Введение 5
Глава 1 Анализ информационной безопасности в организации ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» 7
1.1 Общая характеристика предметной области 7
1.1.1 Характеристика защищаемого объекта 7
1.1.2 Бизнес-процессы учреждения 13
1.2 Анализ угроз безопасности объекта защиты 17
1.2.1 Актуальные угрозы безопасности 17
1.2.2 Разработка модели угроз безопасности 19
1.3 Анализ современных методов защиты информации 20
1.3.1 Анализ подходов по защите 20
1.3.2 Анализ современных DLP-систем 21
1.3.3 Выбор средств защиты 24
Глава 2 Реализация комплекса мер защиты информации для организации
ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» 26
2.1 Внедрение средств защиты 26
2.1.1 Внедрение антивирусного средства 26
2.1.2 Внедрение межсетевого экрана 26
2.1.3 Внедрение DLP-системы 32
2.2 Тестирование эффективности проекта системы защиты 37
2.2.1 Проверка эффективности проекта системы защиты 37
2.2.2 Нормативно-правовое обеспечение защиты информации .. 39
Глава 3 Обоснование экономической эффективности проекта 44
3.1 Выбор и обоснование методики расчета экономической 44
эффективности проекта 44
3.1.1 Определение экономической эффективности 44
3.1.2 Угрозы активам 45
3.2. Расчет показателей экономической эффективности проекта 46
Заключение 51
Список используемых источников 53
Приложение А Модель актуальных угроз информационной безопасности ИС
ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» 56
Работа многих организаций неотъемлема от использования информации самого разного плана. Ведь на сегодняшний день информация является ценным товаром, особенно на коммерческом и конкурентном рынке. Особую ценность приобретают сведения, которые используются для достижения задач организаций. Данную информацию называют конфиденциальной. Потенциальная утечка конфиденциальной информации может носить многомиллиардные убытки, особенно в случае крупных корпораций. Вместе с тем, современные компании год от года все чаще подвергаются шпионажам различного уровня и краже конфиденциальных сведений. Часто это связано из-за использования старых средств документооборота и низкой квалификации сотрудников, ответственных за безопасность. Вся ответственность за сохранность важных документов целиком возлагается на грамотную систему защиты информации, создаваемую комплексно.
Актуальность данной выпускной работы обусловлена тем, что возможности злоумышленников по части кражи информации, растут год от года. Совершенствуются и средства защиты информации. Защита данных является важнейшей задачей на государственном уровне в любой стране. Необходимость такой защиты в России нашла выражение в развитии правовой базы информационной безопасности (ИБ), охватывающей все сферы.
В области защиты информации особое место уделяется ИС. Данные системы являются неотъемлемой частью любой современной организации, вне зависимости от ее сферы деятельности и используются повсеместно. Данные системы обслуживают огромное количество пользователей на самых разных уровнях, позволяя автоматизировать работу учреждения в целом и сократить временные затраты.
Современные ИС сложны, и с точки зрения безопасности, в какой-то степени опасны, даже без возможного вмешательства злоумышленников. Ведь в программном обеспечении постоянно обнаруживаются уязвимые места и новые ошибки. Поэтому сегодня приходится учитывать чрезвычайно широкий спектр программного и аппаратного обеспечения, различные средства инженерно-технической защиты, а также многочисленные связи между компонентами.
Целью выпускной квалификационной работы является разработка комплекса мер по защите информации в Новоуренгойском психоневрологическом диспансере с использованием системы Dallas Lock.
В задачи, в соответствии с поставленной целью, входят:
- анализ нормативно-правовой базы в области защиты информации;
- анализ информационной системы и информационных процессов в Новоуренгойском психоневрологическом диспансере;
- анализ угроз безопасности ИС в Новоуренгойском психоневрологическом диспансере;
- анализ средств защиты информации и системы Dallas Lock;
- разработка системы защиты в Новоуренгойском психоневрологическом диспансере с использованием Dallas Lock;
Объектом исследования данной работы является система защиты в Новоуренгойском психоневрологическом диспансере.
Предметом исследования является организация режима безопасности в Новоуренгойском психоневрологическом диспансере.
Практическая значимость работы заключается в возможности использования описанной системы защиты на практике в аналогичных организациях.
Безопасность информации - важнейшая задача в любой современной организации. Защита сведений на рассматриваемом объекте защиты, в частности выбор средств и методов - комплексная задача по оптимизации, учитывающая стоимость разработки этих средств защиты, вероятность различных угроз безопасности информации, наличие заинтересованных сторон. В процессе выполнения бакалаврской работы были разработаны рекомендации по защите информационной системы ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер». Получены следующие результаты:
- рассмотрены теоретические аспекты информационной безопасности в современной организации, исследованы нормативно-правовые акты, положения и Федеральные Законы, действующие в сфере защиты информации и информационных технологий. Согласно проведенному анализу выявлено, что сегодня аспекты безопасности информации проработаны на всех уровнях защиты и существуют для любых государственных структур.
- исследована ИС и локальная сеть ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер», а также организационная структура учреждения. Были исследованы бизнес-процессы в ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер», информационные потоки в системе, где циркулирует защищаемая информация. Был проведен обзор потенциальных угроз безопасности информации, выявлены актуальные угрозы, которым подвержена сеть ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер». На основании собранной и проанализированной информации была разработана модель актуальных угроз.
- разработана комплексная система защиты для информационной системы ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер». Были проанализированы существующие DLP-системы, такие как: ZGate, TrafficMonitor, DataLossPrevention, Secret Net, SecureTower, Dallas Lock. На основании сравнительного анализа данных систем и их характеристик, с учетом особенностей инфраструктуры ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер», была отобрана система Dallas Lock. Данная система была внедрена в сеть учреждения, протестирована и настроена. По результатам повторной проверки системы защиты было выявлено, что система стала отвечать надлежащему режиму безопасности информации.
- проведена оценка экономической эффективности предложенных мероприятий. Затраты на усовершенствование системы защиты существенно ниже рисков, которым подвержена защищаемая информация.
Вне зависимости от того, какой метод используется при защите данных, можно сказать с уверенностью, что любая СЗИ эффективна только тогда, когда отвечает всем угрозам, противопоставленным ей. По результатам теоретического исследования и практического моделирования можно предположить, что описанная система защиты является отвечающей актуальным угрозам безопасности и сеть ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» будет соответствовать необходимому уровню информационной безопасности, в соответствии с требованиями регуляторов в области защиты информации и законодательных актов.
Задачи, поставленные в ходе работы, выполнены. Цель работы, заключающаяся в разработке системы защиты для информационной системы и локальной сети ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер», с учётом актуальных угроз безопасности информации, достигнута.
1. Артемов А.В. Информационная безопасность: курс лекций / А.В. Артемов. - Орел: МАБИВ, 2014. - 256 с.
2. Асокин В.В. Основы информационной безопасности / В.В. Асокин. - М.: КУБГУ, 2012. - 297 с.
3. Астайкин А.И., Мартынов А.П., Николаев Д.Б., Фомченко В.Н. Методы и средства обеспечения программно-аппаратной защиты информации: научно-техническое издание / А.И. Астайкин, А.П. Мартынов, Д.Б. Николаев, В.Н. Фомченко. - Саров: ФГУП «РФЯЦ-ВНИИЭФ», 2015. - 214 с.
4. Басалова Г.В. Основы криптографии / Г.В. Басалова. - М.:
Национальный Открытый Университет "ИНТУИТ", 2016. - 282 с.
5. Беломойцев Д.Е. Основные методы криптографической обработки данных: учеб. пособие / Д.Е. Беломойцев, Т.М. Волосатова, С.В. Родионов. - М.: Изд-во МГТУ им. Н. Э. Баумана, 2014. - 80 с.
6. Бутакова Н.Г. Криптографические методы и средства защиты информации: учебное пособие / Н.Г. Бутакова, Н.В. Федоров. - СПб.: Интермедия, 2017. - 384 с.
7. Галатенко В.А. Основы информационной безопасности / В.А. Галатенко. - M.: Национальный Открытый Университет "ИНТУИТ", 2016. - 266 с.
8. Доктрина ИБ РФ [Электронный ресурс]: [Российская газета]. URL:
http: //www.rg.ru/oficial/doc/min_and_vedom/mim_ bezop/doctr. shtm (дата
обращения: 20.01.2020).
9. Информатика I: учебное пособие / И. Л. Артёмов, А. В. Гураков, О. И. Мещерякова, П. С. Мещеряков, Д. С. Шульц. - Томск: ФДО, ТУСУР,
2015. - 234 с.
10. Калмыков И.А., Науменко Д.О., Гиш Т.А. Криптографические методы защиты информации: лабораторный практикум / И.А. Калмыков, Д.О. Науменко, Т.А. Гиш. - Ставрополь: Изд-во СКФУ, 2015. - 109 с.
11. Конституция РФ: [принята всенар. Голосованием 12 декабря 1993 г.] : офиц. текст : по сост. на 21 июля 2014 г. - М. : Инфра-М
12. Краковский Ю.М. Защита информации: учебное пособие / Ю.М. Краковский. - Ростов-на-Дону: Феникс, 2016. - 349 с.
13. Нестеров С.А. Основы информационной безопасности: учеб. пособие / С.А. Нестеров - СПб.: Изд-во Политехн. ун-та, 2014. - 322 с.
14. Основы информационных технологий: учебное пособие / Г.И. Киреева, В.Д. Курушин, А.Б. Мосягин, Д.Ю. Нечаев, Ю.В. Чекмарев. - Саратов: Профобразование, 2017. - 272 с.
15. Петренко В.И. Теоретические основы защиты информации: учебное пособие / В.И. Петренко. - Ставрополь: Изд-во СКФУ, 2015. - 222 с.
16. Петров А.А. Компьютерная безопасность. Криптографические методы защиты / А.А. Петров. - Саратов: Профобразование, 2017. - 446 с.
17. Петров С.В. Кисляков П.А. Информационная безопасность:
Учебное пособие / С.В. Петров, П.А. Кисляков. - Саратов: Ай Пи Ар Букс,
2015. - 326 с.
18. Прокушев Я.Е. Программно-аппаратные средства защиты информации: учебное пособие/ Я.Е. Прокушев. - СПб.: Интермедия, 2017. - 160 с.
19. Прохорова О.В. Информационная безопасность и защита информации: учебник / О.В. Прохорова. - Самара: СГАСУ, 2014. - 114 с.
20. Седышев В.В. Информационные технологии в профессиональной деятельности: учебное пособие. - М.: ФГБОУ «Учебно-методический центр по образованию на железнодорожном транспорте», 2013. - 262с.
21. Селин В.Р. Анализ программного обеспечения / В.Р. Селин. - М.: Наука, 2014. - 231 с.
22. Соколов В.П., Тарасова Н.П. Кодирование в системах защиты информации: Учебное пособие / В.П. Соколов, Н.П. Тарасова. - М.: МТУСИ,
2016. - 95 с.
23. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;
24. Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014);
25. Шаджиева О.В. Курс общей информатики и информационной безопасности / О.В. Шаджиева. - М.: Наука, 2014. - 324 с.
26. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 544 с.
27. Шаньгин В. Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 с.
28. Шубович В.Г. Разработка моделей криптографической защиты информации. Монография / В.Г. Шубович, В.В. Капитанчук, Н.С. Знаенко, Ю.И. Титаренко. - Ульяновск: УлГПУ, 2013. - 127 с.