователей
Далее устанавливаем пароль на загрузку компьютера для защиты. (Рисунок 2.6)
Рисунок 2.6 Установка пароля на загрузку ПК
В подсистеме затирания, можно настроить какие методы и алгоритмы будут использоваться для затирания важных данных без возможности восстановления. Окно настройки изображено на рисунке 2.7.
Рисунок 2.7 Настройка затирания данных
Далее переходим к обзору журнала безопасности, где записываются важные события в системе и их можно посмотреть.
Рисунок 2.8 Обзор журнала безопасности
В журнале безопасности можно осуществлять поиск по категориям.
Рисунок 2.9 Поиск в журнале по категориям
Далее переходим к системе генерации паролей. Данная система необходима для создания сложных паролей.
Рисунок 2.10 Система генерации паролей
2.4 Определение организационно-административных средств для обеспечения информационной безопасности объекта защиты
Организационно-административное обеспечение информационной безопасности представляет собой регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, чтобы разглашение, утечка и несанкционированный доступ к информации становился невозможным или существенно затруднялся.
К организационным мероприятиям относятся:
- формулирование перечня мер по обеспечению безопасности и срочному восстановлению данных при сбоях системы;
- обучение сотрудников автоматизированной информационной системы системы агентства недвижимости правилам и процедурам работы с конфиденциальной информацией;
- ограничение доступа посторонних лиц в помещение;
- ограничение круга лиц, имеющих доступ к важным данным в информационные системы агентства недвижимости.
К административным мероприятиям относятся:
- поддержка правильной конфигурации ОС;
- применение инженерно-технических средств защиты информации (телекоммуникационный шкаф, межсетевой экран, дверь и запирающий её механизм минимум 3 класса защиты);
- контроль журналов входа (выхода) субъектов доступа в (из) систему, доступа программ к защищаемым данным;
- контроль целостности защищаемых данных;
- контроль смены паролей;
- применение средств антивирусной защиты (покупка и установка Kaspersky Endpoint Security);
- проведение тестирования средств защиты информации.
2.5 Разработка основ политики безопасности в области эксплуатации анализируемого объекта
Политика безопасности разработана в соответствии с законодательством Российской Федерации и нормами права в части обеспечения информационной безопасности. Политика безопасности является документом, представляющим собой систему взглядов на проблему обеспечения информационной безопасности, и устанавливает принципы построения системы управления информационной безопасностью на основе систематизированного изложения целей, процессов и процедур информационной безопасности автоматизированной информационной системы агентства недвижимости.
Стратегия в области обеспечения информационной безопасности и защиты информации включает выполнение в практической деятельности требований:
- российского законодательства в области безопасности, безопасности информационных технологий и защиты информации, безопасности персональных данных, коммерческой тайны, авторского права, законодательства в сфере защиты персональных данных;
- нормативных актов федеральных органов исполнительной власти, уполномоченных в области обеспечения физической безопасности и технической защиты информации, противодействия техническим разведкам и обеспечения информационной безопасности и приватности;
- нормативных актов библиотеки.
Необходимые требования обеспечения информационной безопасности должны неукоснительно соблюдаться персоналом библиотеки и пользователями сервера библиотечной информационно-поисковой системы.
Основы политики безопасности в области эксплуатации информационной системы распространяется на все процессы, связанные с использованием автоматизированной информационной системы агентства недвижимости и программно-аппаратных средств, реализующих её нормальное функционирование, и обязательна для применения всеми сотрудниками и руководством агентства недвижимости, а также пользователями её информационных ресурсов.
Основными объектами защиты автоматизированной информационной системы агентства недвижимости являются:
- информационные ресурсы, содержащие коммерческую тайну, персональные данные физических лиц, сведения для служебного пользования и открыто распространяемая информация, независимо от формы и вида её представления;
- информационные ресурсы, содержащие конфиденциальную информацию, включая персональные данные физических лиц, а также открыто распространяемая информация, необходимая для эксплуатации автоматизированной информационной системы агентства недвижимости в интересах её пользователей, независимо от формы и вида её представления;
- сотрудники агентства недвижимости, являющиеся разработчиками и пользователями автоматизированной информационной системы агентства недвижимости;
- информационная инфраструктура, включающая систему накопления, хранения, поиска и выдачи персональных данных в электронном виде, технические и программные средства их обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, помещение, где размещены эти системы.
Целью деятельности по обеспечению информационной безопасности автоматизированной информационной системы агентства недвижимости, является снижение угроз информационной безопасности до приемлемого уровня.
Основные задачи деятельности по обеспечению информационной автоматизированной информационной системы агентства недвижимости:
- выявление потенциальных угроз информационной безопасности и уязвимостей объектов защиты;
- предотвращение инцидентов информационной безопасности;
- исключение либо минимизация выявленных угроз.
Все множество потенциальных угроз безопасности информации делится на три класса по природе их возникновения: антропогенные, техногенные и природные.
Источники угроз по отношению к инфраструктуре автоматизированной информационной системы агентства недвижимости могут быть как внешними, так и внутренними.
В качестве потенциальных внутренних нарушителей агентства недвижимости рассматриваются:
- зарегистрированные пользователи;
- сотрудники, не являющиеся зарегистрированными пользователями и не допущенные к ресурсам автоматизированной информационной системы агентства недвижимости, но завладевшие доступом в помещение, где расположена инфраструктура автоматизированной информационной системы агентства недвижимости;
- персонал, обслуживающий технические средства информационной системы;
- сотрудники самостоятельных структурных подразделений, обеспечивающие безопасность агентства недвижимости;
- руководители различных уровней.
В качестве потенциальных внешних нарушителей агентства недвижимости рассматриваются:
- бывшие сотрудники агентства недвижимости;
- представители организаций, взаимодействующих по вопросам технического обеспечения агентства недвижимости;
- пользователи автоматизированной информационной системы агентства недвижимости;
- посетители зданий и помещений агентства недвижимости;
- конкурирующие с агентства недвижимости учреждения;
- лица, случайно или умышленно проникшие в информационную систему агентства недвижимости из внешних телекоммуникационных сетей.
В отношении внутренних и внешних нарушителей принимаются следующие ограничения и предположения о характере их возможных действий:
- нарушитель скрывает свои несанкционированные действия от других сотрудников агентства недвижимости;
- несанкционированные действия нарушителя могут быть следствием ошибок пользователей, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;
- внешний нарушитель может действовать в сговоре с внутренним нарушителем.
Требования об обеспечении информационной безопасности агентства недвижимости обязательны к соблюдению всеми работниками агентства недвижимости и пользователями информационной инфраструктуры автоматизированной информационной системы агентства недвижимости.
В рамках реализации деятельности по обеспечению информационной безопасности автоматизированной информационной системы агентства недвижимости, осуществляются:
- сбор информации о событиях информационной безопасности;
- выявление и анализ инцидентов информационной безопасности;
- оперативное реагирование на инцидент информационной безопасности;
- оперативное доведение до руководства агентства недвижимости информации по наиболее значимым инцидентам информационной безопасности и оперативное принятие решений по ним, включая регламентирование порядка реагирования на инциденты информационной безопасности;
- выполнение принятых решений по всем инцидентам информационной безопасности в установленные сроки;
- повышение уровня знаний персонала агентства недвижимости в вопросах обеспечения информационной безопасности.
Общее руководство обеспечением информационной безопасности автоматизированной информационной системы агентства недвижимости осуществляет администратор этой системы.
Заключение
В ходе выполнения курсовой работы была достигнута цель и выполнены следующие задачи:
- дана характеристика объекта защиты;
- установлены характер и виды происхождения угроз, присущих автоматизированной информационной системы агентства недвижимости;
- определены классы каналов несанкционированного получения информации;
- выявлены возможные причины нарушения целостности, доступности информации;
- определён класс защиты информации в соответствии с РД ФСТЭК России;
- сформулированы требования к системе защиты и выявлены факторы, влияющие на требуемый уровень;
- выбраны и применены программно-аппаратные средства для обеспечения информационной безопасности автоматизированной информационной системы агентства недвижимости;
- сформулированы организационно-административные методы защиты объекта;
- разработаны основы политики безопасности в области эксплуатации автоматизированной информационной системы агентства недвижимости.
Список использованных источников
1. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ;
2. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ;
3. Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ;
4. Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";
5. Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ "Авторское право";
6. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации от 30 марта 1992 г;
7. ГОСТ 7.73-96 "Поиск и распространение информации. Термины и определения"
8. Галатенко В.А. Основы информационной безопасности// ИНТУИТ -2016;
9. Шаньгин В.Ф. Информационная безопасность и защита информации// Профобразование. -2017;
10. Информационные технологии в юридической деятельности// Згадзай О.Э., Казанцев С.Я., Дубинина Н.М. и др.// ЮНИТИ-ДАНА. -2014;
11. И.В. Сорокин. Модуль защиты документов от копирования "SecView" в системе "Либер. Электронная библиотека"// ЗАО "Компания ЛИБЭР" -2014;
12. Либер. Электронная библиотека [Электронный ресурс]. URL: https://www.libermedia.ru/catalog/index.php?ELEMENT_ID=2 (дата обращения: 07.09.2018);
13. Рубинтех. Технологии информационной безопасности. СЗИ Страж NT. [Электронный ресурс]. URL: http://www.guardnt.ru/ (дата обращения: 10.09.2018);
14. Код безопасности. Security Studio Endpoint Protection. [Электронный ресурс]. URL: https://www.securitycode.ru/company/newssecurity_studio_endpoint_pro/ (дата обращения: 10.09.2018);
15. Конфидент. СЗИ НСД Dallas Lock 8.0-K. [Электронный ресурс]. URL: https://www.dallaslock.ru/products/szi-nsd-dallas-lock/szi-ot-nsd-dallas-lock-8-0-k/ (дата обращения: 10.09.2018);
16. Код безопасности. Secret Net. [Электронный ресурс]. URL: https://www.securitycode.ru/products/secret_net/ (дата обращения: 10.09.2018).
Размещено на Allbest.ru
...Подобные документы
Разработка и внедрение автоматизированной информационной системы. Изучение основных процессов, протекающих в предметной области. Создание базы данных. Исследование средств защиты информации от несанкционированного доступа и идентификации пользователей.
курсовая работа [487,2 K], добавлен 17.03.2014Анализ существующих решений по автоматизации предметной области. Методология проектирования информационной системы агентства недвижимости. Спецификация и аттестация требований. Проектирование пользовательского интерфейса. Обоснование выбора платформы.
курсовая работа [412,8 K], добавлен 10.02.2013Разработка и внедрение автоматизированной информационной системы (АИС) работы с клиентами туристической фирмы (приема и обработки заявок). Технико-экономическая оценка туристического агентства, алгоритм и схема интерфейса программного обеспечения его АИС.
дипломная работа [4,0 M], добавлен 21.07.2011Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Анализ бизнес-процессов предприятия. Определение сущностей и связей между ними. Создание таблиц, запросов, отчетов и форм. Построение логической модели информационной системы. Разработка программного обеспечения. Инструкция по использованию базы данных.
дипломная работа [3,1 M], добавлен 16.08.2015Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Анализ информации, циркулирующей в автоматизированной информационной системе. Выбор класса защищенности для разрабатываемой системы. Определение периметра безопасности, с указанием не защищенных областей. Горизонтальное и вертикальное проектирование.
курсовая работа [895,6 K], добавлен 30.11.2008Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Анализ бизнес-процессов, информационных потоков и уровня автоматизации деятельности риэлтерского агентства. Разработка модуля поддержки взаимоотношений с клиентом и электронного документооборота. Логическая схема проектируемой информационной системы.
дипломная работа [2,7 M], добавлен 10.02.2012Создание информационной системы для фирмы "Удача", которая является посредником при перепродаже недвижимости. Обоснование состава вычислительной техники и программного обеспечения для функционирования данной автоматизированной информационной системы.
курсовая работа [1,8 M], добавлен 17.02.2014Анализ объекта защиты информации, ознакомление с его уровнем защищенности. Понятие и классификация угроз. Классы каналов несанкционированного получения информации. Оценка автоматизированной системы комнаты для переговоров конфиденциального характера.
контрольная работа [17,1 K], добавлен 25.05.2015Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Анализ защиты сервера, содержащего бухгалтерский отчет крупной компании. Виды и характер происхождения угроз. Классы каналов несанкционированного получения информации. Предотвращение уничтожения, несанкционированного получения конфиденциальных сведений.
курсовая работа [68,9 K], добавлен 29.05.2015Определение класса автоматизированной системы. Выбор средств защиты информации от несанкционированного доступа. Выбор режимов блокировки и электронных ключей для разблокировки консоли. Дискреционное разграничение доступа. Задача обеспечения целостности.
курсовая работа [1,9 M], добавлен 23.01.2013Определение класса защищённости АС. Разработка модели угроз. Выбор механизмов и средств защиты информационных ресурсов от несанкционированного доступа. Создание структуры каталогов для заданного количества пользователей автоматизированной системы.
курсовая работа [9,7 M], добавлен 12.05.2014Функциональная модель предметной области на примере базы данных автоматизированной информационной системы "Общежития". Ведение информационной базы об общежитиях, комнатах и сотрудниках, хранение информации о студентах, специальностях и факультетах.
курсовая работа [2,7 M], добавлен 10.04.2014Классы информационных объектов, а также производственные системы и процессы на предприятии, подлежащих защите. Предполагаемые угрозы и нарушители информационной безопасности, внешние и внутренние. Защита от несанкционированного доступа в организации.
курсовая работа [36,0 K], добавлен 14.02.2016Мероприятия по обеспечению информационной безопасности. Понятие угроз конфиденциальности, целостности и доступности информации и ее законным пользователям. Защита прав и свобод гражданина. Государственная политика Республики Беларусь в данной области.
контрольная работа [24,9 K], добавлен 17.05.2015Характеристика понятия и видов угроз информационной безопасности. Классы каналов несанкционированного доступа к конфиденциальной информации. Описание потенциально возможных злоумышленных действий. Методы резервирования данных и маскировки информации.
курсовая работа [45,1 K], добавлен 25.06.2014