Разработка политики безопасности ООО

  • 97 страниц
  • 33 источника
  • Добавлена 29.01.2014
3 000 руб.
  • Содержание
  • Часть работы
  • Список литературы
  • Вопросы/Ответы
ВВЕДЕНИЕ 4
I АНАЛИТИЧЕСКАЯ ЧАСТЬ 8
1.1. Технико-экономическая характеристика предметной области и
предприятия 8
1.1.1. Общая характеристика предметной области. 8
1.1.2. Организационно-функциональная структура предприятия 9
1.2. Анализ рисков информационной безопасности 11
1.2.1 Идентификация и оценка информационных активов. 11
1.2.4. Оценка существующих и планируемых средств защиты 28
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации в ООО «Виконт» 38
1.3.1. Выбор комплекса задач обеспечения информационной безопасности. 38
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 39
1.4. Выбор защитных мер 40
1.4.1. Выбор организационных мер 40
1.4.2. Выбор инженерно-технических мер. 42
II ПРОЕКТНАЯ ЧАСТЬ 46
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 46
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 46
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 49
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 50
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 50
2.2.2. Контрольный пример реализации проекта и его описание 57
III ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА 76
3.1 Выбор и обоснование методики расчёта экономической эффективности 76
3.2 Расчёт показателей экономической эффективности проекта 80
ЗАКЛЮЧЕНИЕ 90
ГЛОССАРИЙ 93
СПИСОК ЛИТЕРАТУРЫ 95

Фрагмент для ознакомления

(СЗ) Программа «Проводник» - используется для настройки параметров, относящихся к атрибутам файлов и каталогов, в механизмах полномочного разграничения доступа и шифрования.(С4) Программа «Контроль программ и данных» - предназначена для управления механизмами контроля целостности и замкнутой программной среды.(С5) Средства экспорта и импорта параметров - используются для тиражирования эталонных настроек системы защиты. С помощью средств экспорта и импорта упрощается локальная настройка нескольких компьютеров с одинаковыми параметрами защитных механизмов. Параметры с эталонного компьютера переносятся на другой компьютер (или группу компьютеров) без необходимости повторять весь процесс настройки на каждом из них.В системе SecretNet предусмотрено делегирование полномочий администратора безопасности. Это означает, что некоторые функции по настройке и управлению работой защитных механизмов могут быть возложены на пользователей, не являющихся членами группы доменных администраторов. При этом настройка и управление могут осуществляться только в рамках определенных организационных подразделений, созданных внутри домена.К общим параметрам безопасности Windowsпосле модификации схемы АО добавляются параметры SecretNet, действие которых распространяется на компьютеры сети средствами групповых политик. Доступ к этим параметрам осуществляется в стандартном узле «Параметры безопасности» оснастки «Групповая политика» или «Редактор объектов групповой политики» (в зависимости от операционной системы).Оснастку можно вызывать как отдельный, самостоятельный инструмент или в качестве расширения таких оснасток как ActiveDirectory - пользователи и компьютеры» или «ActiveDirectoryActiveDirectory - сайты и службы».До начала установки системы SecretNet 6.5 следует выполнить ряд подготовительных мероприятий:Назначить и подготовить сотрудников, которые будут устанавливать и эксплуатировать систему SecretNet 6.5. Определить режимы работы SecretNet 6.5, для чего на тестовой группе компьютеров провести проверку совместимости используемых в организации приложений с расстановкой прав, выполняемой программой установки SecretNet 6.5, и работой механизмов защиты.Выполнить ревизию функционирования домена и устранить ошибки в его работе (при наличии таковых).Проверить соответствие компьютеров домена требованиям к аппаратному и программному обеспечению.Компоненты SecretNet 6.5 устанавливаются на компьютеры, работающие под управлением ОС Windows 2000/XP Professional/2003/Vista и оснащенные процессорами семейства INTEL X86 или совместимыми с ними. Все разделы жестких дисков компьютеров должны иметь файловую систему NTFS или NTFS5. Все компьютеры, на которых планируется использовать персо-нальные идентификаторы, должны быть оборудованы разъемом для подключения (предъявления) персональных идентификаторов. На этих компьютерах необходимо установить соответствующее программное обеспечение (ПО) для работы с персональными идентификаторами (например, для работы с идентификаторами eToken устанавливается ПО eTokenRunTimeEnvironment).Установка системы осуществляется после выполнения подготовительных мероприятий в следующей последовательности:Включить все контроллеры домена.Установить на контроллере домена инструментарий WindowsSupportTools из состава дистрибутива ОС.Выполнить модификацию AD и дождаться репликации схемы AD на все контроллеры домена.На компьютерах, которые будут использоваться в качестве серверов безопасности, установить: • ПО сервера безопасности; • ПО клиента.На рабочих местах администраторов SecretNet 6.5 установить: • средство MicrosoftAdministrationToolsPack из состава дистри-бутива ОС Windows серверных платформ; • ПО клиента; • средства управления.Установить ПО клиента системы SecretNet 6.5 на серверы и контроллеры домена, затем на компьютеры сотрудников.При большом количестве компьютеров целесообразно применить автоматическую установку ПО клиента. Параметры пользователей используются механизмами защиты входа, шифрования и полномочного разграничения доступа. Параметры пользователя применяются при входе в систему после выполнения процедуры идентификации и аутентификации пользователя. Параметры доменных и локальных пользователей хранятся, соответственно, в ActiveDirectory или в локальных базах данных защищаемых компьютеров.При копировании объектов "Пользователь" параметры SecretNet 6.5 не копируются.Настройка параметров доменных и локальных пользователей осуществляется в соответствующих оснастках: доменные пользователи представлены в оснастке "ActiveDirectory — пользователи и компьютеры", локальные пользователи — вВызовите нужную оснастку:ActiveDirectory —пользователи и компьютерыАктивируйте команду "Пуск | Все программы |Администрирование | ActiveDirectory — пользователи и компьютеры". Для управления параметрами доменных пользователей на компьютере, не являющемся контроллером домена, должны быть установлены средства централизованного управления ОС WindowsУправление компьютеромАктивируйте команду "Пуск | Все Программы |SecretNet 6.5 | Управление компьютером"Найдите и выберите папку "Пользователи". В правой части появится список пользователей.Вызовите окно настройки свойств пользователя и перейдите к диалогу "SecretNet 6.5".В левой части диалога расположена панель выбора режима работы. Переключение между режимами осуществляется выбором соответствующей пиктограммы на этой панели. Предусмотрены режимырпедставленные в таблице 2.1:Таблица 2.1 Режимы работы "SecretNet 6.5РежимНазначениеИдентификаторУправление персональными идентификаторами пользователяКриптоключУправление криптографическими ключами пользователяДоступУправление параметрами полномочного доступаСервисПроверка принадлежности персональных идентификаторовУправление персональными идентификаторамиПерсональный идентификатор — устройство, предназначенное для хранения информации, необходимой при идентификации и аутентификации пользователя. В идентификаторе могут храниться криптографические ключи пользователя. В SecretNet 6.5 используются персональные идентификаторы iButton и USB-ключи eToken.Пояснение. Для хранения криптографических ключей могут также использоваться сменные носители, такие как дискеты, Flash-карты, USB Flash-накопители и т. п. В дальнейшем в данном руководстве термин "идентификатор" будет применяться и к сменным носителям.Персональный идентификатор выдается пользователю администратором. Пользователю можно присвоить неограниченное число идентификаторов. Один и тот же персональный идентификатор не может быть присвоен нескольким пользователям одновременно.Администратор безопасности может выполнять следующие операции с персональными идентификаторами: Инициализация идентификатораФорматирование, обеспечивающее возможность использования идентификатора в системе SecretNet 6.5. Инициализация требуется, когда в персональном идентификаторе по каким-либо причинам была нарушена или отсутствует структура данных. Форматированию подлежат также и сменные носители, предназначенные для хранения ключейПрисвоение идентификатора.Добавление в базу данных SecretNet 6.5 сведений о том, что пользователю принадлежит персональный идентификатор данного типа с уникальным серийным номеромОтмена присвоения идентификатораУдаление из базы данных SecretNet 6.5 информации о принадлежности данного персонального идентификатора данному пользователю. Далее для простоты эту операцию будем называть "удаление идентификатора"Включение режима хранения пароля в идентификатореДобавление в базу данных SecretNet 6.5 сведений о включении для пользователя режима хранения пароля в идентификаторе. Одновременно с этой операцией выполняется запись пароля в идентификатор. После включения режима пароль пользователя при входе в систему не вводится с клавиатуры, а считывается из идентификатораОтключение режима хранения пароля в идентификатореОперация, противоположная предыдущей. Одновременно с отключением режима хранения выполняется удаление пароля из памяти персонального идентификатора. Идентификатор остается закрепленным за пользователем.Запись и удаление криптографических ключейИспользуется для хранения в идентификаторе (или на сменном носителе) криптографических ключей пользователяПроверка принадлежностиС помощью этой операции администратор безопасности может проверить, кому из пользователей присвоен данный персональный идентификатор.При настройке абонентского пункта аппаратно-программный комплекс шифрования «Континент», необходимо учитывать о том, что внесены изменения в список протоколов и портов, используемых для связи между компонентами комплекса. Если на пути зашифрованного трафика находятся межсетевые экраны или другое оборудование, осуществляющее фильтрацию IP-пакетов, необходимо создать для них правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих направлениях. Кроме того, необходимо разрешить прохождение служебных пакетов комплекса "Континент" по протоколам и портам, указанным в таблице 2.2.Таблица 2.2Изменения в список протоколов и портов, используемых для связи между компонентами комплексаПротокол/портНазначениеИсточник/получательПримечанияIP-250Передача зашифрованного трафикаКШ / КШ, КШ / ЦУСIP-250Передача зашифрованного трафикаКШ / Абонентский пункт;Абонентский пункт / КШАПКШ Континент 3.01.18 и более ранние версииTCP/4439Установка соединения между Абонентским пунктом и Сервером доступаАбонентский пункт / Сервер доступаАПКШ Континент 2.00.77 и более поздние версииTCP/4440Установка соединения между Абонентским пунктом и Сервером доступаАбонентский пункт / Сервер доступаАПКШ Континент 2.00.67 и более ранние версииTCP/4431Управление Сервером доступаПрограмма управления Сервером доступа / Сервер доступаАПКШ Континент 3.02.21 и более поздние версииTCP/4441Управление Сервером доступаПрограмма управления Сервером доступа / Сервер доступаАПКШ Континент версий 3.1.18 и более раннихTCP/4443Установка соединения между Абонентским пунктом и Сервером доступаАбонентский пункт / Сервер доступаАПКШ Континент 2.00.67 и более ранние версииTCP/4444Передача сообщений от Программы управления ЦУС к ЦУС и обмен сообщениями между ЦУС и Агентом ЦУСПрограмма управления ЦУС / ЦУС;Агент ЦУС / ЦУС;ЦУС / Агент ЦУСTCP/4445Передача обновлений ПОот Программы управления ЦУС к ЦУС и обмен сообщениями между Программой управления ЦУС и Агентом ЦУСПрограмма управления ЦУС / ЦУС;Программа управления ЦУС / Агент ЦУС;Агент ЦУС / Программа управления ЦУСАПКШ Континент 3.01.18 и более поздние версииTCP/5100Передача сообщений от ЦУС к КШ и обмен сообщениями между КШ в кластереЦУС / КШ;Основной КШ / Резервный КШ;Резервный КШ / Основной КШАПКШ Континент 3.0X.XX и более поздние версииTCP/5101Передача сообщений от КШ к ЦУСКШ / ЦУСАПКШ Континент 3.0X.XX и более поздние версииTCP/5102Передача файлов от ЦУС к КШЦУС / КШАПКШ Континент 3.0X.XX и более поздние версииTCP/5555Передача сообщений от ЦУС к КШ и обмен сообщениями между КШ в кластереЦУС / КШ;Основной КШ / Резервный КШ;Резервный КШ / Основной КШАПКШ Континент 2.00.ХХTCP/5556Передача сообщений от КШ к ЦУСКШ / ЦУСАПКШ Континент 2.00.ХХTCP/5560Передача файлов от ЦУС к КШЦУС / КШАПКШ Континент 2.00.ХХUDP/4440Обмен сообщениями между сервером доступа и абонентским пунктомСервер доступа / Абонентский пункт;Абонентский пункт / Сервер доступаАПКШ Континент 3.01.18 и более ранние версииUDP/5101Передача сообщений от КШ к ЦУСКШ (исходящий порт 5100) / ЦУСАПКШ Континент 3.0X.XX и более поздние версииUDP/5557Передача сообщений об активности между КШ в кластереОсновной КШ / Резервный КШ;Резервный КШ / Основной КШАПКШ Континент 3.0X.XX и более поздние версииUDP/4433Обмен сообщениями между сервером доступа и абонентским пунктомСервер доступа / Абонентский пунктАПКШ Континент 3.02.21 и более поздние версииUDP/7500Обмен сообщениями между сервером доступа и абонентским пунктомАбонентский пункт / Сервер доступаАПКШ Континент 3.02.21 и более поздние версииIII ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА3.1 Выбор и обоснование методики расчёта экономической эффективностиДля выработки подхода к оценке экономической эффективности предполагаем, что при нарушении защищенности информации происходит некоторый экономический ущерб, а с другой стороны выполнение мероприятий по обеспечению защиты информации требует финансовых расходов. Стоимость защиты отражается суммой расходов на защиту и потерями нарушения безопасности.Естественное желание снизить расходы, связанные с защитой информации. Считаем, что экономическая эффективность системы защиты информации может быть оценена объемом ущерба, который мог быть нанесен организации в случае отсутствия системы защиты информации.Для применения описанного подхода необходимо- оценить ожидаемые потери при нарушении защиты информации;- оценить связь между средствами потраченными на защиту информации и уровняем защищенности.Определим уровень затратRi„ который обеспечивает необходимый уровень защищенности. Для этого необходимо иметь полный список угроз информации, оценку опасности каждой из угроз, размеры затрат, необходимых для устранения угрозы.Для определения уровня затрат используем соотношение Ri = 10(Si + Vi – 4), где:Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении. Используем таблицу 3.1 для определения коэффициентов SiиVi.Таблица 3.1Значения коэффициентов SiиViОжидаемая (возможная)частота появления угрозыПредполагаемое значениеSiПочти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год)51-2 раза в неделю (примерно 100 раз в год)63 раза в день (1000 раз в год)7Значение возможного ущербапри проявлении угрозы, руб.Предполагаемое значение Vi30030013 000230 0003300 00043 000 000530 000 0006300 000 0007Суммарная стоимость потерь определяется формулойR= где N – количество угроз информационным активам, определенных в п.1.2.3.результаты оценки уровня затрат представим в виде таблицы 3.2Таблица 3.2Величины потерь (рисков) для критичных информационных ресурсовдо внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (тыс.руб.)Данные о клиентеНамеренное повреждение10000Данные о клиентеВредоносное ПО1000Данные о клиентеперехват1000Данные о клиентеошибка операторов10000Данные о клиентеУхудшение состояний носителей данных1000Персональные данные о сотрудникахНамеренное повреждение1000Персональные данные о сотрудникахВредоносное ПО100Персональные данные о сотрудникахперехват1000Персональные данные о сотрудникахошибка операторов100Персональные данные о сотрудникахУхудшение состояний носителей данных10000Сведения о поставщиках товаровНамеренное повреждение1000Сведения о поставщиках товаровВредоносное ПО1000Сведения о поставщиках товаровперехват10000Сведения о поставщиках товаровошибка операторов1000Сведения о поставщиках товаровУхудшение состояний носителей данных100Отчеты о продажах компанииВредоносное ПО1000Отчеты о продажах компанииперехват100Отчеты о продажах компанииошибка операторов1000Отчеты о продажах компанииУхудшение состояний носителей данных1000Сервер компанииНамеренное повреждение100Сервер компанииНеисправности в системе кондиционирования воздуха100Сервер компанииЭкстремальные величины температуры и влажности1000Сервер компанииКража100Сервер компанииОшибка при обслуживании100Сервер компанииИспользование ПО несанкционированными пользователями1000Сервер компанииНезаконное использование ПО1000Сервер компанииповреждение линий1000Сервер компанииперегруженный траффик1000Сервер компанииперехват1000Сервер компанииНеисправности в системе электроснабжения1000Сервер компанииошибка операторов1000Сервер компаниинедостаточная численность персонала1000Сервер компанииУхудшение состояний носителей данных1000Суммарная величина потерь905 0003.2 Расчёт показателей экономической эффективности проектаРесурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.Данные о содержании и объеме разового ресурса, выделяемого на защиту информации приведены в таблице 3.3Таблица 3.3Содержание и объем разового ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.час)Стоимость, всего (тыс.руб.)1.Разработка технического задания10020202Разработка политики информационной безопасности1005050Разработка приказов на введение политики информационной безопасности10020,24.Разработка должностных инструкций 10050505Разработка технического регламента1005050Стоимость проведения организационных мероприятий, всего170,2Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (тыс.руб)Кол-во (ед.измерения)Стоимость, всего (тыс.руб.)1Аппаратно-программный комплекс шифрования «Континент901902Система защиты информации SecretNet6,421134,43.SecurityStudioEndpointProtection2,72156,74.Сервер доступа TrustAccess3135.Составление пакета документов121216.Программное решение HoneypotManager.16116Стоимость проведения мероприятий инженерно-технической защиты321.1Объем разового ресурса, выделяемого на защиту информации491.3Данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации представлены в таблице 3.4.Таблица 3.4Содержание и объем постоянного ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.час)Стоимость, всего (тыс.руб.)1Администрирование системы20016503302Аудит системы безопасности20040080Стоимость проведения организационных мероприятий, всего410Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (тыс.руб)Кол-во (ед.измерения)Стоимость, всего (тыс.руб.)Регламентные работы и техобслуживание10110Стоимость проведения мероприятий инженерно-технической защиты10Объем постоянного ресурса, выделяемого на защиту информации420Суммарное значение ресурса выделяемого на защиту информации составляет 420+491.3=911,3Для выполнения дальнейших расчетов спрогнозируем данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации. Результаты представлены в таблице 3.5.Таблица 3.5Величины потерь (рисков) для критичных информационных ресурсовпосле внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (тыс.руб.)Данные о клиентеНамеренное повреждение0Данные о клиентеВредоносное ПО0Данные о клиентеперехват0Данные о клиентеошибка операторов10000Данные о клиентеУхудшение состояний носителей данных1000Персональные данные о сотрудникахНамеренное повреждение0Персональные данные о сотрудникахВредоносное ПО0Персональные данные о сотрудникахперехват0Персональные данные о сотрудникахошибка операторов10Персональные данные о сотрудникахУхудшение состояний носителей данных10000Сведения о поставщиках товаровНамеренное повреждение0Сведения о поставщиках товаровВредоносное ПО0Сведения о поставщиках товаровперехват0Сведения о поставщиках товаровошибка операторов1000Сведения о поставщиках товаровУхудшение состояний носителей данных100Отчеты о продажах компанииВредоносное ПО0Отчеты о продажах компанииперехват0Отчеты о продажах компанииошибка операторов1000Отчеты о продажах компанииУхудшение состояний носителей данных10Сервер компанииНамеренное повреждение0Сервер компанииНеисправности в системе кондиционирования воздуха100Сервер компанииЭкстремальные величины температуры и влажности100Сервер компанииКража100Сервер компанииОшибка при обслуживании100Сервер компанииИспользование ПО несанкционированными пользователями1000Сервер компанииНезаконное использование ПО0Сервер компанииповреждение линий1000Сервер компанииперегруженный траффик1000Сервер компанииперехват0Сервер компанииНеисправности в системе электроснабжения1000Сервер компанииошибка операторов1000Сервер компаниинедостаточная численность персонала1000Сервер компанииУхудшение состояний носителей данных1000Суммарная величина потерь286,2Оценим динамику величин потерь за период 3 года. Результаты представлены в таблице 3.5а) суммарное значение ресурса, (R∑)выделенного на защиту информации, составило 911,3 тысяч рублей;б) объем среднегодовых потерь компании (Rср)из-за инцидентов информационной безопасности составлял 905 тыс. рублей;в) прогнозируемый ежегодный объем потерь (Rпрогн)составит 326 тыс. рублейг) динамика потерь представлена в таблице 3.5Рассчитаем срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:Ток = R∑ / (Rср – Rпрогн)= 911,3/(905-286)=1,47 годаи графическим, как это представлено на рис. 3.1..Таблица 3.5Оценка динамики величин потерь 1кв2 кв3 кв1 год1 кв2 кв3 кв2 годДо внедрения СЗИ226.25452.5678.759051131.31357.51583.81810После внедрения СЗИ71.5143214.5286357.5429500.5572Снижение потерь154.75309.5464.25619773.75928.51083.31238Рис.3.1 Динамика потерьТаким образом, расчет экономической эффективности системы защиты информации показал целесообразность такой разработки это доказывается снижением уровня затрат на уровне 619тыс,руб. Срок окупаемости системы составляет 1.47 года – 18 месяцев.ЗАКЛЮЧЕНИЕВ ходе выполнения дипломной работы были достигнуты все поставленные задачи: Анализ информационной системы и циркулирующей в ней информации.Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о клиентах, поставщиках товаров, отчетах о продажах и персональных данных сотрудников предприятия. Такие данные являются персональными, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты персональных данных.Анализ требований российского законодательства в области защиты персональных данных в коммерческих учреждениях.Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение информационной системы, рассматриваемой в дипломномпроекте, в соответствие со всеми требованиями являетсяосновной задачей для компании. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов компании ООО «Виконт». Соответствие требованиям особо актуально ввиду обработки данных касающегосяперсональных данных клиентов, поставщиков, и сотрудников.Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Для устранения списка угроз необходимо создать комплексную систему защиты, а именно предложить решения по обеспечению безопасности конфиденциальной информации при ее обращении в информационной системе ООО «Виконт».Разработка рекомендаций по изменению структуры информационной системы.На первом этапе было были выделены бизнес-процессы, организации, на основании которых сформированы информационные активы предприятия. Затем составлено все множество уязвимостей и угроз для информационных активов. После этого было проведено сужения круга информационных активов нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе, которой с использование руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети. Разработка системы защиты персональных данных.Во первом разделе была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требования государственных регуляторов.Разработка рекомендаций по внедрению системы защиты персональных данных.В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты информационной системы персональных данных. Для чего были выбрана необходимые мероприятия. Так же были даны рекомендации по применению комплексной системы защиты информации ООО «Виконт». Для рассматриваемой системы были выбраны следующие технические средства: система защиты информации SecretNet 6.5; аппаратно-программный комплекс шифрования «Континент»;сервер контроля доступа TrustAccessПрограммное решение HoneypotManager. антивирус Касперского7.0 для WindowsServer.Расчет экономической эффективности предлагаемых решений по защите информации ООО «Виконт» включал в себя как Выбор и обоснование методики расчёта экономической эффективности, так и непосредственную оценку эффективности. Расчет экономической эффективности системы защиты информации показал целесообразность такой разработки это доказывается снижением уровня затрат на уровне 619тыс,руб. Срок окупаемости системы составляет 1.47 года – 18 месяцев.ГЛОССАРИЙАПКШ – аппаратно-программный комплекс шифрованияАРМ – автоматизированное рабочее местоБД – база данныхГОСТ – государственный стандартЗИ – защита информацииИС – информационная системаИСПДн- информационная система персональных данныхКИ – конфиденциальная информацияКСЗИ – комплексная система защиты информацииЛВС – локальная вычислительная сетьМЭ – межсетевой экранНСД – несанкционированный доступНДВ – недекларированные возможностиОС – операционная системаПДн–персональные данныеПО – программное обеспечениеПК – персональный компьютерПЭВМ – персональная электронно-вычислительная машинаПЭМИН – побочное электромагнитное излучение и наводкиСЗ – средство защитыСЗИ – средство защиты информацииСНиП - строительные нормы и правилаСУБД – система управления базой данныхФЗ – федеральный законФСБ – федеральная служба безопасностиФСТЭК – федеральная служба по техническому и экспортному контролюId - идентификаторMSRDP - MicrosoftRemoteDesktopProtocol - протокол удалённого рабочего столаMSSQL - система управления реляционными базами данных, разработанная корпорацией Microsoft.PIN – PersonalIdentificationNumber — личный опознавательный номерSSL - SecureSocketsLayer — уровень защищённыхсокетовTCP/IP - ransmissionControlProtocol/InternetProtocol, Протокол управления передачейTLS - TransportLayerSecurity — криптографический протокол, обеспечивающий защищённую передачу данных между узлами в сети ИнтернетVPN - VirtualPrivateNetwork — виртуальная частная сетьFTP («FileTransferProtocol») — протокол, предназначенный для передачи файлов в компьютерных сетяхHTTP («HyperTextTransferProtocol») — протокол прикладного уровня передачи данных, изначально — в виде гипертекстовых документовHTTPS («HypertextTransferProtocolSecure») – расширение протокола HTTP, поддерживающее шифрованиеСПИСОК ЛИТЕРАТУРЫ«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.)ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2011. –992 с.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах.Константинова Л.А., Писеев В.М.МИЭТМетоды и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности.Каракеян В.И., Писеев В.М. МИЭТОфициальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru) Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)Положение «О методах и способах защиты информации в информационных системах персональных данных» от 5 февраля 2010г №58Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России Мининформсвязи России от 13 февраля 2008 г. № 55/86/20/Постановление правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»Постановление Правительства РФ № 687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;Сайт «Персональные данные по-русски. [Электронный документ]: (http://www.tsarev.biz)Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;Федеральный закон №85-ФЗ от 04.07.1996 г. «Об участии в информационном обмене. Ст. 2» Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;


1. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.)
2. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
3. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
4. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
5. ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
6. Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2011. –992 с.
7. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)
8. Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах. Константинова Л.А., Писеев В.М.МИЭТ
9. Методы и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В.И., Писеев В.М. МИЭТ
10. Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)
11. Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru)
12. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
13. Положение «О методах и способах защиты информации в информационных системах персональных данных» от 5 февраля 2010 г №58
14. Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России Мининформсвязи России от 13 февраля 2008 г. № 55/86/20/
15. Постановление правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
16. Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»
17. Постановление Правительства РФ № 687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
18. Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
19. Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
20. Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
21. Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
22. Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;
23. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
24. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
25. Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
26. Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
27. Сайт «Персональные данные по-русски. [Электронный документ]: (http://www.tsarev.biz)
28. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
29. Федеральный закон №85-ФЗ от 04.07.1996 г. «Об участии в информационном обмене. Ст. 2»
30. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
31. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
32. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
33. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

Разработка политики информационной безопасности ООО 'ТД Искра'

Министерство сельского хозяйства РОССИЙСКОЙ федерации

Федерального государственного образовательного учреждения высшего

«Пермская государственная сельскохозяйственная академия имени академика Д. Н. Прянишникова»

Кафедра: Информационных технологий и автоматизированного проектирования






КУРСЫ ПРОЕКТА

по дисциплине «безопасность»

на тему: «Разработка политики информационной безопасности ООО «TD Искры»,








чтобы Пермь 2014

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ПУТИ И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВОМ

1.1 Пути несанкционированного доступа, классификация угроз и объектов защиты

.2 Анализ методов защиты информации в системах управления производством

.3 Защита информации в ПК. Каналы утечки

.4 Организационные и организационно-технические меры защиты информации в системах управления производством

2. Разработка политики информационной безопасности ООО «ТД Искра», , Пермь

2.1 Основные сведения об организации ООО «TD Искры»

.2 Описание ИТ-Инфраструктуры ООО «TD Искры»

.3 Разработка политики безопасности ООО «TD Искры»

Вывод

СПИСОК литературы

Введение

Объектом разработки является изучение и совершенствования информационной безопасности ООО «TD Искры»

Предметом разработки является создание средств и методов защиты от несанкционированного доступа к секретной информации. Организация информационной безопасности для учреждений, которые занимаются обработкой информации, связанных с системой управления производством.

Цель работы: анализ существующей информационной системы безопасности и разработки политики безопасности для наиболее уязвимых сегментов сети для системы управления производством. Обеспечить защиту информации в локальной сети и защита баз данных, находящихся на сервере. Задачи: проанализировать существующие каналы утечки информации и способы их закрытия, разработка комплексной системы защиты организации, в которой есть бухгалтерия, планово-экономический отдел и отдел кадров.

Узнать стоимость работы