Мета і призначення комплексної системи захисту інформації. Загальна характеристика автоматизованої системи установи та умов її функціонування. Формування моделей загроз інформації та порушника об"єкта інформаційної діяльності. Розробка політики безпеки.
При низкой оригинальности работы "Розробка комплексної системи захисту інформації у фінансовій компанії "Капітал"", Вы можете повысить уникальность этой работы до 80-100%
Захист інформації в сучасних умовах стає усе більш складною проблемою, що обумовлено такими основними причинами: - масове поширення засобів електронної обчислювальної техніки (ЕОТ); Крім того, у даний час одержали широке поширення засоби і методи несанкціонованого отримання інформації.Метою розроби КСЗІ є впровадження заходів та засобів, які реалізують способи, методи, механізми захисту інформації від: · витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали; · несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній звязку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або навязування хибної інформації, застосування закладних пристроїв чи програм, використання компютерних антивірусів та ін.;Фінансова компанія «Капітал» займається аналізом рентабельності підприємств на сучасному економічному ринку, залежно від попиту на товари чи послуги. Компанія веде підрахунки затрат та доходу при відкритті нових підприємств, крім цього компанія займається просуванням на ринок нових підприємств та приватних підприємців. Тому компанія займається аналізом ринку попиту на продукцію, що виробляється підприємствами і визначає основні тенденції виробництва у певний часовий період.Операційна система (ОС), з якою працюють користувачі, це Windows Vista Business. Розмежування доступу до ПК створено за допомогою вбудованих засобів захисту в ОС Windows Vista Business. Для кожного відділу створено свою робочу групу (домен) і користувачів, які можуть працювати лише у даній робочій групі, де вони мають наперед встановлені права. · Робочі місця розміщені таким чином,щоб мінімізувати спостереження за роботою одних користувачів за іншими. Згідно з НД ТЗІ 2.5-005-99 "Класифікація автоматизованих систем і стандартні функціональні класи захищеності оброблюваної інформації від несанкціонованого доступу" в фінансово-консалтинговій компанії інформація циркулює та обробляється в АС класу «2»Загрози для інформації, що обробляється в АС, залежать від характеристик ОС, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати обєктивну або субєктивну природу. Мають бути визначені основні види загроз для безпеки інформації, які можуть бути реалізовані стосовно АС і повинні враховуватись у моделі загроз, наприклад: · зміна умов фізичного середовища (стихійні лиха і аварії, як землетрус, повінь, пожежа або інші випадкові події); Випадковими загрозами субєктивної природи (дії, які здійснюються персоналом або користувачами по неуважності, недбалості, незнанню тощо, але без навмисного наміру) можуть бути: · дії, що призводять до відмови АС (окремих компонентів), руйнування апаратних, програмних, інформаційних ресурсів (обладнання, каналів звязку, видалення даних, програм та ін.); · неправомірна зміна режимів роботи АС (окремих компонентів, обладнання, ПЗ тощо), ініціювання тестуючих або технологічних процесів, які здатні призвести до незворотних змін у системі (наприклад, форматування носіїв інформації); Навмисними загрозами субєктивної природи, спрямованими на дезорганізацію роботи АС (окремих компонентів) або виведення її з ладу, проникнення в систему і одержання можливості несанкціонованого доступу до її ресурсів, можуть бути: · порушення фізичної цілісності АС (окремих компонентів, пристроїв, обладнання, носіїв інформації);Під порушником розуміється особа, яка зробила спробу виконання заборонених операцій помилково, не знаючи або навмисно зі злим помислом (корисним інтересом) або без таких (заради гри, самоствердження), заради самоствердження або помсти, використовуючи для цього різні способи і методи, можливості і засоби. Порушник може використовувати різноманітні методи та засоби для доступу до ІЗОД. Якщо порушник діє навмисне, з корисних мотивів, то будемо називати його зловмисником. Необхідно оцінити збитки, які можуть мати місце у випадку витоку інформації або при будь-якому іншому порушенні системи безпеки, а також ймовірність нанесення подібних збитків. Найчастіше будується неформалізована модель порушника (зловмисника), що відображає причини й мотиви дій, його можливості, знання, цілі, основні шляхи досягнення поставлених цілей - способи реалізації загроз, місце і характер дії, можлива тактика і т. д.КЗЗ повинен надавати користувачу можливість для кожного захищеного обєкта, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право одержувати інформацію від обєкта КЗЗ повинен надавати користувачу можливість для кожного процесу, що належить його домену, визначити конкретних користувачів і/або групи користувачів, які мають право ініціювати процес КЗЗ повинен надавати можливість адміністратору або користувачу, що має відповідні повноваження, для кожного захищеного обєкта шляхом керування належністю користувачів, процесів і обєктів до відповідних доменів визнач
План
Зміст
Вступ
1. Мета і призначення комплексної системи захисту інформації
2. Загальна характеристика автоматизованої системи установи і умов її функціонування
3. Формування моделі загроз інформації обєкта інформаційної діяльності
4. Формування моделі порушника обєкта інформаційної діяльності
5. Розробка політики безпеки
6. Система документів з забезпечення захисту інформації в АС
Висновки
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы