На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


курсовая работа Обобщение и оценка результатов разработки нормативных правовых документов по обеспечению информационной

Информация:

Тип работы: курсовая работа. Добавлен: 25.04.2012. Сдан: 2011. Страниц: 11. Уникальность по antiplagiat.ru: < 30%

Описание (план):


Оглавление 

 

Введение

 
       На  современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.
       В настоящее  время хорошо налаженная распределенная сеть информационно-вычислительных комплексов способна сыграть такую же роль в общественной жизни, какую в свое время сыграли электрификация, телефонизация, радио и телевидение вместе взятые. Ярким примером этому стало развитие глобальной сети Internet. Уже принято говорить о новом витке в развитии общественной формации - информационном обществе.
       Любая предпринимательская деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.
       Учитывая  известный  афоризм  «цель  оправдывает  средства», информация представляет определенную цену. И поэтому сам факт получения информации злоумышленником приносит ему определенный доход, ослабляя тем самым возможности конкурента. Отсюда главная цель злоумышленника - получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к дезинформации по определенным сферам деятельности, учетным данным, результатам решения некоторых задач. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. В связи с этим все большее значение приобретает организация эффективной системы информационной безопасности.
       Информационной  безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.
       Целью данной курсовой работы является изучение необходимости разработки нормативных правовых документов кафедры социально-гуманитарных дисциплин и регионоведения академии ИМСИТ по обеспечению информационной безопасности и организации комплексной защиты общедоступной информации и информации ограниченного доступа на предпроектной стадии, а также на стадии проектирования и реализации, их разработка, а также обобщение и оценка полученных результатов.
 

1 Обоснование необходимости разработки нормативных правовых документов по обеспечению информационной безопасности и организации комплексной защиты общедоступной информации и информации ограниченного доступа

        

    1.1 Понятие информации ограниченного доступа

 
       С момента появления персональных данных как категории в российском законодательстве в 1995 г. в Федеральном законе «Об информации, информатизации и защите информации» персональные данные сразу же были отнесены к разряду конфиденциальной информации, т.е. информации ограниченного доступа. Принятый впоследствии Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера» также содержит их упоминание в качестве конфиденциальной информации. Действующий ныне Федеральный закон «Об информации, информационных технологиях и о защите информации» аналогичным образом говорит о персональных данных в статье об ограничении доступа к информации, однако прямо не называет их в качестве конфиденциальной информации или информации ограниченного доступа, указывая лишь на особый порядок доступа к ним, предусмотренный специальным законом. Федеральный закон «О персональных данных», что интересно, также не характеризует персональные данные в целом как конфиденциальную информацию, даже более того, наряду с просто определением «персональных данных» содержит определение «общедоступных персональных данных» – термин, который невозможно логически соотнести с информацией ограниченного доступа.
       Возвращаясь, собственно, к режиму конфиденциальности персональных данных, следует сказать, что его суть, по аналогии с другими видами информации ограниченного доступа, должна заключаться в установлении особого порядка доступа к ним, их использования и распространения [14, с.12]. Но в законодательстве закреплено лишь крайне общее требование – предпринять организационные и технические меры по охране от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Технические меры, которые обязан предпринять оператор, можно считать достаточно определенными, поскольку действуют аналогичные нормативные положения, связанные с защитой иных видов конфиденциальной информации. Такая деятельность по защите конфиденциальной информации осуществляется путем лицензирования и сертификации средств защиты информации Федеральной службой по техническому и экспортному контролю, на основании соответствующих положений. Но вот что касается организационных мер, то здесь совершенно отсутствуют какие-либо четкие указания на этот счет. По аналогии с другими категориями информации ограниченного доступа, такими, как государственная тайна, коммерческая тайна, служебная тайна, к таким действиям логически следовало бы отнести [14, с.17]:
    Установление перечня персональных данных.
    Установление круга субъектов, имеющих доступ к персональным данным.
    Использование специального грифа и реквизитов, позволяющих в дальнейшем идентифицировать информацию как конфиденциальную, – «Конфиденциально».
    Учет (регистрация) лиц, фактически получивших доступ к персональным данным.
    Урегулирование отношений по охране конфиденциальности информации работниками и другими лицами на основании трудовых и гражданско-правовых договоров.
       Отметим еще один существенный аспект, связанный  с охраной конфиденциальности персональных данных. Основным «конфидентом» в отношении персональных данных, на основании Закона следует считать «оператора», а в некоторых случаях третьих лиц, которые получили к ним доступ. При этом сам субъект персональных данных, являясь одним из участников отношений по охране их конфиденциальности, такой обязанности по закону не несет. Более того, он обладает рядом «эксклюзивных прав» – правом доступа к своим персональным данным, включая право требовать их уточнения, а также, что самое главное, вправе в любой момент снять режим конфиденциальности – согласиться на их общедоступность, сообщить их или передать их третьим лицам, другим операторам, и в целом распорядиться ими по своему усмотрению. Однако оператор, как конфидент, предположительно, обязан сохранять иногда конфиденциальность персональных данных, ставших фактически общеизвестными. К примеру, если они стали таковыми без согласия субъекта в результате противоправных действий, предположим, путем публикации в СМИ. В таких случаях требовать дальнейшего сохранения конфиденциальности информации в большинстве случаев было бы просто нелогично, поскольку эта информации стала общедоступной.
       Таким образом, часть указанных проблем  в определении содержания правового  режима конфиденциальности персональных данных можно объяснить особенностями природы персональных данных, которая тесным образом связана с правом на уважение частной жизни индивида, личную и семейную тайну. Другая часть проблем объясняется тем, что персональные данные в случае наличия требования их конфиденциальности, которая обоснованно презюмируется, в том числе на основании последовательного анализа положений законодательства, можно отнести к числу «производных» тайн или категорий информации ограниченного доступа [3, с.57]. Это, в свою очередь, требует от их обладателя принятия безусловных мер по охране их конфиденциальности, поскольку охраняются в данном случае не его права и интересы, а права и интересы других лиц, в частности фундаментальные права и свободы человека. Поэтому, по мнению авторов, в отсутствие прямого интереса обладателя в защите конфиденциальности персональных данных существует необходимость четкого формулирования его обязанности в этом случае.

      1.2 Основные положения политики обеспечения безопасности информации, принципы ее защиты

       
       Реализация  технической политики по обеспечению  информационной безопасности в организации должна исходить из того, что нельзя обеспечить требуемый уровень безопасности только одним мероприятием или средством, а необходим комплексный подход с системным согласованием различных элементов, а каждый разработанный элемент должен рассматриваться как часть единой системы при оптимальном соотношении как технических средств, так и организационных мероприятий.
       Должны  быть перечислены основные направления  технической политики и то, как она будет осуществляться.
       Также необходимо формирование режима безопасности информации, т.е. согласно выявленным угрозам  режим защиты формируется как  совокупность способов и мер защиты информации. Комплекс мер по формированию режима безопасности информации должен включать в себя: организационно-правовой режим (нормативные документы), организационно-технические мероприятия (аттестация рабочих мест), программно-технические мероприятия, комплекс мероприятий по контролю за функционированием АС и систем ее защиты, комплекс оперативных мероприятий по предотвращению несанкционированного доступа, а также комплекс действий по выявлению таких попыток [5, с.44].
       Построение  системы  безопасности информации АС и ее функционирование должны осуществляться в соответствии со следующими принципами [8, с.25]:
-законность: предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС организации в соответствии с действующим законодательством;
-системность: системный подход к построению системы защиты информации предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для понимания и решения проблемы обеспечения безопасности информации;
-комплексность: комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов;
-непрерывность защиты: непрерывный, целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС;
-своевременность: предполагает упреждающий характер мер для обеспечения безопасности информации;
-преемственность и совершенствование: предполагают постоянное совершенствование мер и средств защиты информации;
-разумная достаточность (экономическая целесообразность): предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба;
-персональная ответственность: предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий;
-принцип минимизации полномочий: означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью;
-взаимодействие и сотрудничество: предполагает создание благоприятной атмосферы в коллективах подразделений;
-гибкость системы защиты: для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью;
-открытость алгоритмов и механизмов защиты: суть данного принципа состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам), однако это не означает, что информация о конкретной системе защиты должна быть общедоступна;
-простота применения средств защиты: механизм защиты должен быть интуитивно понятен и прост в использовании, без значительных дополнительных трудозатрат;
-научная обоснованность и техническая реализуемость: информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации;
-специализация и профессионализм: предполагает привлечение к разработке средств и реализаций мер защиты информации специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области, реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами;
-обязательность контроля: предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил безопасности. 

       Отметим, что в основе организационных мер защиты информации лежит политика безопасности, от эффективности которой в наибольшей степени зависит успешность мероприятий по обеспечению информационной безопасности.
       Под политикой  информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации [4, с.30]. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации.
       Также к организационным  средствам  защиты можно  отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ИС и системы защиты на всех этапах их жизненного цикла. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой – обеспечивают объединение всех используемых в ИС средств в целостный механизм защиты.
       Организационные меры защиты базируются на законодательных  и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать [1, с.79]:
-ограничение физического доступа к объектам ИС и реализацию режимных мер;
-ограничение возможности перехвата информации вследствие существования физических полей;
-ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение «закладок»;
-создание твердых копий важных с точки зрения утраты массивов данных;
-проведение профилактических и других мер от внедрения вирусов. 
      К организационно-правовым мероприятиям защиты, необходимыми в бухгалтерии относятся:
-организация и поддержание надежного пропускного режима и контроль посетителей;
-надежная охрана помещений компании и территории;
-организация защиты информации, т. е. назначение ответственного за защиту информации, проведение систематического контроля за работой персонала, порядок учета, хранения и уничтожения документов;      
       Организационные мероприятия при работе с сотрудниками компании включают в себя:
-беседы при приеме на работу;
-ознакомление с правилами и процедурами работы с ИС на предприятии;
-обучение правилам работы с ИС для сохранения ее целостности и корректности данных;
-беседы с увольняемыми. 

       В результате беседы при  приеме на работу устанавливается целесообразность приема кандидата  на соответствующую вакансию.
       Обучение  сотрудников  предполагает не только приобретение и систематическое поддержание на высоком уровне производственных навыков, но и психологическое их воспитание в глубокой убежденности, что необходимо выполнять требования промышленной (производственной) секретности, информационной безопасности. Систематическое обучение способствует повышению уровня компетентности руководства и сотрудников в вопросах защиты коммерческих интересов своего предприятия. Беседы с увольняющимися имеют главной целью предотвратить разглашение информации или ее неправильное использование. В ходе беседы следует особо подчеркнуть, что каждый увольняющийся сотрудник имеет твердые обязательства о неразглашении фирменных секретов и эти обязательства, как правило, подкрепляются подпиской о неразглашении известных сотруднику конфиденциальных сведений.
       Организационно-технические  меры защиты включают следующие основные мероприятия [30, с.119]:
-резервирование (наличие всех основных компонентов операционной системы и программного обеспечения в архивах, копирование таблиц распределения файлов дисков, ежедневное ведение архивов изменяемых файлов);
-профилактика (систематическая выгрузка содержимого активной части винчестера на дискеты, раздельное хранение компонентов программного обеспечения и программ пользователей, хранение неиспользуемых программ в архивах);
-ревизия (обследование вновь получаемых программ на дискетах и дисках на наличие вирусов, систематическая проверка длин файлов, хранящихся на винчестере, использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения, проверка содержимого загрузочных секторов винчестера и используемых дискет системных файлов);
фильтрация (разделение винчестера на логические диски с различными возможностями  доступа к ним, использование резидентных программных средств слежения за файловой системой). 
 

 

2 Разработка нормативных  правовых документов кафедры  социально-гуманитарных дисциплин и регионоведения академии ИМСИТ по обеспечению информационной безопасности и организации комплексной защиты общедоступной информации и информации ограниченного доступа

    2.1 Основные положения разработки  системы защиты информации кафедры социально-гуманитарных дисциплин и регионоведения академии ИМСИТ

 
       Разработка  системы защиты информации производится сотрудниками кафедры или специализированными организациями, имеющими лицензии ФСТЭК (Гостехкомиссии) России. При этом разрабатываются методическое руководство и конкретные требования по защите информации, аналитическое обоснование необходимости создания СЗИ, согласовывается выбор ОТСС и ВТСС, технических и программных средств ЗИ, организуются работы по выявлению возможных каналов утечки информации и нарушения целостности защищаемой информации, аттестация объекта информатизации.
       Так же разрабатывается «Положение о порядке организации и проведения работ по защите конфиденциальной информации», в котором описывается порядок организации работ по созданию и эксплуатации объектов информатизации и их СЗИ (или в приложении к так же разрабатываемому «Руководству по защите информации от утечки по техническим каналам на объекте»). Этот документ должен предусматривать порядок определения защищаемой информации; порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации; порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов; порядок разработки, ввода в действие и эксплуатации объектов информатизации; ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗИ.
       Стадии  создания системы защиты информации [21, с.45]:
-предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание
-стадия проектирования (разработки проектов), включающая разработку СЗИ в составе объекта информатизации
-стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

    2.2 Предпроектная стадия

 
       По  результатам предпроектного обследования разрабатывается аналитическое  обоснование необходимости создания СЗИ и задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ. Работы, выполняемые на предпроектной стадии:
    -устанавливается необходимость обработки (обсуждения) КИ информации на данном объекте информатизации;
    -определяется перечень сведений конфиденциального характера, подлежащих защите;
    -определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;
    -определяются условия расположения объекта информатизации относительно границ КЗ;
    -определяются конфигурация и топология ОТСС в целом и их отдельных компонентов, физические, функциональные и технологические связи ОТСС с другими системами различного уровня и назначения;
    -определяются конкретные технические средства и системы, предполагаемые к использованию в разрабатываемой АС, условия их расположения, их программные средства;
    -определяются режимы обработки информации в АС в целом и в отдельных компонентах;
    -определяется класс защищенности АС;
    -определяется степень участия персонала в информации, характер их взаимодействия между собой и со службой безопасности;
    -определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации. 

       Аналитическое обоснование подписывается заведующим кафедрой, проводившей предпроектное обследование, согласовывается с должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации, руководителем службы безопасности и утверждается ректором академии. Аналитическое обоснование необходимости создания СЗИ включает в себя следующее:
-информационная характеристика и организационная структура объекта информатизации;
-характеристика комплекса ОТСС и ВТСС, ПО, режимов работы, технологического процесса обработки информации;
-возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
-перечень предлагаемых к использованию сертифицированных средств защиты информации;
-обоснование необходимости привлечения специализированных организаций;
-оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
-ориентировочные сроки разработки и внедрения СЗИ;
-перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
       Техническое задание (ТЗ) на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика и утверждается заказчиком. Содержание технического задания должно содержать следующее:
-обоснование разработки;
-исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
-класс защищенности АС;
-ссылка на нормативные документы, на основании которых будет разрабатываться СЗИ;
-требования к СЗИ на основе нормативно-методических документов и установленного класса защищенности АС;
-перечень предполагаемых к использованию сертифицированных средств защиты информации;
-обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
-состав, содержание и сроки проведения работ по этапам разработки и внедрения;
-перечень подрядных организаций-исполнителей видов работ;
-перечень предъявляемой заказчику научно-технической продукции и документации.

    2.3 Стадия проектирования  

       Мероприятия по защите информации от утечки по техническим  каналам относятся к основным элементам проектных решений, которые  включаются в соответствующие разделы проекта, и разрабатываются одновременно с ними. Содержание технического (техно-рабочего) проекта и эксплуатационной документации приведены ниже [7, с.62]:
-пояснительная записка с изложением решений по обеспечению ЗИ, составу средств защиты информации с указанием их соответствия требованиям ТЗ;
-описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
-план организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;
-технический паспорт объекта информатизации (АС, ЗП);
-инструкция и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.