Нанаев курсач. Исследование возможности применения средств защиты на предприятиях
Скачать 0.66 Mb.
|
Министерство образования и науки Российской Федерации Грозненский государственный нефтяной технический университет имени академика М.Д. Миллионщикова Институт прикладных информационных технологий Кафедра «Информационные системы в экономике» КУРСОВОЙ ПРОЕКТ По дисциплине: «Информационная безопасность» На тему: «Исследование возможности применения средств защиты на предприятиях» Выполнил студент группы ПИ-14П: Нанаев Ибрагим Хусейнович Проверил: Абдулаев М.К. Грозный – 2018 Содержание Введение 3 Глава 1. Аналитическая часть 4 Глава 2. Проектная часть 22 2.1. Анализ средств обеспечения информационной безопасности предприятия. 22 Заключение 36 Список использованной литературы 38 ВведениеЦелью выполнения данной курсовой работы является: «Исследование возможности применения средств защиты на предприятиях для реализации средств защиты на предполагаемом предприятии». В настоящее время организация режима информационной безопасности становится критически важным стратегическим фактором развития любой компании. При этом, как правило, основное внимание уделяется требованиям и рекомендациям соответствующей нормативно-методической базы в области защиты информации. Вместе с тем многие компании сегодня используют некоторые дополнительные инициативы, направленные на обеспечение устойчивости и стабильности функционирования корпоративных информационных систем для поддержания непрерывности бизнеса в целом. Сейчас все чаще в информационных источниках встречается понятие системного подхода при построении службы защиты информации. Понятие системности заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла информационной системы. При этом все средства, методы и мероприятия, используемые для защиты информации, объединяются в единый, целостный механизм - систему защиты. К сожалению, необходимость системного подхода к вопросам обеспечения безопасности информационных технологий пока еще не находит должного понимания у пользователей современных информационных систем. Сегодня специалисты из самых разных областей знаний, так или иначе, вынуждены заниматься вопросами обеспечения информационной безопасности. Это обусловлено тем, что в ближайшие лет сто нам придется жить в обществе информационных технологий, куда перекочуют все социальные проблемы человечества, в том числе и вопросы безопасности. В Российской Федерации за последние годы принято множество правовых, технических и организационно-распорядительных документов, которые используются для государственного регулирования деятельности в области информационной безопасности. Наравне с государственными органами стандарты и методические документы в области защиты информации разрабатываются и коммерческими организациями. В сложившихся условиях при осуществлении практической деятельности в области информационной безопасности все сложнее ориентироваться в совокупности документов, обязательных и добровольных для применения. Вот некоторые примеры угроз защиты информации: внедрение вирусов и других разрушающих программных воздействий; анализ и модификация/уничтожение установленного программного обеспечения; внедрение программ-шпионов для анализа сетевого трафика и получения данных о системе и состоянии сетевых соединений; использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированных прав чтения, копирования, модификации или уничтожения информационных ресурсов, а также нарушения их доступности; раскрытие, перехват и хищение секретных кодов и паролей; чтение остаточной информации в памяти компьютеров и на внешних носителях; блокирование работы пользователей системы программными средствами. Глава 1. Аналитическая часть1.1. Понятие информационной безопасностиИнформационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной технических средств обработки и передачи данных и, прежде всего, вычислительных систем и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность: целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных; конфиденциальность информации; доступность информации для всех авторизованных пользователей. Согласно федеральному закону № 149 «Об информации, информационных технологиях и о защите информации», «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации». Правовые основы защиты информации - это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия. Первый уровень правовой охраны и защиты информации составляют нормативные правовые акты, различающиеся по юридической силе: Конституция Российской Федерации, Международные договоры Российской Федерации, Кодексы Российской Федерации, Федеральные законы Российской Федерации. Конституция РФ (ст.23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений); Гражданский кодекс РФ (в ст.139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне); Уголовный кодекс РФ (ст.272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст.273 - за создание, использование и распространение вредоносных программ для ЭВМ, ст.274 - за нарушение правил эксплуатации ЭВМ, систем и сетей); Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (ст.5 устанавливает разделение информации на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа), ст. 16 определяет порядок защиты информации); Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст.5 устанавливает перечень сведений, составляющих государственную тайну; ст.8 - степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст.20 - органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст.28 - порядок сертификации средств защиты информации, относящейся к государственной тайне); Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст.4 определяет условие признания авторского права - знак © с указанием правообладателя и года первого выпуска продукта в свет; ст.18 - защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы). Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности России. Понятие информационной безопасности было дано в 2000 году в «Доктрине информационной безопасности Российской Федерации» (далее Доктрина), которая действует и сейчас. Настоящая Доктрина служит основой для: Формирования государственной политики в области обеспечения информационной безопасности Российской Федерации; Подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации; Разработки целевых программ обеспечения информационной безопасности Российской Федерации. Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере. Правовое обеспечение информационной безопасности включает совокупность правовых документов, используемых для регулирования отношений в области информационной безопасности. Под правовыми документами понимаются официальные документы, принятые у полномочными государственными органами, имеющие юридическое значение и направленные на регулирование отношений в области информационной безопасности. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления: требований о защите информации, ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации. В Доктрине выделены четыре основные составляющие национальных интересов Российской Федерации в информационной сфере. Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны. Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечении е государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам. Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности эффективного использования отечественных информационных ресурсов. Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. В Доктрине информационной безопасности названы особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни: экономики, внешней и внутренней политики, науки и техники, духовной жизни. В общегосударственных информационных и телекоммуникационных системах, в сфере обороны. В правоохранительной и судебной сферах, в условиях чрезвычайных ситуаций. Для указанных сфер приведены внешние и внутренние угрозы, а также основные меры по обеспечению ИБ. В соответствии с Доктриной информационной безопасности Российской Федерации общие методы ее обеспечения разделяются на правовые, организационно-технические и экономические. К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются: создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации; формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства. Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя: разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования; совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц. Правовое обеспечение информационной безопасности РФ кроме того регулируется международными конвенциями об охране информационной собственности, промышленной собственности и авторском праве защиты информации в Интернете. На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) - это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ; К третьему уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем. Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами, например, руководящие документы Федеральной службы контроля службы по техническому и экспортному контролю (ФСТЭК). Такие как «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» ФСТЭК от 15 февраля 2008 г, определяющий ряд терминов и положений, связанных с обеспечением безопасности персональных данных, а так же основные мероприятия по организации обеспечения безопасности персональных данных и мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Стандарты информационной безопасности, из которых выделяют: Государственные (национальные) стандарты РФ: ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения. ГОСТ Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации. ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005. ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005. ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты. Международные стандарты; Такие как ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации. Указанные выше правовые документы реализуют различные методы и средства правового регулирования в области защиты информации. Метод правового регулирования включает следующие компоненты: порядок возникновения прав и обязанностей сторон (из закона, договора, акта применения права и т.д.); степень самостоятельности субъектов при возникновении прав и обязанностей (равенство сторон или отношения власти и подчинения); способы регулирования активности субъектов права (запреты, предписания, дозволения, рекомендации, поощрения); способы обеспечения прав и обязанностей (судебный и иной порядок). Различные сочетания этих компонентов образуют метод конкретной отрасли права. В теории права различают два противоположных метода правового регулирования: императивный (авторитарный); диспозитивный (автономии). Императивный метод базируется на применении властных юридических предписаний, которые не допускают отступлений от четко установленного правила поведения. Иными словами, субъекты правоотношений вправе совершать только те действия, которые им разрешены. Диспозитивный метод предоставляет возможность самим участникам правоотношений самостоятельно определять свое поведение в рамках правовых предписаний. При этом стороны выступают в качестве равных субъектов, добровольно принимают на себя обязательства по отношению друг к другу. Иначе говоря, лица вправе совершать любые действия, прямо не запрещенные законом. Этот метод включает в себя три способа регулирования: дозволение совершить известные действия, имеющие правовой характер; предоставление определенных прав; предоставление лицам, участвующим в определенных взаимоотношениях, право выбирать вариант своего поведения. Средства воздействия на общественные отношения — дозволение, запрет (основные), уполномочивание, ограничение, закрепление определенных отношений (статуса, целей и принципов деятельности), рекомендация, поощрение, предоставление льгот, государственное принуждение. Перечисленные средства используются при формировании структурных элементов нормы. Способы определяют особенности связей участников упорядочиваемых отношений. Существуют автономный способ (равенство участников, как в имущественных отношениях, регулируемых гражданским правом), приказной (властное отношение, когда один субъект подчинен другому, как в административном праве, которое регулирует отношения в сфере государственного управления), субординационный (сочетание равенства в одних случаях и подчинение в виде контроля властных структур — в других, как в области предпринимательских отношений, когда хозяйствующие субъекты государственным органам напрямую не подчиняются, однако последние осуществляют контроль и надзор за деятельностью субъектов предпринимательской деятельности). Таким образом, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации, и защиту, благодаря законодательной базе о защите информации. |