На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


курсовая работа Адекватная политика безопасности

Информация:

Тип работы: курсовая работа. Добавлен: 09.09.2012. Сдан: 2012. Страниц: 16. Уникальность по antiplagiat.ru: < 30%

Описание (план):


 

Министерство  образования и науки Российской Федерации
Уральский государственный колледж им. И.И. Ползунова 

     КП. 090108.10. ПЗ 

     РАЗРАБОТКА  АДЕКВАТНОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ ДЛЯ 
     АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ IT ОТДЕЛА ЭЛАР
     Пояснительная записка
     Руководитель                                                                                   Разработал
     ___________/Ю.Б.  Черенев/                                                           __________/Е.Д. Пашкина/
     «__»______________2011                                                              «__»_____________2011 

      Екатеринбург 2011
 



Содержание
     Введение……………………………………………………………………………..4
     1 Обзор источников информации по теме курсового проекта……………….......6
     2 Описание предприятия…………………………………………… …………….  7
     3 Описание угроз информационной безопасности предприятия…………….…14
     4 Классификация автоматизированных систем предприятия…………………..18
     5 Модель нарушителя……………………………………………………………...22
     6 Матрица доступа…………………………………………………………………28
     7 Уровень режима обработки данных……………………………………………30
     8 Средства защиты информации………………………………………………….32
Заключение………………………………………………………………...……….34            Приложение А. Тестирования предприятия с помощью программы «Кондор +»          ……………………………………………………………………………............…35
Приложение Б. Тестирование предприятия с помощью программы Сканер XP……………………………………………………………………..…………….38
     Список использованных источников…………………………………………..…40 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


Введение
  Проблема  возрастания объемов документов сегодня актуальна для всех. Все чаще из-за сложности доступа к архивам увеличивается время поисков документа и, как следствие, вынужденных простоев. Наиболее эффективным решением данной проблемы является, сканирование документов, организация и создание электронного архива. Из этого следует, что электронный архив стал необходимым условием эффективной работы современной организации.
  При внедрении систем электронного документооборота и ЭЦП повышается актуальность вопроса обеспечения безопасности электронных документов.
  Из  всего выше перечисленного можно  сделать вывод, что безопасность хранимых данных очень важна, поэтому главной темой курсового проекта является разработка адекватной политики безопасности.
  Цели и защиты информации являются:
    предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям;
    предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
    предотвращение других форм незаконно вмешательства в информационные ресурсы и информационные системы;
    обеспечение правового режима документированной информации как объекта собственности;
    защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
    сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством;
    обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения.
    Задачи курсового проекта:
    оценка предприятия и его ресурсов;
    классификация автоматизированный системы предприятия;
    описание угроз информационной безопасности предприятия;
    создание модели нарушителя;
  Информационная безопасность – это состояние защищенности информационной среды, которая представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию,  
 
 
 

то есть процесс, направленный на достижение этого состояния.


  Политика информационной безопасности – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
  Цель разработки политики информационной безопасности – минимизация рисков бизнеса путем защиты интересов компании в информационной сфере, планирования и поддержке непрерывности ведения бизнеса, снижения издержек и повышения эффективности инвестиций в защиту информации.
 



 1 Обзор источников информации по теме курсового проекта
    Предприятие является обладателем информации о персональных данных и поэтому вправе:
      Разрешать или ограничивать доступ к информации, определять порядок такого доступа;
      Использовать информацию, в том числе распространять ее, по своему усмотрению;
      Передавать информацию другим лицам по договору или в ином установленном законом основании;
      Защищать установленным законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами ;
      Осуществлять иные действия с информацией или ее незаконного использования иными лицами;
    Обладатель  информации при осуществлении своих  прав обязан:
      Соблюдать права и законные интересы иных лиц;
      Принимать меры по защите информации;
      Ограничивать доступ к информации, если такая обязанность установлена ФЗ.
 
 


2 Описание предприятия

 Корпорация  ЭЛАР — крупнейшее в Европе специализированное предприятие по созданию, комплексному оснащению и наполнению электронных архивов, внедрению передовой техники, информационных технологий и решений.
  Цель Корпорации:
Способствовать  информационному и технологическому прогрессу Общества и Государства.
Формула успеха:
    Использование передовых достижений мировой науки и технологии в собственных уникальных разработках, всесторонний учет отечественной специфики и многолетней практики обработки документов, реализации комплексных проектов.
    ЭЛАР обладает почти 20-летним опытом выполнения объемных и сложных проектов национального масштаба. В ходе их реализации производственные подразделения Корпорации перевели в форматы электронных баз данных и архивов около ? млрд. бумажных и микрографических документов.
Стратегические  направления деятельности:
    Создание и наполнение электронных архивов
    Комплексное оснащение центров обработки документов
    Создание корпоративных хранилищ данных
    Консалтинг и проектирование информационных ресурсов
    Поточное сканирование и индексация документов
    Сервисное обслуживание специализированной техники и комплексов
    Разработка и реализация комплексных проектов по решению задач хранения и использования больших объемов документальных данных
Научные исследования и разработки проводятся в следующих  областях:
    Аналитико-синтетическая переработка документальных источников информации. Разработка новых технологий ввода и архивации различной информации, разработка новых методик ретроспективной конверсии.
    Разработка единых комплексов создания и хранения электронных копий документов. В том числе комплектование, учет и хранение фондов источников информации.
    Описание, реставрация, консервация архивных документов.
    Автоматизация историко-культурных объектов. Техническое оснащение культурно-просветительных учреждений.
    Библиотековедение, библиографоведение и книговедение. Техническое оснащение библиотек.
 
 
 
 
 
    Решение «Электронный архив служб внутреннего  контроля и аудита» обеспечивает получение точной, документально подтвержденной информации о ходе исполнения и результатах поставленных задач и повышает управляемость территориально-распределенных организаций и холдинговых структур.
    1 Корпоративный терминал сканирования ЭларСкан — единое решение для всех
подразделений офиса, которое позволяет каждому  сотруднику оцифровать необходимые  документы и сохранить электронные копии в сетевую папку или на USB-носитель.
    2 Корпорация ЭЛАР предлагает программно-аппаратное решение «Комплекс сканирования и ввода информации формализованных документов», которое позволяет максимально быстро и эффективно обработать документацию стандартизированных форм, извлекать индексную информацию, а также наполнять базу данных и/или существующую в компании систему электронного документооборота.
    3 Корпорация ЭЛАР предлагает решение «Автоматизированная система контроля исполнения договоров», внедрение которого позволяет свести к минимуму убытки, связанные с нарушением договорных обязательств
    
    4 Результат реализации решения «Электронный архив договоров (управление контрактами)» — интегрированная система, сочетающая преимущества современных систем управления договорами с возможностями системы управления документами и электронным архивом.
    5 Комплексное программно-аппаратное решение «Распределенный электронный архив»
создает единое информационное пространство для всех территориально–обособленных под
разделений организации  и обеспечивает переход к безбумажному документообороту.
    6 Корпорация ЭЛАР предлагает программно-аппаратное решение «Распределенный ввод документов», которое предназначено для оперативной обработки бумажных документов в территориально-распределенных структурах, получения электронных образов документов на местах и своевременного наполнения ими корпоративных информационных систем.
    7 Решение корпорации ЭЛАР обеспечивает автоматизацию и повышает эффективность существующих документационных бизнес-процессов предприятия.
    8 Корпорация ЭЛАР разработала технологию, позволяющую упростить процесс выполнения сертификационных требований к информационным системам 
    9 Эффективным решением, позволяющим облегчить и ускорить подготовку копий документов к многочисленным проверкам, является система электронного архива (ЭА) первичной бухгалтерской документации.
    10 Решение позволяет автоматизировать деятельность государственных и муниципальных архивных учреждений, органов управления архивной отраслью субъекта федерации.
    11 Решение Корпорации «Удаленный электронный архив» – это готовая информационная платформа полнофункционального архива организации, расположенного на высоконадежной,  
 
 

защищенной внешней  площадке.
    12 Сегодня Вы можете полностью автоматизировать процесс обработки бумажных квитанций, анкет, запросов, деклараций, накладных, счетов, заказов и других формализованных документов, применив профессиональное решение ЭЛАР - "ЦЕНТР ОБРАБОТКИ ДОКУМЕНТОВ" (ЦОД).
    13 Комплексное решение - "ЭЛЕКТРОННАЯ СПРАВОЧНАЯ КАРТОТЕКА" включает в себя создание и наполнение электронной базы данных на основе всех существующих карточек и интеграции её в автоматизированную информационную систему.
    14 Комплексное решение "ЭЛЕКТРОННЫЙ АРХИВ" — это качественно новый уровень использования документальной информации. Его внедрение дает мощный импульс к развитию
органам государственного управления, министерствам и холдингам, архивам, банкам, промышленным предприятиям и корпорациям, крупным коммерческим фирмам, учреждениям науки, образования и культуры.
    15 Комплексное решение "ХРАНИЛИЩЕ ДАННЫХ ПРЕДПРИЯТИЯ" – это создание надежного и эффективного хранилища электронных ресурсов предприятия больших объемов (1-100 ТБ и более).
    16 Оптимальным решением задач по автоматизации кадрового делопроизводства является создание системы электронного архива кадровой документации, интегрированной с существующими в организации учетными системами.
    17 Полный комплекс операций с микрофильмом включает в себя: создание, тиражирование, хранение, конвертирование и использование.
Отраслевые  решения корпорации ЭЛАР

    Корпорация  ЭЛАР предлагает широкий спектр услуг  для финансовых организаций, государственных учреждений,  нефтегазовых комплексов, предприятий промышленности и Росатома, библиотек, музеев, архивов, для учреждений культуры.  Так же корпорация ЭЛАР предлагает решения, которые обеспечивают повышение оперативности и качества труда сотрудников ФМС и МВД и позволят организовать эффективную работу с собственными информационными ресурсами.
    Предлагает комплексное решение – «Электронный архив судопроизводства», Единый каталог ВУЗов одного профиля", организует широкий спектр профильных решений и услуг для развития архивной работы, комплексному оснащению, автоматизации и модернизации архивов.
Электронный архив кадрового  делопроизводства
    Оптимальным решением задач по автоматизации кадрового делопроизводства является создание системы электронного архива кадровой документации, интегрированной с существующими в организации учетными системами. Предлагаемое решение «Электронный архив  
 
 
 

кадрового делопроизводства», в отличие от широко распространенных учетных HRM-систем:
      Обеспечивает оперативный доступ к документально подтвержденной информации о сотрудниках, которая характеризует всю их трудовую деятельность;
      Обеспечивает соблюдение требований Законодательства по защите персональных данных;
      В архив помещаются как документы и данные, востребованные в оперативной работе, так и документация архивного хранения;
      Позволяет сократить расходы на дорогостоящую аренду площадей под архивы кадровых документов;

Общая схема решения «Электронный архив кадрового делопроизводства»
    1 Электронный архив кадрового делопроизводства строится на базе системы управления электронными архивами Саперион.
    2 Доступ к документам электронного архива осуществляется, как напрямую из системы Саперион, так и через привычные для пользователей программные приложения.
    3 Модуль текущего ввода представляет собой программно-аппаратный комплекс, позволяющий полностью автоматизировать процесс перевода бумажных кадровых документов предприятия в электронный вид.
    4  Централизованное хранилище больших объемов данных на основе специализированных оптических накопителей на DVD/BD дисках. Организованное таким образом хранение кадровой документации гарантирует сохранность и неизменность информации в течение более 50 лет согласно законодательству, при минимальных затратах на модернизацию и обслуживание хранилища.
    5 Защита кадровой документации при выводе на печать обеспечивается за счет подключения сервера печати, специализированного ПО и развертывания системы авторизации путем установки идентификационных устройств на принтерах и МФУ предприятия (технология «Follow me»).
Результат внедрения
    Повышение эффективности кадровых бизнес-процессов и работы HRM-систем. Обеспечивается документационной поддержкой, привязкой электронных образов кадровых документов к учетным данным и интеграцией с существующими на предприятии системами автоматизации.
    Оптимизация работы HR-подразделенийБлагодаря возможностям быстрого поиска и доступа к необходимой информации о сотрудниках в электронном архиве решение обеспечивает следующие преимущества в текущей работе кадровых сотрудников:
    снижение трудозатрат и времени на составление подборок документов;
    сокращение времени на отработку запросов;
 
 
 
    доступность документов из учетных систем;
    осуществление контроля правильности составления/заполнения кадровой документации;
    эффективное перераспределение обязанностей сотрудников благодаря снижению рутинной обработки бумажных документов;
    контроль со стороны службы безопасности.

    Обеспечение безопасности при распечатке документов. Использование модуля безопасной печати и обеспечивает авторизованный доступ к конфиденциальным документам и сокращает объемы бумажных документов в HR-подразделениях.
    Соблюдение требований Законодательства по защите ПДобеспечивается:
    Средствами системы ЭЛАР САПЕРИОН;
    Средствами модуля хранения;
    Средствами модуля безопасной печати.
    В комплексе меры по защите информации в электронном архиве кадрового  делопроизводства отвечают всем требованиям закона о защите ПД.
Преимущества  решения
    Отсутствие аналогов на рынкеСреди решений по оптимизации кадрового делопроизводства не представлены решения по документационному обеспечению кадрового делопроизводства, обеспечивающие доступ к электронным копиям персональных документов сотрудников и документам, характеризующих их трудовую деятельность;
    МодульностьВозможность гибко конфигурировать состав решения в соответствии с требованиями и задачами Заказчика;
    МасштабируемостьПростая и быстрая модернизация и расширение решения с развитием компании;
    Возможность передачи программного обеспечения и оборудования решения в аренду с правом последующего выкупа.
ПО  используемые в корпорации
Элар  Саперион – Ядро информационных систем предприятия
    Система САПЕРИОН - платформа для организации электронных информационных ресурсов и эффективного управления ими в масштабе организации.
    Саперион – мощная и широко используемая система класса ECM (Enterprise Content Management), которая предоставляет все возможности по организации и управлению информационными системами предприятия. Компоненты САПЕРИОН обеспечивают решение различных задач по работе с документами: создание электронного архива, управление документами и данными, организация электронного документооборота (СЭД) и управление бизнес-процессами. 
 
 
 

    Содержание электронных информационных ресурсов может быть самым различным и включать образы отсканированных бумажных документов, текстовые документы, чертежи,
схемы, карты, аудио и видеозаписи и другие виды информации.
    САПЕРИОН  объединяет данные и документы корпоративных  информационных систем (КИС), различных приложений в единую информационную инфраструктуру организации и
обеспечивает  надежную управляемость крупным  информационным ресурсом:
    Автоматизацию процесса наполнения электронных архивов реальными документами (поддержка потокового ввода, загрузка одиночных документов);
    Регистрацию документов (ручное и автоматическое индексирование);

    Надежное  и защищенное хранение документов, сохранение всех версий электронного документа;
    Оперативный доступ к документам: быстрый поиск необходимых электронных документов, многообразие форм поиска;
    Интеграцию с другими информационными системами для импорта документа и его регистрационной информации, а также обеспечение доступа к электронным документам через интерфес этих систем;
    Управление доступом пользователей к документам и регистрацию всех операций, которые производились с электронными документами;
    Предоставление статистической информации о документах, автоматизация отчетности и многое другое;
Преимущества
    Саперион отвечает всем требованиям по созданию электронных информационных ресурсов, эффективному управлению и хранению документов:
    Загрузка различных форматов и типов электронных документов с любых носителей;
    Надежное хранение документов. Для хранения базы данных используется;
    собственный формат (мета-файл), который не может быть прочитан или изменен извне;
    Невозможность удаления (документ исключается только из доступа);
    Невозможность изменения (всегда создается новая версия документа);
    Прямое управление оборудованием хранения (Jukebox, HDD. RAID и т.д.);
    Поддержка большинства моделей промышленных и офисных сканеров;
    Регламентация прав доступа;
    Мониторинг системы и т. д.
    Передовая, высокотехнологичная система управления документами САПЕРИОН, построенная по принципу «все в одном», гарантирует безопасную и непрерывную обработку документов на всех стадиях – от сканирования до хранения документов. 
 
 
 

Широкие возможности интеграции
    Благодаря широким возможностям интеграции САПЕРИОН играет роль платформы, которая объединяет разрозненные приложения в единую корпоративную информационную
систему (КИС), обеспечивая существенное снижение затрат на интеграцию уже внедренных систем. САПЕРИОН существенно «разгружает» информационные системы, предоставляя возможность оперативного получения необходимых документов без ущерба для производительности этих систем.
    САПЕРИОН  интегрируется практически с  любыми рабочими приложениями используемыми или внедряемыми на предприятии:
    Системы управления предприятием (SAP R3, 1С:Предприятие, Navision/Axapta и др.)
    Системы электронного документооборота (СЭД) (Lotus Notes, Босс-референт, Дело, Documentum, StaffWare и др.)
    Транспортные системы (OutLook, Exchange и др.)
    CAD/CAM/PDM системы (AutoCad, Microstation, Windchill и др.)
    Офисные приложения Windows (MS Office и др.)
    Системы полнотекстовой индексации, логического и нечеткого поиска (Convera RW, Exoleed, Verity и dtSearch)
    Портальные решения (MS SharePoint Portal Server)
    Специализированные системы защиты информации (КриптоПро, Authentidate и др.)

    Лицензирование
    САПЕРИОН  может устанавливаться неограниченно на любом количестве клиентских мест, число пользователей системы определяется количеством одновременно работающих пользователей в системе. В реально существующем проекте число одновременно работающих пользователей системы составляет 1300 клиентов, имеющих доступ к электронному архиву и возможность работы с документами.
Сертификация
    САПЕРИОН  имеет самые быстрые показатели работы с документами.
    Испытание, проведенное компанией SAP AG, показало, что в настоящее время система САПЕРИОН достигла более чем двойного роста производительности обработки документов по отношению к конкурирующим системам.
    Компания SAP AG сертифицировала систему Саперион в качестве электронного архива для системы SAP.
    Система Саперион соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей»  
 
 


(Гостехкомиссия  России, 1999) по 4 уровню контроля и может использоваться в автоматизированных системах до класса защищенности 1Г включительно. 

 


3 Описание угроз информационной безопасности предприятия
    Защита  информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.
    Угроза – это потенциально возможное событие, процесс или явление, которое может (воздействуя на что-либо) привести к нанесению ущерба чьим-либо интересам.
    Атака на АС - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.
    Уязвимость – это любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. При этом неважно, целенаправленно используется уязвимость или это происходит ненамеренно. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом.
    Виды  угроз
    Существуют  четыре действия, производимые с информацией, которые могут содержать в  себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения.
    Придерживаясь принятой классификации будем разделять  все источники угроз на внешние и внутренние.
    Источниками внутренних угроз являются:
      Сотрудники организации;
      Программное обеспечение;
      Аппаратные средства.
    Внутренние  угрозы могут проявляться в следующих формах:
        ошибки пользователей и системных администраторов;
      нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;
        ошибки в работе программного обеспечения;
        отказы и сбои в работе компьютерного оборудования.
    К внешним источникам угроз относятся:
          Компьютерные вирусы и вредоносные программы;
          Организации и отдельные лица;
 
 
 
 
          Стихийные бедствия.
    Формами проявления внешних угроз являются:
      заражение компьютеров вирусами или вредоносными программами;
      несанкционированный доступ (НСД) к корпоративной информации;
      информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
      действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
      аварии, пожары, техногенные катастрофы.
    Все перечисленные нами виды угроз (формы  проявления) можно разделить на умышленные и неумышленные.
    По  данным Института защиты компьютеров (CSI) и ФБР cвыше 50% вторжений - дело рук  собственных сотрудников компаний. Что касается частоты вторжений, то 21% опрошенных указали, что они  испытали рецидивы "нападений". Несанкционированное изменение данных
    
было наиболее частой формой нападения и в основном применялось против медицинских и финансовых учреждений. Свыше 50% респондентов рассматривают конкурентов как вероятный источник "нападений". Наибольшее значение респонденты придают фактам подслушивания, проникновения в информационные системы и "нападениям", в которых "злоумышленники" фальсифицируют обратный адрес, чтобы перенацелить поиски на непричастных лиц. Такими злоумышленниками наиболее часто являются обиженные служащие и конкуренты.
    По  способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.
    К информационным угрозам относятся:
      несанкционированный доступ к информационным ресурсам;
      незаконное копирование данных в информационных системах;
      хищение информации из библиотек, архивов, банков и баз данных;
      нарушение технологии обработки информации;
      противозаконный сбор и использование информации;
      использование информационного оружия.
    К программным угрозам относятся:
      использование ошибок и "дыр" в ПО;
      компьютерные вирусы и вредоносные программы;
      установка "закладных" устройств;
 
 
 
         
    К физическим угрозам относятся:
      Уничтожение или разрушение средств обработки информации и связи;
      Хищение носителей информации;
      Хищение программных или аппаратных ключей и средств криптографической защиты данных;
      Воздействие на персонал;
    К радиоэлектронным угрозам относятся:
        Внедрение электронных устройств перехвата информации в технические средства и помещения;
        Перехват, расшифровка, подмена и уничтожение информации в каналах связи.
    К организационно-правовым угрозам относятся:
      Закупки несовершенных или устаревших информационных технологий и средств информатизации;
      Нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.
    Анализ  и вяление угроз информационной безопасности является важной функцией административного уровня обеспечения информационной безопасности.
    Во  многим облик разрабатываемой системы защиты и состав механизмов ее реализации определяется потенциальными угрозами , выявленными на этом этапе.
    Например, если пользователи вычислительной сети организации имеют доступ в Интернет, то количество угроз информационной безопасности резко возрастает, соответственно, это отражается на методах и средствах защиты и т.д.
    Угроза  информационной безопасности – это  потенциальная безопасность нарушения  режима информационной безопасности.
    Преднамеренная  реализация угрозы называется атакой на информационную систему.
    Лица, преднамеренно реализующие угрозы, являются злоумышленниками.
    Чаще  всего угроза является следствием наличия  уязвимых средств в защите информационных систем, например, неконтролируемый доступ к персональным компьютерам или нелицензионное программное обеспечение (к сожалению даже лицензионное программное обеспечение не лишено уязвимостей).
    Отметим, что некоторые угрозы нельзя считать  следствием целенаправленных действий вредного характера.
    Существуют  угрозы, вызванные случайными ошибками или техногенными явлениями.
    Знание  возможных угроз информационной безопасности, а также уязвимых мест системы  
 
 
 
 

защиты, необходимо для того, чтобы выбрать  наиболее экономичные и эффективные  средства
системы безопасности.

    Каждая  угроза влечет за собой определенный ущерб – моральный или материальный, а зашита и противодействие угрозы призваны снизить его величину.
      
 
 
 
 
 
 
 
 
 
 
 
 
 

    Рисунок 1 – Классификация угроз 
 

 



4 Классификация автоматизированных систем предприятия
    Поскольку потенциальные угрозы безопасности информации многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации (КСЗИ), под которой понимается совокупность методов и средств, объединенных единым назначением и обеспечивающих необходимую эффективность ЗИ и КС.
    Деление автоматизированных систем на соответствующие  классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения, обоснованных мер по достижению требуемого уровня защиты информации. В соответствии с руководящими документами распространяется на все действующие и проектируемые автоматизированные системы учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.
    Выбор методов и средств защиты определяется важностью обрабатываемой информации, различием автоматизированных систем по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
    Основные  требования к КСЗИ
    Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов АСОД.
    Основными требованиями  к комплексной  системе защиты   информации являются:
    Система защиты информации должна  обеспечивать  выполнение АС своих основных функций без существенного ухудшения характеристик последней;
    Она должна быть экономически  целесообразной, так как стоимость  системы защиты информации включается  в стоимость АС;
    Защита информации  в АС  должна обеспечиваться на всех этапах жизненного цикла,  при всех технологических режимах обработки информации,  в том числе при проведении ремонтных и регламентных работ;
    В систему защиты информации  должны быть заложены возможности  ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации АС;
    Она в  соответствии  с   установленными  правилами  должна  обеспечивать разграничение доступа  к конфиденциальной информации  с отвлечением нарушителя на  ложную информацию,  т.е. обладать свойствами активной и пассивной защиты;
    При взаимодействии защищаемой  АС с  незащищенными  АС  система  защиты  должна  обеспечивать  соблюдение установленных правил  разграничения доступа;
    Система защиты  должна позволять  проводить учет и расследование случаев нарушения
 
 
 
 
    Безопасности информации в АС;
    Применение системы  защиты  не должно ухудшать экологическую  обстановку,  не быть сложной  для пользователя, не вызывать  психологического противодействия  и желания обойтись без нее.
    Классификация АС
1.1 Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.
1.2 Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
1.3 Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
1.4 Основными этапами классификации АС являются:
      Разработка и анализ исходных данных;
      Выявление основных признаков АС, необходимых для классификации;

      Сравнение выявленных признаков АС с классифицируемыми;
      Присвоение АС соответствующего класса защиты информации от НСД.
1.5 Необходимыми исходными данными для проведения классификации конкретной АС являются:
      перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
      перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
      матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
      режим обработки данных в АС.
1.6 Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
1.7 К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
    Наличие в АС информации различного уровня конфиденциальности;
    Уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
 
 
 
 
     Режим обработки данных в АС - коллективный или индивидуальный.
1.8 Устанавливается девять классов защищенности АС от НСД к информации.

    Каждый  класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
    В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
    Третья  группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
    Вторая  группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
    Первая  группа включает многопользовательские  АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
    Требования  по защите информации от НСД для АС
2.1 Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.
2.2 В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:
    Управления доступом;
    Регистрации и учета;
    Криптографической;
    Обеспечения целостности.
 
 
 
 
 
 
 
 
Таблица 1 – Классы защищенности

Подсистемы и требования Классы
1. Подсистема  управления доступом                  
1.1. Идентификация,  проверка подлинности и контроль доступа субъектов в систему + + + + + + + + +
К терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ       +   + + + +
К программам       +   + + + +
К томам, каталогам, файлам, записям, полям записей       +   + + + +
1.2. Управление  потоками информации       +     + + +
2. Подсистема  регистрации и учета                  
2.1. Регистрация  и учет: входа/выхода субъектов доступа в/из системы (узла сети)     + + + + + + +
Выдачи  печатных (графических) выходных документов       +   + + + +
Запуска/завершения программ и процессов (заданий, задач)       +   + + + +
Доступа программ субъектов к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи       +   + + + +
Доступа программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей       +   + + + +
Изменения полномочий субъектов доступа             + + +
создаваемых защищаемых объектов доступа       +     + + +
2.2. Учет  носителей информации     + + + + + + +
2.3. Очистка  (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей       +   + + + +
2.4. Сигнализация  попыток нарушения защиты             + + +
3. Криптографическая  подсистема                  
3.1. Шифрование  конфиденциальной информации       +       + +
3.2. Шифрование  информации, принадлежащей различным  субъектам доступа (группам субъектов) на разных ключах                 +
3.3. Использование  аттестованных (сертифицированных) криптографических средств       +       + +
4. Подсистема  обеспечения целостности                  
4.1. Обеспечение  целостности программных средств  и обрабатываемой информации     + + + + + + +
4.2. Физическая  охрана средств вычислительной  техники и носителей информации     + + + + + + +
4.3. Наличие  администратора (службы) защиты информации в АС       +     + + +
4.4. Периодическое  тестирование СЗИ НСД     + + + + + + +
4.5. Наличие средств восстановления СЗИ НСД     + + + + + + +
4.6. Использование  сертифицированных средств защиты       +     + + +
 
 
 

5 Модель нарушителя
    Модель  нарушителя – абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.
    Модель  нарушителя определяет:
    категории (типы нарушителей), которые могут воздействовать на объект;
    цели, которые могут преследовать нарушители каждой категории, возможный количественный состав, используемые инструменты, принадлежности, оснащение, оружие и другое;
    типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе;
   Содержательная  модель нарушителей отражает систему принятых руководством объекта, ведомства взглядов на контингент потенциальных нарушителей, причины и мотивацию их действий, преследуемые цели и общий характер действий в процессе подготовки и совершения акций воздействия.
   Математическая  модель воздействия  нарушителей представляет собой формализованное описание сценариев в виде логико-алгоритмической последовательности действий нарушителей, количественных значений, параметрически характеризующих результаты действий, и функциональных (аналитических, численных или алгоритмических) зависимостей, описывающих протекающие процессы взаимодействия нарушителей с элементами объекта и системы охраны. Именно этот вид модели используется для количественных оценок уязвимости объекта и эффективности охраны.
   Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.
   Таблица 2 – Типы нарушителей
Внешние нарушители Внутренние  нарушители
Конкуренты Администраторы
Клиенты (представители сторонних организаций, граждане) Сотрудники  отделов разработки и сопровождения ПО (прикладные и системные программисты)
Посетители Пользователи (операторы) системы
Хакеры Руководители  различных уровней должностной иерархии
Преступные  организации Технический персонал
 
 
 
 

   Классификация внутренних нарушителей:
  Сотрудники, допускающие утечку конфиденциальной информации, будучи допущенными к ней, классифицируются по нескольким критериям — злонамеренные или халатные, ставящие цели себе сами или действующие по заказу, охотящиеся за конкретной информацией или выносящие все, к чему имеют доступ. Правильно классифицировав потенциального нарушителя, сотрудники подразделения информационной безопасности компании могут спрогнозировать поведение нарушителя при невозможности осуществления попытки передачи информации. Кроме того, рассматривая средства защиты, всегда надо иметь в виду, против каких нарушителей эти средства действенны, а против каких — нет.
 Мы  разделяем нарушителей на пять  основных видов — неосторожные, манипулируемые, саботажники, нелояльные и мотивируемые извне. Рассмотрим каждый вид и их подвиды подробнее.
Таблица 3 – Экосистема внутренних нарушителей
Тип Умысел Корысть Подстановка задачи Действия при  невозможности
Халатный Нет Нет Нет Сообщение
Манипулируемый Нет Нет Нет Сообщение
Обиженный Да Нет Сам Отказ
Нелояльный Да Нет Сам Имитация
Подрабатывающий Да Да Сам\Извне Отказ\Имитация\Взлом
Внедренный Да Да Извне Взлом
   Неосторожные
    В других источниках также  встречается название «халатные». Эти сотрудники создают незлонамеренные ненаправленные угрозы, то есть они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями — вынос информации из офиса для работы с ней дома, в командировке и т. д., с дальнейшей утерей носителя или доступом членов семьи к этой информации. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос этой информации за пределы офиса запрещен. Поэтому против таких нарушителей действенными являются простые технические средства предотвращения каналов утечек — контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода-вывода.
    Манипулируемые
    Последние годы термин «социальная  инженерия» чаще всего используется  для описания различных типов  мошенничества в Сети. Однако  манипуляции используются не  только для 
получения обманным путем персональной информации пользователей — паролей,  
 
 
 


персональных идентификационных номеров, реквизитов кредитных карт и адресов. Известный экс-хакер Кевин Митник считает, что именно социальная инженерия сегодня является «бичом» информационных систем. Примеры, которые приводит Митник в своей книге «Искусство обмана», показывают, например, что «добросовестная» секретарша может по просьбе злоумышленника «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик. Таким образом может быть осуществлена утечка. Другим примером манипулируемого сотрудника может служить сотрудник, начальник которого является злоумышленником и отдает этому сотруднику преступные приказы отправить в ненадлежащее место конфиденциальную информацию. И в том и в другом случае сотрудники, наткнувшись на невозможность совершить требуемое манипулятором, обратятся в службу поддержки.
    Поскольку манипулируемые и неосторожные  сотрудники действуют из своего  понимания «блага» компании (оправдываясь тем, что иногда ради этого блага нужно нарушить дурацкие инструкции, которые только мешают эффективно работать), два этих типа нарушителей иногда объединяют в тип «незлонамеренных». Как уже говорилось выше, ущерб не зависит от намерений, зато от намерений зависит поведение нарушителя в случае невозможности осуществить свое действие. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.
    Следующая группа нарушителей  — злонамеренные, то есть в  отличие от сотрудников, описанных выше, осознающие, что своими действиями они наносят вред компании, в которой работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, они подразделяются на три типа — саботажники, нелояльные и мотивируемые извне.
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.