Помощь студентам в учебе
Типовая система защиты сайта органа государственного управления
|
АННОТАЦИЯ 3
ВВЕДЕНИЕ 8
1. АНАЛИТИЧЕСКАЯ ЧАСТЬ 10
1.1. Общая характеристика и организационно-штатная структура 10
1.2. Структура защищаемой информации 11
1.3. Контролируемая зона МВД и защищаемое помещение 12
1.4. Информационная система персональных данных МВД 13
1.4.1. Правовое обеспечение 13
1.4.2. Организационное обеспечение 14
1.4.3. Аппаратное обеспечение 15
1.4.4. Кадровое обеспечение 15
1.4.5. Ввод информации на сайт 15
1.4.6 Вывод информации из базы данных сайта 16
1.5. Основные понятия, действующие меры защиты, возможные уязвимости
1.6. Модель угроз информационной безопасности ПД и информации ДСП
1.7. Выявление объектов защиты сайта 19
1.8. Типовые нарушения состояния защиты информации на объектах информатизации МВД
1.8.1. Модель нарушителя 22
1.8.2. Модель защиты 23
1.9. Выводы по разделу 23
2. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ 24
2.1. Нормативно-правовая база по средствам защиты информации 24
2.2. Средства защиты информации от несанкционированного доступа... 31
2.2.1. Электронный замок «Соболь» 31
2.2.2. VipNet 4.3 33
2.2.3. Kaspersky Endpoint Security 34
2.3. Выводы по разделу два 35
3. ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ САЙТА ОРГАНА
ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ 36
3.1. Основание проекта 36
3.2. Критерии выбора средств защиты информации 36
3.3. Выбор и внедрение средств защиты информации 36
3.4. Дополнительные меры защиты сайта и информации, находящейся
на нём 37
3.5. Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы 39
3.5.1. Первый класс защищённости 39
3.5.2. Второй класс защищённости 40
3.5.3. Третий класс защищённости 40
3.6. Техническое задание и проект приказа 43
3.7. Частная модель угроз 43
3.8. Вывод по третьей главе 44
4. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ 45
4.1. Общие требования к организации рабочих мест пользователей 45
4.2. Требования к помещениям для размещения рабочего места 46
4.3. Требования к уровням шума на рабочих местах 47
4.4. Требования к освещению на рабочих местах 47
4.5. Требования к микроклимату 48
4.6. Требования к электробезопасности 49
4.7. Пожарная безопасность 49
4.8. Сравнение параметров рабочего места с допустимыми нормами 55
ЗАКЛЮЧЕНИЕ 57
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 58
ПРИЛОЖЕНИЕ А 61
ПРИЛОЖЕНИЕ Б 62
ПРИЛОЖЕНИЕ В 63
ПРИЛОЖЕНИЕ Г 65
ПРИЛОЖЕНИЕ Д 70
ВВЕДЕНИЕ 8
1. АНАЛИТИЧЕСКАЯ ЧАСТЬ 10
1.1. Общая характеристика и организационно-штатная структура 10
1.2. Структура защищаемой информации 11
1.3. Контролируемая зона МВД и защищаемое помещение 12
1.4. Информационная система персональных данных МВД 13
1.4.1. Правовое обеспечение 13
1.4.2. Организационное обеспечение 14
1.4.3. Аппаратное обеспечение 15
1.4.4. Кадровое обеспечение 15
1.4.5. Ввод информации на сайт 15
1.4.6 Вывод информации из базы данных сайта 16
1.5. Основные понятия, действующие меры защиты, возможные уязвимости
1.6. Модель угроз информационной безопасности ПД и информации ДСП
1.7. Выявление объектов защиты сайта 19
1.8. Типовые нарушения состояния защиты информации на объектах информатизации МВД
1.8.1. Модель нарушителя 22
1.8.2. Модель защиты 23
1.9. Выводы по разделу 23
2. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ 24
2.1. Нормативно-правовая база по средствам защиты информации 24
2.2. Средства защиты информации от несанкционированного доступа... 31
2.2.1. Электронный замок «Соболь» 31
2.2.2. VipNet 4.3 33
2.2.3. Kaspersky Endpoint Security 34
2.3. Выводы по разделу два 35
3. ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ САЙТА ОРГАНА
ГОСУДАРСТВЕННОГО УПРАВЛЕНИЯ 36
3.1. Основание проекта 36
3.2. Критерии выбора средств защиты информации 36
3.3. Выбор и внедрение средств защиты информации 36
3.4. Дополнительные меры защиты сайта и информации, находящейся
на нём 37
3.5. Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы 39
3.5.1. Первый класс защищённости 39
3.5.2. Второй класс защищённости 40
3.5.3. Третий класс защищённости 40
3.6. Техническое задание и проект приказа 43
3.7. Частная модель угроз 43
3.8. Вывод по третьей главе 44
4. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ 45
4.1. Общие требования к организации рабочих мест пользователей 45
4.2. Требования к помещениям для размещения рабочего места 46
4.3. Требования к уровням шума на рабочих местах 47
4.4. Требования к освещению на рабочих местах 47
4.5. Требования к микроклимату 48
4.6. Требования к электробезопасности 49
4.7. Пожарная безопасность 49
4.8. Сравнение параметров рабочего места с допустимыми нормами 55
ЗАКЛЮЧЕНИЕ 57
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 58
ПРИЛОЖЕНИЕ А 61
ПРИЛОЖЕНИЕ Б 62
ПРИЛОЖЕНИЕ В 63
ПРИЛОЖЕНИЕ Г 65
ПРИЛОЖЕНИЕ Д 70
В 2018 году ни для кого не секрет, что взаимодействие с государством активно переходит в интернет. Это упрощает и ускоряет многие процессы, дает более широкие возможности, но, в свою очередь, создает определенные проблемы, так как большинство государственных информационных систем обрабатывает персональные данные, а также хранит разного рода важную информацию, представляющую ценность. Уничтожение, кража, искажение такой информации может причинить серьезный вред не только самой системе, но и повлечь цепь событий, нарушающих работу других взаимодействующих систем.
В России функционирует порядка 100 государственных информационных систем. ГИС подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за нарушение которых применяются санкции — от штрафа до более серьезных мер. Поэтому обеспечение безопасности в ГИС на высшем уровне является необходимым условием нормального существования системы.
Защита государственных информационных систем - одна из приоритетных задач на сегодняшний день для служб информационной безопасности. Нельзя забывать про все большую зависимость граждан России от информационных технологий, небезопасное внедрение или управление которыми может повлечь за собой тяжелые последствия. Все это заставляет нас уделять больше внимания защите информации, обрабатываемой в государственных и муниципальных информационных системах.
Комплексная система защиты информации необходима для поддержания требуемого уровня информационной безопасности и существенного снижения вероятности компрометации конфиденциальной информации.
В настоящее время тема проектирования комплексной системы защиты информации (КСЗИ) предприятия широко обсуждается. Рассмотрим факторы, влияющие на выбор оптимальных средств защиты информации, необходимых для проектирования КСЗИ.
На основе проанализированных работ можно сделать вывод, что ключевым этапом при проектировании КСЗИ и выборе средств защиты информации является анализ уязвимостей. Данная проблема является актуальной на сегодняшний день.
Также предложим формальную методику оценки уязвимостей информационных активов предприятия. Она основана на вероятностном подходе и учитывает следующие факторы:
1. Потенциал возможного нарушителя. Определяется на основе экспертных оценок и имеет три вербальных интерпретации: низкий, средний, высокий.
2. Источник воздействия. Нарушитель может производить атаку из-за пределов контролируемой зоны, или непосредственно находясь на объекте.
3. Канал воздействия. Атака может производиться по сетевому, техническому или социальному каналу.
Объект воздействия. Объектом воздействия может быть сама конфиденциальная информация, средства её обработки или же сотрудники организации.
Предложенная в данной работе методика позволяет численно оценить опасность и уязвимости, основываясь на полученных результатах, принять соответствующие меры.
Для построения полноценной защиты для информационной инфраструктуры организации (ИИО) необходимо иметь полное представление обо всех реальных и потенциальных угрозах, которые могут иметь место в системе.
В настоящее время критически важным государственным ресурсом, обеспечивающим национальную и государственную безопасность, становится информация, находящаяся и циркулирующая в компьютерных системах Министерства внутренних дел (далее - МВД).
Объект исследования: деятельность ГУ МВД России по Челябинской области.
В связи с описанным выше, была поставлена цель: оптимизировать алгоритм выбора средств защиты информации ГУ МВД России по Челябинской области.
Для достижения поставленной цели необходимо решить следующие задачи:
- проанализировать существующие алгоритмы выбора СЗИ;
- систематизировать все требования к СЗИ по нормативно-правовой базе;
- скомпилировать необходимые алгоритмы выбора.
Теоретической основой исследования стали труды И.Р. Бегишева, Е.Н. Донской, Ю.В. Панько, Т.А. Поляковой, А.А. Стрельцова, В.Ф. Шаньгина, Н.О. Якубенко и других.
Методологической основой выпускной квалификационной работы послужили методы: анализ литературы, нормативно-правовой документации по теме работы, изучение и обобщение отечественной и зарубежной практики, графоаналитический метод.
Теоретическое значение исследования заключается в изучении теоретических основ обеспечения информационной безопасности в органах государственной власти.
Практическое значение исследования состоит в разработке мероприятий по обеспечению информационной безопасности в ГУ МВД России по Челябинской области.
В России функционирует порядка 100 государственных информационных систем. ГИС подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за нарушение которых применяются санкции — от штрафа до более серьезных мер. Поэтому обеспечение безопасности в ГИС на высшем уровне является необходимым условием нормального существования системы.
Защита государственных информационных систем - одна из приоритетных задач на сегодняшний день для служб информационной безопасности. Нельзя забывать про все большую зависимость граждан России от информационных технологий, небезопасное внедрение или управление которыми может повлечь за собой тяжелые последствия. Все это заставляет нас уделять больше внимания защите информации, обрабатываемой в государственных и муниципальных информационных системах.
Комплексная система защиты информации необходима для поддержания требуемого уровня информационной безопасности и существенного снижения вероятности компрометации конфиденциальной информации.
В настоящее время тема проектирования комплексной системы защиты информации (КСЗИ) предприятия широко обсуждается. Рассмотрим факторы, влияющие на выбор оптимальных средств защиты информации, необходимых для проектирования КСЗИ.
На основе проанализированных работ можно сделать вывод, что ключевым этапом при проектировании КСЗИ и выборе средств защиты информации является анализ уязвимостей. Данная проблема является актуальной на сегодняшний день.
Также предложим формальную методику оценки уязвимостей информационных активов предприятия. Она основана на вероятностном подходе и учитывает следующие факторы:
1. Потенциал возможного нарушителя. Определяется на основе экспертных оценок и имеет три вербальных интерпретации: низкий, средний, высокий.
2. Источник воздействия. Нарушитель может производить атаку из-за пределов контролируемой зоны, или непосредственно находясь на объекте.
3. Канал воздействия. Атака может производиться по сетевому, техническому или социальному каналу.
Объект воздействия. Объектом воздействия может быть сама конфиденциальная информация, средства её обработки или же сотрудники организации.
Предложенная в данной работе методика позволяет численно оценить опасность и уязвимости, основываясь на полученных результатах, принять соответствующие меры.
Для построения полноценной защиты для информационной инфраструктуры организации (ИИО) необходимо иметь полное представление обо всех реальных и потенциальных угрозах, которые могут иметь место в системе.
В настоящее время критически важным государственным ресурсом, обеспечивающим национальную и государственную безопасность, становится информация, находящаяся и циркулирующая в компьютерных системах Министерства внутренних дел (далее - МВД).
Объект исследования: деятельность ГУ МВД России по Челябинской области.
В связи с описанным выше, была поставлена цель: оптимизировать алгоритм выбора средств защиты информации ГУ МВД России по Челябинской области.
Для достижения поставленной цели необходимо решить следующие задачи:
- проанализировать существующие алгоритмы выбора СЗИ;
- систематизировать все требования к СЗИ по нормативно-правовой базе;
- скомпилировать необходимые алгоритмы выбора.
Теоретической основой исследования стали труды И.Р. Бегишева, Е.Н. Донской, Ю.В. Панько, Т.А. Поляковой, А.А. Стрельцова, В.Ф. Шаньгина, Н.О. Якубенко и других.
Методологической основой выпускной квалификационной работы послужили методы: анализ литературы, нормативно-правовой документации по теме работы, изучение и обобщение отечественной и зарубежной практики, графоаналитический метод.
Теоретическое значение исследования заключается в изучении теоретических основ обеспечения информационной безопасности в органах государственной власти.
Практическое значение исследования состоит в разработке мероприятий по обеспечению информационной безопасности в ГУ МВД России по Челябинской области.
С развитием информационных технологий органы государственной власти все больше вовлекаются в процесс информатизации, что в свою очередь влечет за собой увеличение рисков в информационной безопасности. Развиваются как методы борьбы с кибернетическими угрозами, так и программно-технические средства противодействия. Активно внедряются программные решения, основанные на свободном программном обеспечении.
Внедрение комплексных систем многоуровневой защиты в органах власти в России, является приоритетной задачей по обеспечению информационной безопасности.
Поэтому необходимо постоянно улучшать систему защиты компьютеров, серверов, каналов передачи данных, проводить тренинги с сотрудниками.
Только комплексная защита информации даёт высокий уровень защиты данных.
Внедрение комплексных систем многоуровневой защиты в органах власти в России, является приоритетной задачей по обеспечению информационной безопасности.
Поэтому необходимо постоянно улучшать систему защиты компьютеров, серверов, каналов передачи данных, проводить тренинги с сотрудниками.
Только комплексная защита информации даёт высокий уровень защиты данных.
