Концепция построения безопасности автоматизированных систем обработки информации. Исследование рынка и выбор средств электронной почты, организации виртуальных частных сетей, антивирусных средств. Матрица прав доступа сотрудников к защищаемой информации.
Аннотация к работе
АМДЗ - автоматизированный модуль доверенной загрузки АРМ - автоматизированное рабочее место (станция) АС - автоматизированная система БИ - безопасность информации ПКЗИ - подсистема криптографической защиты информации5.4 Требования к микроклимату, уровню шума и ЭМП, а также к визуальным параметрам ВДТ на рабочих местах с ПЭВМ 5.5 Требования к освещению на рабочих местах, оборудованных ПЭВМ6.1 Описание эффекта от внедрения системы безопасности АС ОИ 6.4 Расчет капитальных затрат на внедрение системы безопасностиПриложение 5.Приложение 9.В период существования примитивных носителей информации ее защита осуществлялась организационными методами, которые включали ограничение и разграничение доступа, определенные меры наказания за разглашение тайны. С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т.д., которые могут привести к ее разрушению, изменению на ложную, а также создать предпосылки к доступу посторонних лиц. С дальнейшим усложнением и широким распространением технических средств связи возросли возможности для преднамеренного доступа к информации. С появлением сложных АСУ, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. Специалисты приводят множество способов НСД к информации в АС обработки данных: просмотр, копирование и подмена данных, ввод ложных программ, команд и сообщений, подключение к линиям и каналам связи, использование отладочных и аварийных программ и устройств, чтение остатков информации, прием сигналов ПЭМИН информации, использование неисправностей и сбоев аппаратуры, ошибок операторов и программистов и т.д.Ее стоимость не должна превосходить возможный ущерб от нарушения безопасности охраняемой информации. Необходимо оценить ущерб, который может иметь место в случае утечки информации или при любом другом нарушении системы безопасности, а также вероятность нанесения подобного ущерба. Для определения адекватности стоимости системы защиты следует сопоставить размеры ущерба и вероятность его нанесения с размерами затрат на обеспечение защиты.Ресурсы АС защищаются только тогда, когда информацию непосредственно защитить сложно, и только те, через которые возможен доступ к информации, а также те, НСД к которым отрицательно влияет на право собственника или его доверенного лица беспрепятственно работать со своей информацией (юридическую ответственность за информацию и за ресурсы, как правило, несут разные должностные лица). 2) важная информация - информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами, утечка, модификация или утрата которой могут привести к большим потерям в организации; 3) полезная информация - информация, которая используется в работе, которую при утрате трудно восстановить, а также утечка, модификация или утрата которой существенно не влияет на функционирование организации; 4) несущественная информация - информация, не представляющая серьезного интереса для нарушителей, но ее утрата не желательна для ее владельца. Сеть передачи данных - территориально распределенная региональная или глобальная вычислительная сеть, состоящая из одного или нескольких узлов коммутации, выполняющих задачи маршрутизации сообщений, каналов связи между ними и аппаратуры передачи данных комплекса средств автоматизации, являющиеся одновременно ее абонентами и элементами АСУ.Формирование множества задач осуществляется на основе анализа объективных возможностей по реализации поставленных целей защиты. Учитывая, что основной целью обеспечения ИБ является обеспечение защиты системы от обнаружения и от информационного воздействия, а также содержания информации, выделяются задачи соответствующих видов (рис. Решение этой задачи представляет собой реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам и АС обработки информации - разведзащищенности, и направлено на достижение одной из главных целей - исключения или существенного затруднения технической разведке поиска, определения местоположения, классификации и идентификации объектов технической разведки по выявленным демаскирующим признакам. К этому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений относительно истинного назначения каких-либо объектов и изделий, действительного состояния какой-либо области государственной деятельности, положения дел на предприятии и т.д. Регулирование доступа к средствам и АС обработки информации предполагает реализацию идентификации, проверки подлинности и контроля доступа, регистрацию субъекта, учет носителей информации в системе ее обработки.Для защиты АС на основании РД документов Гостехкомиссии могут быть сформулированы следующие положения.
План
СОДЕРЖАНИЕ
Введение
1. Постановка задачи
2. Аналитическая часть
2.1 Концепция построения системы БИ в АС
2.2 Цели и задачи обеспечения ИБ
2.3 Принципы обеспечения ИБ в АС
2.4 Организационное обеспечение ЗИ в АС
2.5 Правовое обеспечение ЗИ в АС
2.6 Техническое обеспечение ЗИ
2.7 Анализ угроз ИБ ОИ
2.8 Модель потенциального нарушителя ОИ
2.9 Анализ информационных рисков АС ОИ
2.10 Характеристика АС ОИ
2.11 Техническое задание на разработку системы безопасности АС ОИ
3. Конструкторская часть
3.1 Исследование рынка и выбор программно-аппаратных средств ЗИ от НСД
3.2 Исследование рынка и выбор СКЗИ
3.3 АС для подготовки и представления отчетности «Контур-Экстерн» (разработчик СКБ «Контур»)
3.4 Исследование рынка и выбор средств электронной почты
3.5 Организация ЗИ от угроз подключения к сетям общего пользования
3.6 Исследование рынка и выбор средств организации виртуальных частных сетей
3.7 Исследование рынка и выбор антивирусных средств ЗИ
3.8 ЗИ при сбоях и аварийных ситуациях
3.9 Описание разработанной системы безопасности АС ОИ