ВР.pdf. Выпускная квалификационная работа специалиста
Скачать 1.05 Mb.
|
Министерство науки и высшего образования Российской Федерации НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ (НИ ТГУ) Институт экономики и менеджмента ДОПУСТИТЬ К ЗАЩ ИТЕ В ГЭК Руководитеть ООП канд. ^тнГд?аук, доцент W 7» 2021 г. В.В. Копилевич ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА СПЕЦИАЛИСТА (ДИПЛОМНАЯ РАБОТА) ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: ОЦЕНКА СОСТОЯНИЯ, ИНСТРУМЕНТЫ УПРАВЛЕНИЯ И СПОСОБЫ ОБЕСПЕЧЕНИЯ (НА ПРИМЕРЕ ИНФОРМАЦИОННЫХ СИСТЕМ АДМИНИСТРАЦИИ ТОМСКОЙ ОБЛАСТИ) по специальности 38.05.01 - Экономическая безопасность специализация «Экономико-правовое обеспечение экономической безопасности» Плахова Анастасия Андреевна Руководитель ВКР д-р. экон. наук, профессор Э. Г. М атюгина подпись « / 5 » СсяюиР 2021 г. Автор работы студен^групиы № 27609/1 « /jT » 2021 г. Томск 2021 Министерство науки и высшего образования Российской Федерации НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ (НИ ТГУ) Институт экономики и менеджмента УТВЕРЖДА1 Руководителя. ООП кан д ^ср ^р н ау к г доцент В.В. Копилевич -2020 г. / 7 — 7 - = ------ ЗАДАНИЕ по выполнению выпускной квалификационной работы специалиста (дипломной работы) обучающемуся Плаховой Анастасии Андреевне (Ф.И.О. обучающегося) по специальности 38.05.01 - Экономическая безопасность, специализация «Экономико правовое обеспечение экономической безопасности» 1. Тема ВКР специалиста Информационная безопасность: оценка состояния, инструменты управления и способы обеспечения (на примере информационных систем Администрации Томской области) 2. Срок сдачи обучающимся выполненной выпускной квалификационной работы специалиста: в учебный офис «___ »_____________ 2021 г. в Г Э К « » 2021 г. 3. Исходные данные к работе: Объект исследования - информационная безопасность в аспекте выбора инструментов управления и способов ее обеспечения с учетом специфики организации функционирования территориальных органов управления. Предмет исследования - совокупность параметров, характеризующих состояние информационной безопасности. Цель исследования - оценка состояния информационной безопасности, а также исследование инструментов управления и возможных способов ее обеспечения на основе данных Администрации Томской области. Задачи: 1) изучение теоретических основ информационной безопасности; 2) рассмотрение понятия информационной безопасности и определение ее связи с экономической безопасностью; 3) определение основных видов угроз; 4) исследование принципов и методов изучения информационной безопасности; 5) сравнение отечественного и зарубежного опыта применения средств защиты информации; 6) исследование информационных систем Администрации Томской области; 7) рассмотрение политики обработки защищаемой информации, не содержащей государственную тайну; 8) изучение модели угроз безопасности персональных данных; 9) оценка возможного ущерба Администрации при утечке персональных данных. Методы исследования: теоретические (классификация, синтез, анализ), практические (измерение, сравнение), специальные методы (интеллектуальный, исследовательский, прогнозный анализ данных), а также анализ полученных результатов путем статистической обработки, обобщение. Организация или отрасль, по тематике которой выполняется работа: Администрация Томской области 4. Краткое содержание работы: 1) исследование теоретических основ формирования и обеспечения информационной безопасности; 2) анализ инструментов управления и способов обеспечения информационной безопасности России и зарубежных стран; 3) рассмотрение информационных систем Администрации Томской области, оценка их текущего состояния и расчет возможных информационных угроз. Руководитель ВКР / Э.Г. М атюгина Долж ност ь подпись инициалы, фамилия АННОТАЦИЯ Структура дипломной работы включает введение, 3 главы, 9 параграфов, заключение, список литературы и 2 приложения. Общий объем работы составил 84 страницы, в него вошли 7 рисунков, 7 таблиц, 2 формулы и 53 источника. Цель исследования состоит в оценке состояния информационной безопасности, а также исследовании инструментов управления и возможных способов ее обеспечения на основе данных Администрации Томской области. Объектом исследования выступает информационная безопасность в аспекте выбора инструментов управления и способов ее обеспечения с учетом специфики организации функционирования территориальных органов управления. Предмет исследования состоит в совокупности параметров, характеризующих состояние информационной безопасности. Результатом исследования является общая оценка состояния обеспечения информационной безопасности Российской Федерации, определенная как находящаяся на стадии развития, однако, уровень защищенности информации государственных органов является высоким и отвечающим международным требованиям. По результатам аналитической оценки уровня информационной безопасности систем Администрации Томской области был выявлен высокий уровень защиты электронных персональных данных. Ключевые слова: информационная безопасность, информационная безопасность государственных органов, защита информации, Доктрина информационной безопасности, Администрация Томской области, Единая информационная система управления кадровым составом, цифровизация. ОГЛАВЛЕНИЕ В ведение..................................................................................................................................................... 3 1. Теоретические основы формирования и обеспечения информационной безопасности ...5 1.1 Понятие информационной безопасности, ее роль, основные компоненты ................... 5 1.2 Основные виды угроз. Методы обеспечения информационной безопасности...........16 1.3 Специфика организации информационной безопасности в органах государственного управления.............................................................................................................................................. 22 2. Инструменты управления и способы обеспечения информационной безопасности....... 28 2.1 Состояние информационной безопасности в Российской Ф едерации..........................28 2.2 Отечественный опыт обеспечения и управления информационной безопасностью.32 2.3 Зарубежный опыт обеспечения информационной безопасности.................................. 43 3. Информационные системы Администрации Томской области............................................. 46 3.1 Политика обработки защищаемой информации.................................................................46 3.2 Модели угроз безопасности персональных данны х.......................................................... 52 3.3 Оценка ущерба в случае утечки информации, обрабатываемой в информационной системе Администрации Томской области......................................................................................61 Заключение...............................................................................................................................................66 Л и тература...............................................................................................................................................69 Приложение А ......................................................................................................................................... 75 Приложение Б ......................................................................................................................................... 80 ВВЕДЕНИЕ Развитие информационных технологий экономического сектора стали неотъемлемой частью жизни современного общества, а поскольку информация является одним из самых ценных и важных ресурсов любого бизнес-процесса, информационная безопасность стала наиболее важным аспектом грамотного ведения бизнеса. Информационная безопасность включает комплекс мер, направленных на предотвращение и устранение несанкционированного доступа, обработки, искажения, форматирования, анализа, несогласованного обновления, исправления и уничтожения данных. Проще говоря, это набор мер, стандартов и технологий, необходимых для защиты конфиденциальных данных. Проблема защиты информации от несанкционированного доступа и нежелательных воздействий существует давно, с развитием человеческого общества, появлением частной собственности, государственного строя, дальнейшим расширением человеческой деятельности информация приобретает все большее значение. Информация становится ценной, и ее владение позволит нынешним и потенциальным владельцам получать определенные выигрыши. Переход на информатизированные системы коснулся и органов государственной власти. Большим шагом вперед в системе информационной безопасности стало электронное правительство. Электронное государственное управление не является дополнением к традиционному государственному управлению, а лишь определяет новый способ взаимодействия, основанный на активном использовании информационных и коммуникационных технологий для повышения эффективности предоставления государственных услуг. Это обусловливает несомненную актуальность выбранной темы. Вопросам изучения содержания и оценки состояния информационной безопасности посвящены труды отечественных и зарубежных ученых. Специфика защиты информации для органов госуправления рассмотрена в трудах таких авторов как Грунин О.A., M ueller J.P., Яблоков Н.П., Еськов А.В., Кирюшин И.И., Лободина А. С., Ермолаева В. В., Бирюков, А. А., Савченко О.А. и так далее. Однако, необходимо отметить, что считать завершенными исследования в данной сфере вряд ли возможно в связи с непредсказуемостью и динамичностью изменения сред бизнеса, непрерывным совершенствованием информационных технологий, их глобальном охвате всех без исключения процессов жизнедеятельности общества и т.д. 3 Это обусловило следующую постановку цели дипломной работы - оценка состояния информационной безопасности, а также исследование инструментов управления и возможных способов ее обеспечения на основе данных Администрации Томской области. Для достижения поставленной цели были использованы следующие задачи: 1) изучение теоретических основ информационной безопасности; 2) рассмотрение понятия информационной безопасности и определение ее связи с экономической безопасностью; 3) определение основных видов угроз; 4) исследование принципов и методов изучения информационной безопасности; 5) сравнение отечественного и зарубежного опыта применения средств защиты информации; 6) исследование информационных систем Администрации Томской области; 7) рассмотрение политики обработки защищаемой информации, не содержащей государственную тайну; 8) изучение модели угроз безопасности персональных данных; 9) оценка возможного ущерба Администрации при утечке персональных данных. Объектом исследования является информационная безопасность в аспекте выбора инструментов управления и способов ее обеспечения с учетом специфики организации функционирования территориальных органов управления. Предмет исследования - совокупность параметров, характеризующих состояние информационной безопасности. Написание дипломного проекта включало следующие методы исследования: теоретические (классификация, синтез, анализ), практические (измерение, сравнение), специальные методы (интеллектуальный, исследовательский, прогнозный анализ данных), а также анализ полученных результатов путем статистической обработки, обобщение. Информационная база исследования представлена трудами российских и зарубежных авторов, научными статьями, в которых нашли отражение анализ и оценка исследуемой проблемы, материалы открытых электронных ресурсов, а также подкреплена нормативно-правовыми актами (Федеральными законами, указами Президента, статьями Конституции). Выпускная квалификационная работа содержит 83 страницы, 7 таблиц, 7 рисунков, 2 формулы, 2 приложения. 4 1. Теоретические основы формирования и обеспечения информационной безопасности 1.1 Понятие информационной безопасности, ее роль, основные компоненты Ни одна система не может существовать без информационных потоков, нарушение или их недостаточность приводит к сбоям и потерям в эффективности и рентабельности, снижению динамики развития. Информация является важнейшей составляющей любой экономической системы. Информационная сфера является системным фактором жизни общества и активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность России существенно зависит от обеспечения безопасности информации, и эта зависимость будет усиливаться по мере технического прогресса. В Доктрине информационной безопасности под термином информационная сфера понимается «совокупность информации, объектов информатизации, информационных систем, сайтов в информационно-телекоммуникационной сети «Интернет», сетей связи, информационных технологий, субъектов, деятельность которых связана с формированием и обработкой информации, развитием и использованием названных технологий, обеспечением информационной безопасности, а также совокупность механизмов регулирования соответствующих общественных отношений» [2, с. 69]. Поскольку существует вероятность потери целостности, доступности и конфиденциальности информации из-за наличия разносторонних угроз, она должна быть надлежащим образом защищена. Ежедневно каждый человек сталкивается с событиями, которые могут стать угрозами для информационной сферы, например: 1) присвоение чужого имущества; 2) кража собственности (информационного оборудования, комплектующих); 3) подделка данных, несанкционированная модификация; 4) нарушение прав частной собственности и конфиденциальности информации; 5) несанкционированный доступ или превышение прав санкционированного доступа к персональной информации владельца; 6) вымогательство или шантаж с использованием компьютеров; 7) несанкционированный доступ; 8) злонамеренное искажение или уничтожение данных; 9) нарушение авторского права или права интеллектуальной собственности и т. д. 5 Понятие информационной безопасности в Доктрине информационной безопасности РФ в широком смысле определено как состояние защищенности личности, общества и государства от внутренних и внешних, предумышленных и непредумышленных информационных угроз, которые гарантировано обеспечивают конституционные права человека и гражданина, безопасность, независимость и суверенность государства, территориальную целостность, высокий уровень жизни и устойчивое социально-экономическое развитие Российской Федерации [2, с. 69]. В узком смысле «информационная безопасность» - это состояние защищенности информации личности, общества и государства от случайных или целенаправленных воздействий естественного или искусственного характера с возможностью нанесения ими критического и непоправимого ущерба для субъектов информационных отношений. Согласно Федеральному закону №149-ФЗ «Об информации, информационных технологиях и о защите информации» [3, с. 69] защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) реализацию защиты информации и от несанкционированного доступа, удаления, изменения, передачу, копирования, закрытия доступа и других возможных незаконных действий по отношению к информации; 2) ригоризм соблюдения защищенности информации закрытого доступа; 3) осуществление законного права на доступ и использование информации1. Основная задача информационной безопасности - минимизация и предотвращение рисков и угроз, а не ликвидация последствий. Именно принятие превентивных мер по обеспечению конфиденциальности, целостности и доступности информации является наиболее действенным подходом при создании системы информационной безопасности. Объектами информационной безопасности является то, на что направлены действия негативного характера, которые наносят ущерб и действия, предотвращающие первые. Объекты, на которых сосредоточены негативные последствия в информационной сфере, являются: 1) все виды источников информации - информация, записанная на материальном носителе с реквизитами, позволяющими их идентифицировать; 2) система создания, распространения и использования информации (информационные системы и технологии, СМИ, библиотеки, архивы, кадры, нормативные документы и так далее). 1 Об информации, информационных технологиях и о защите информации Федеральный закон от 27 июля 2006 г. N 149-ФЗ // КонсультантПлюс : справ. Правовая система. - Версия проф. - М., 2021. - Режим доступа : локальная сеть Науч. б-ки Том. гос. ун-та. 6 Под субъектами информационных отношений понимаются как владельцы, так и пользователи информации и поддерживающей инфраструктуры. Для того, чтобы регулировать поведение субъектов информационной сферы существует ряд нормативно-правовых актов в целях реализации прав и обязанностей, которые направлены на обеспечение защиты объектов правоотношений. Здесь же законодатель вводит ограничения на информационные права и свободы в целях защиты интересов граждан, общества и государства. При формировании норм права, установления прав и обязанностей применяются методы гражданского, административного и конституционного права. Для обеспечения безопасности как информационной сферы в целом, так её субъектов и объектов на законодательном уровне были приняты следующие нормативно- 2 правовые акты 1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 2. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; 3. Федеральный закон от 06.04.2011 N 63-Ф3 «Об электронной подписи»; 4. Федеральный закон от 04 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности»; 5. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; 6. Постановление Правительства от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 7. Постановление Правительства от 06 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем, и дальнейшего хранения содержащейся в их базах данных информации»; 8. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и |