Информационная безопасность в ГУП ОЦ "Московский дом книги"

Рассмотрение аппаратно-программной, инженерно-технической и нормативно-правовой базы по организации защиты информации на предприятии. Анализ системы обеспечения информационной безопасности на ГУП ОЦ "Московский дом книги", выявление проблем в защите.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 02.11.2011
Размер файла 2,1 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Дипломная работа

на тему: "Информационная безопасность в ГУП ОЦ "Московский дом книги""

Оглавление

  • Введение
  • 1. Аналитическая часть
    • 1.1 Технико-экономическая характеристика предметной области и предприятия. Анализ деятельности "КАК ЕСТЬ"
      • 1.1.1 Характеристика предприятия и его деятельности
      • 1.1.2 Организационная структура управления предприятием
      • 1.1.3 Программная и техническая архитектура ИС предприятия
    • 1.2 Характеристика комплекса задач, задачи и обоснование необходимости автоматизации
      • 1.2.1 Выбор комплекса задач автоматизации и характеристика существующих бизнес-процессов
      • 1.2.2 Определение места проектируемой задачи в комплексе задач
      • 1.2.3 Обоснования необходимости использования вычислительной техники для решения задачи
      • 1.2.4 Анализ системы обеспечения информационной безопасности и защиты информации
    • 1.3 Анализ существующих разработок и выбор стратегии автоматизации "КАК ДОЛЖНО БЫТЬ"
      • 1.3.1 Анализ существующих разработок для автоматизации задачи
      • 1.3.2 Выбор и обоснование стратегии автоматизации задачи
      • 1.3.3 Обоснование предлагаемых средств автоматизации системы обеспечения информационной безопасности и защиты информации предприятия
  • 2. Разработка проекта системы обеспечения информационной безопасности и защиты информации предприятия
    • 2.1 Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности и защиты информации предприятия
      • 2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия
      • 2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия
      • 2.1.3 Обоснование выбранной политики информационной безопасности предприятия
    • 2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия
      • 2.2.1 Общие положения
      • 2.2.2 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия
      • 2.2.3 Контрольный пример реализации проекта и его описание
    • 2.3 Комплекс проектируемых инженерно-технических средств обеспечения информационной безопасности и защиты информации предприятия
      • 2.3.1 Общие положения
      • 2.3.2 Структура инженерно-технического комплекса информационной безопасности и защиты информации предприятия
      • 2.3.3 Контрольный пример реализации проекта и его описание
  • 3. Обоснование экономической эффективности проекта
    • 3.1 Выбор и обоснование методики расчёта экономической эффективности
    • 3.2 Расчёт показателей экономической эффективности проекта
  • Заключение
  • Список нормативных актов и литературы
  • Приложение 1

Введение

Государственное унитарное предприятие города Москвы "Объединенный центр "Московский Дом Книги" создано в 1998 году Постановлением Правительства города Москвы и является на данный момент одним из крупнейших книготорговых предприятий.

Дипломный проект был разработан по месту прохождения преддипломной практики. Практика в книжной компании "ГУП ОЦ Московский дом книги" проходилась в роли системного администратора. В ходе прохождения практики были выявлены недостатки безопасности информационных систем организации и предложены меры по их устранению.

Теоретической и методологической основой проведенного исследования послужили труды отечественных и зарубежных ученых в области безопасности информационных систем. В работе использованы законодательные акты и нормативные документы Российской Федерации, периодические издания, учетные и отчетные данные организации. При разработке и решении поставленных задач применялись методы наблюдения, группировки, сравнения, обобщения, абстрактно-логические суждения и др.

Актуальность работы. Обеспечение информационной безопасности является сегодня одним из основных требований к информационным системам. Причина этого - неразрывная связь информационных технологий и основных бизнес-процессов в любых организациях, будь то государственные службы, промышленные предприятия, финансовые структуры, операторы телекоммуникаций.

Обеспечение внутренней информационной безопасности является не только российской, но и мировой проблемой. Если в первые годы внедрения корпоративных локальных сетей головной болью компаний был несанкционированный доступ к коммерческой информации путем внешнего взлома (хакерской атаки), то сегодня с этим научились справляться. В IT-отделе любой уважающей себя компании, как правило, имеется обширный инструментарий антивирусов, ограждающих программ (файрволов) и других средств борьбы с внешними атаками. Причем российские достижения в деле обеспечения внешней безопасности весьма велики - отечественные антивирусы считаются одними из лучших в мире.

С точки зрения информационной безопасности многие компании сегодня напоминают крепости, окруженные несколькими периметрами мощных стен. Однако практика показывает, что информация все равно утекает. Отсюда вытекает необходимость разработки эффективной и экономически выгодной системы безопасности информационных систем предприятия.

Целью дипломного проекта является совершенствование системы защиты информации в "ГУП ОЦ Московский дом книги". Объектом дипломного проектирования является - технология обеспечения информационной безопасности, а предметом дипломного проектирования - информационная безопасность предприятия.

В соответствии с целью были поставлены основные задачи дипломной работы:

1. Рассмотреть аппаратно-программную, инженерно-техническую и нормативно-правовую базу организации защиты информации на предприятии.

2. Проанализировать систему обеспечения информационной безопасности защиты информации на "ГУП ОЦ Московский дом книги".

3. Исследовать актуальные проблемы защиты информации для "ГУП ОЦ Московский дом книги".

4. Разработать и внедрить комплекс практических предложений и мероприятий по обеспечению информационной безопасности и защите информации на предприятии "ГУП ОЦ Московский дом книги".

1. Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия. Анализ деятельности "КАК ЕСТЬ"

1.1.1 Характеристика предприятия и его деятельности

Государственное унитарное предприятие города Москвы "Объединенный центр "Московский Дом Книги" создано в 1998 году Постановлением Правительства города Москвы.

Основная цель функционирования предприятия - продажа книжной продукции в городе Москва.

"Московский Дом Книги" объединяет:

- МДК на Новом Арбате;

- 6 специализированных магазинов;

- 35 универсальных магазинов;

- 1 интернет-магазин.

Исследование РосБизнесКонсалтинга "Рынок книг и розничные сети по продаже книжной продукции в России в 2010 году" показало, что в настоящее время издательский бизнес в России находится под влиянием 2 основных факторов:

- инерционное влияние последствий финансово-экономического кризиса;

- снижение читательской активности российского населения.

Отечественный рынок книжной продукции показал относительную устойчивость во время кризиса, во многом благодаря высоким достижениям книгопечатной отрасли в докризисный период. Поэтому снижение объемов печатного производства оказалось не столь значительным по сравнению с другими промышленными отраслями. Больше всего последствия финансово-экономического кризиса отразились на динамике объема продаж книжной продукции, которые снизились на 20%. Кризис неблагоприятно отразился на книжной рознице, произошло сокращение числа книготорговых магазинов. Наиболее устойчивым оказался книжный рынок Москвы (+1%). В регионах в денежном выражении наибольшее падение рынка наблюдалось в Приволжском (16%) и Сибирском федеральном округе (15%). В натуральном выражении рынок упал сильнее всего в Сибирском (28%) и Дальневосточном федеральном округе (27%).

В Москве действует несколько крупных книготорговых сетей.

Крупнейшей книготорговой системой города остается сеть "ГУП ОЦ "Московский Дом Книги". Она превосходит другие сети и по количеству магазинов, и по средней торговой площади магазина, и по доле крупных магазинов в общем количестве, и по сроку работы на рынке, а по объему товарооборота намного опережает все остальные сети, вместе взятые. В то же время, судя по полученной информации, в сети МДК работает в среднем гораздо большее количество сотрудников на магазин, чем в других сетях.

"Московский Дом Книги" представляет:

- 210 тысяч наименований книг

- 50 тысяч наименований канцелярской продукции

- 70 тыс. посетителей ежедневно

- 2 миллиарда рублей годовой розничный товарооборот

- более 25 млн. книг - суммарный объем продаж в год

- 7 млн. единиц канцелярских товаров.

Таблица 1.1. Основные технико-экономические показатели деятельности "ГУП ОЦ "Московский Дом Книги"

Показатели, единицы измерения

Значение показателей

2007г

2008г.

2009г.

Абсолютная величина

Абсолютная величина

Темп роста к предыдущему году, %

Абсолютная величина

Темп роста к предыдущему году, %

Уставный капитал, тыс.руб.

30000

30000

-

30000

-

Выручка без НДС, тыс.руб.,

278000

364000

30,9

420000

15,4

Среднегодовая стоимость основных средств, тыс. руб.

112000

120000

4,3

130000

8,3

Выручка от внешнеэкономической деятельности, тыс.руб.

-

-

-

-

-

Себестоимость продукции (работ, услуг), тыс.руб.

126000

184000

46,1

205600

11,7

Прибыль до налогообложения, тыс.руб.

97000

109800

13,2

129100

17,6

Чистая прибыль, тыс.руб.

58810

71800

22,1

77500

7,9

Оборотные активы, тыс.руб.

51200

64700

26,4

85600

32,3

Среднесписочная численность работающих, чел.

340

360

5,8

380

5,5

Среднемесячная заработная плата, руб./мес.

125400

138500

10,4

158900

14,7

Среднемесячная выработка на одного работающего, тыс. руб.

68,14

84,26

31,4

92,11

9,3

Коэффициент опережения темпов роста производительности труда над заработной платой

-

1,19

-

0,95

-

Таким образом, можно сделать выводы: уставный капитал предприятия в анализируемом периоде не изменился. Далее положительные тенденции можно отметить в выручке, которая в 2009 году выросла на 30,9 %, в 2010 году на 15,4 %. В связи с этим и увеличивается себестоимость в 2008 году на 46,1 %, в 2009 году на 11,7 %. Так же важно отметить, что чистая прибыль увеличилась в 2009 году на 22,1%, однако в 2010 году всего лишь на 7,9 %.

На предприятии не смотря на увеличения численности персонала, происходит рост среднемесячной производительности труда, в 2009 г. она возросла на 31,4 %, а в 2010 г. на 9,3 %. При этом коэффициент опережения темпов роста производительности труда над заработной платой в 2009 г. был больше единицы, что свидетельствует о более высоких темпах роста производительности труда, чем повышения оплаты труда. В тоже время в 2010 г. коэффициент опережения был меньше единицы, что является отрицательной динамикой.

1.1.2 Организационная структура управления предприятием

"Московский Дом Книги" по организационно-правовой структуре является государственным унитарным предприятием. Унитарное предприятие в России - коммерческая организация, не наделённая правом собственности на закреплённое за ней собственником имущество. Такие предприятия именуются унитарными, поскольку их имущество является неделимым и не может быть распределено по вкладам, паям, долям, акциям. В такой форме могут быть созданы только государственные и муниципальные предприятия. Имущество (соответственно государственное или муниципальное) принадлежит унитарному предприятию на праве хозяйственного ведения.

Учредительным документом унитарного предприятия является устав.

Вице-президенты, ответственные за конкретные товары, магазины и административные задачи, подчиняются председателю правления и президенту фирмы.

Большинство менеджеров и работников подразделений работают в магазинах, разбросанных по всему географическому региону, в котором могут быть один-два распределительных центра. Руководители высшего звена (старшие менеджеры) и работники товарного отдела, отдела кадров и маркетинга работают в штаб-квартире фирмы. За финансово-хозяйственную деятельность отвечает бухгалтерия, руководителем которой является главный бухгалтер.

За рекламную деятельность предприятия отвечает менеджер по рекламе.

Организационная структура предприятия представлена на рисунке 1.1. Данная схема показывает, что предприятие "ГУП ОЦ "Московский Дом Книги" имеет линейно-функциональную организационную структуру.

Линейно-функциональная (штабная) структура - синтез линейного и функционального управления. Здесь функциональные звенья теряют право принятия решения и непосредственного руководства нижестоящими подразделениями. Они принимают участие в постановке задач, подготовке решений, помогают линейному руководителю в реализации отдельных функций управления. Руководители функциональных служб через вышестоящего линейного руководителя взаимодействуют с основными управленческими звеньями.

Линейный принцип организации предприятия "ГУП ОЦ "Московский Дом Книги" заключается и реализуется в линейных связях председателя правления с руководителями отделами и лицами, входящими в управленческий аппарат.

Функциональный принцип осуществляется на основе функциональных связей, где руководители функциональных подразделений распоряжаются подразделениями по вопросам, входящих в сферу их компетенции.

Данная организационная структура имеет ряд недостатков:

- частая несогласованность между различными подразделениями;

- различная степень ответственности между подразделениями, что обычно усложняет принятие оптимальных решений.

Но наряду с недостатками данная линейно-функциональная структура имеет и ряд достоинств:

- исключение дублированности в функциональных подразделениях;

- четкая координированность действий.

Данная организационная структура наиболее эффективна на сегодняшний день для предприятия.

Рис. 1.1. Организационная структура управления "ГУП ОЦ "Московский Дом Книги"

1.1.3 Программная и техническая архитектура ИС предприятия

Рис. 1.2. Программная архитектура "ГУП ОЦ "Московский Дом Книги"

На схеме отображена серверная ОС, в рамках которой функционирует два прикладных программных средства - веб-сервер Apache и СУБД MySQL.

Рис. 1.3. Техническая архитектура ИС "ГУП ОЦ "Московский Дом Книги"

Персональные компьютеры "ГУП ОЦ "Московский Дом Книги" имеют следующую конфигурацию системы:

- центральный процессор: Intel(R)Core(TM) 2Duo CPU E7500 2,93GHz;

- оперативная память: 3,00 ГБ;

- видеокарта: Radeon X1600 Series Secondary.

1.2 Характеристика комплекса задач, задачи и обоснование необходимости автоматизации

1.2.1 Выбор комплекса задач автоматизации и характеристика существующих бизнес-процессов

Проблема безопасности информационных систем на "ГУП ОЦ "Московский Дом Книги" имеет немаловажное значение, так как рассматриваемая организация осуществляет продажу книжной продукции не только в специально оборудованных магазинах, но и через интернет.

В качестве объектов уязвимости рассматриваются:

- динамический вычислительный процесс обработки данных, автоматизированной подготовки решений и выработки управляющих воздействий;

- информация, накопленная в базах данных;

- объектный код программ, исполняемых вычислительными средствами в процессе функционирования ИС;

- информация, выдаваемая потребителям и на исполнительные механизмы.

Рис. 1.4. Бизнес-процессы и функции "ГУП ОЦ "Московский Дом Книги"

Все бизнес-процессы организации классифицируются на основные, обеспечивающие, развития, управления.

Основные бизнес-процессы - непосредственно ориентированы на производство продукции, представляющие ценность для клиента и обеспечивающие получение дохода для предприятия.

Обеспечивающие бизнес-процессы - вспомогательные бизнес-процессы, которые предназначены для обеспечения выполнения основных процессов. Фактически обеспечивающие бизнес-процессы снабжают ресурсами всю деятельность организации.

Бизнес-процессы управления - это бизнес-процессы, охватывающие весь комплекс функций управления на уровне текущих действий и бизнес-системы в целом.

Бизнес-процессы развития - процессы совершенствования, освоения новых направлений и технологий, а также инновации.

1.2.2 Определение места проектируемой задачи в комплексе задач

"Московский дом книги" является государственным предприятием и у него по большей части имеются в использовании программы разработанные сотрудниками компании. Т.е., кроме стандартной 1С, есть несколько программ складского учета и аналита.

В ходе прохождения практики были выявлены внутренние и внешние источники угроз безопасности информационных систем. Внутренними источниками угроз безопасности функционирования ИС являются:

- системные ошибки при постановке целей и задач проектирования ИС, формулировке требований к функциям и характеристикам решения задач, определении условий и параметров внешней среды, в которой предстоит применять ИС;

- алгоритмические ошибки проектирования при непосредственной алгоритмизации функций программных средств и баз данных, при определении структуры и взаимодействия компонент комплексов программ, а также при использовании информации баз данных;

- ошибки программирования в текстах программ и описаниях данных, а также в исходной и результирующей документации на компоненты ИС;

- недостаточная эффективность используемых методов и средств оперативной защиты программ и данных и обеспечения безопасности функционирования ИС в условиях случайных негативных воздействий.

Внешними дестабилизирующими факторами, создающими угрозы безопасности функционирования перечисленных объектов уязвимости ИС, являются:

- ошибки оперативного и обслуживающего персонала в процессе эксплуатации ИС;

- искажения в каналах телекоммуникации информации, поступающей от внешних источников и передаваемой потребителям, а также недопустимые изменения характеристик потоков информации;

- сбои и отказы аппаратуры;

- изменения состава и конфигурации ИС за пределы, проверенные при испытаниях или сертификации.

Все представленные трудности оказывают негативное влияние на общую работу "ГУП ОЦ "Московский Дом Книги", выявляются во время проведения внутреннего контроля и анализа бизнес-процессов, берут свое начало при регистрации, обработке и мониторинге заявок от клиентов и партнеров.

Полное устранение перечисленных угроз принципиально невозможно. Задача состоит в выявлении факторов, от которых они зависят, в создании методов и средств уменьшения их влияния на безопасность ИС, а также в эффективном распределении ресурсов для обеспечения защиты, равнопрочной по отношению ко всем негативным воздействиям.

1.2.3 Обоснования необходимости использования вычислительной техники для решения задачи

Основным документом в рассматриваемой задаче является заявка клиента. Схема документооборота заявки приведена на рис. 1.5.

Рис. 1.5. Схема документооборота в "ГУП ОЦ "Московский Дом Книги"

Проведем анализ временных характеристик описанных процессов (таблица 1.2).

Таблица 1.2. Характеристика процессов документооборота

Действие

Среднее количество за рабочий день

Время, необходимое для выполнении одного действия, минут

Общее время, минут

Регистрация заявки

16

10

160

Поиск необходимой информации

7

20

140

Анализ информации за период

1

40

40

ИТОГО, минут:

340

Расчет времени произведен с учетом периодического возникновения проблем в безопасности информационных систем. Таким образом, каждый сотрудник компании, работающий с информационными системами, тратит в среднем 6 часов в день из общего объема рабочего времени на обработку заявок клиентов и партнеров. Лишь 25 % времени остается сотруднику на выполнение остальных обязанностей, что крайне не эффективно.

Для существующей на "ГУП ОЦ "Московский Дом Книги" безопасности информационных систем характерны следующие основные недостатки:

- неэффективное использование рабочего времени;

- невысокая скорость и точность обработки заявок;

- простои оборудования;

- невозможность обработки большого количества информации;

- несовершенство процессов сбора, передачи, обработки, хранения, защиты целостности и секретности информации и процессов выдачи результатов расчетов конечному пользователю;

- частые обрывы связи;

- незащищенность от спама в рабочей почте.

Устранение проблем безопасности информационных систем позволит повысить эффективность работы каждого сотрудника "ГУП ОЦ "Московский Дом Книги" на 60 %.

1.2.4 Анализ системы обеспечения информационной безопасности и защиты информации

Процесс глобализации информационно-телекоммуникационных комплексов, внедрение на "ГУП ОЦ "Московский Дом Книги" информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства, существенно обострили проблему зависимости качества процессов транспортирования информации, от возможных преднамеренных и непреднамеренных воздействий нарушителя на передаваемые данные пользователя, информацию управления и аппаратно-программные средства, обеспечивающие эти процессы.

Увеличение объемов хранимой и передаваемой информации приводят к наращиванию потенциальных возможностей нарушителя по несанкционированному доступу к информационной сфере "ГУП ОЦ "Московский Дом Книги" и воздействию на процессы ее функционирования.

Усложнение применяемых технологий и процессов функционирования "ГУП ОЦ "Московский Дом Книги" приводит к тому, что аппаратно-программные средства, используемые в "ГУП ОЦ "Московский Дом Книги", объективно могут содержать ряд ошибок и недекларированных возможностей, которые могут быть использованы нарушителями.

Отсутствие в "ГУП ОЦ "Московский Дом Книги" необходимых средств защиты в условиях информационного противоборства делает компанию в целом уязвимой от возможных враждебных акций, недобросовестной конкуренции, а также криминальных и иных противоправных действий. Организационную структуру системы обеспечения информационной безопасности "ГУП ОЦ "Московский Дом Книги" можно представить в виде, совокупности следующих уровней:

- уровень 1 - Руководство организации;

- уровень 2 - Подразделение ОИБ;

- уровень 3 - Администраторы штатных и дополнительных средств защиты;

- уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках);

- уровень 5 - Конечные пользователи и обслуживающий персонал.

При разработке программного обеспечения в "ГУП ОЦ "Московский Дом Книги" следуют основным стандартам, регламентирующим:

- показатели качества программных средств;

- жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;

- тестирование программных средств для обнаружения и устранения дефектов программ и данных;

- испытания и сертификацию программ для удостоверения достигнутого качества и безопасности их функционирования.

Таблица 1.3. Международные стандарты, направленные на обеспечение технологической безопасности

ISO 09126:1991. ИТ.

Оценка программного продукта. Характеристики качества и руководство по их применению.

ISO 09000-3:1991.

Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие указания по применению ISO 09001 при разработке, поставке и обслуживании программного обеспечения.

ISO 12207:1995.

Процессы жизненного цикла программных средств.

ANSI/IEEE 829 - 1983.

Документация при тестировании программ.

ANSI/IEEE 1008 - 1986.

Тестирование программных модулей и компонент ПС.

ANSI/IEEE 1012 - 1986.

Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств.

Для защиты информации от внешних угроз в "ГУП ОЦ "Московский Дом Книги" используется межсетевой экран - программный или аппаратный маршрутизатор, совмещённый с firewall. Эта система позволяет осуществлять фильтрацию пакетов данных.

В компании также имеются нормативно-правовые и организационно-распорядительные документы такие как:

1. Регламент информационной безопасности:

· доступ сотрудников к служебной информации, составляющей коммерческую тайну;

· доступ к использованию программного обеспечения, сконфигурированного персонального под "ГУП ОЦ "Московский Дом Книги".

2. Регламенты использования сети Internet, электронной почты "ГУП ОЦ "Московский Дом Книги".

1.3 Анализ существующих разработок и выбор стратегии автоматизации "КАК ДОЛЖНО БЫТЬ"

1.3.1 Анализ существующих разработок для автоматизации задачи

В литературе предлагается следующая классификация средств защиты информации:

1. Средства защиты от несанкционированного доступа (НСД):

· средства авторизации;

· мандатное управление доступом;

· избирательное управление доступом;

· управление доступом на основе ролей;

· журналирование (так же называется Аудит).

2. Системы анализа и моделирования информационных потоков (CASE-системы).

3. Системы мониторинга сетей:

· системы обнаружения и предотвращения вторжений (IDS/IPS).

· системы предотвращения утечек конфиденциальной информации (DLP-системы).

4. Анализаторы протоколов.

5. Антивирусные средства.

6. Межсетевые экраны.

7. Криптографические средства:

· шифрование;

· цифровая подпись.

8. Системы резервного копирования.

9. Системы бесперебойного питания:

· источники бесперебойного питания;

· резервирование нагрузки;

· генераторы напряжения.

10. Системы аутентификации:

· пароль;

· ключ доступа (физический или электронный);

· сертификат;

· биометрия.

11. Средства предотвращения взлома корпусов и краж оборудования.

12. Средства контроля доступа в помещения.

13. Инструментальные средства анализа систем защиты:

· мониторинговый программный продукт.

Для автоматизации задачи обеспечения безопасности информационных систем предполагается внедрение в систему защиты информации компании криптографических систем. Криптографические методы являются наиболее эффективными средствами защиты информации в автоматизированных системах. А при передаче информации по протяженным линиям связи они являются единственным реальным средством предотвращения несанкционированного доступа. Рассмотрим существующие криптографические методы.

Метод шифрования с использованием датчика псевдослучайных чисел наиболее часто используется в программной реализации системы криптографической защиты данных. Это объясняется тем, что, он достаточно прост для программирования и позволяет создавать алгоритмы с очень высокой криптостойкостью. Кроме того, эффективность данного метода шифрования достаточно высока. Системы, основанные на этом методе, позволяют зашифровать в секунду от нескольких десятков до сотен Кбайт данных.

Основным преимуществом метода DES является то, что он - стандартный. Важной характеристикой этого алгоритма является его гибкость при реализации и использовании в различных приложениях обработки данных. Каждый блок данных шифруется независимо от других, поэтому можно осуществлять независимую передачу блоков данных и произвольный доступ к зашифрованным данным. Ни временная, ни позиционная синхронизация для операций шифрования не нужна.

Алгоритм вырабатывает зашифрованные данные, в которых каждый бит является функцией от всех битов открытых данных и всех битов ключей. Различие лишь в одном бите данных даёт в результате равные вероятности изменения для каждого бита зашифрованных данных.

DES может быть реализован аппаратно и программно, но базовый алгоритм всё же рассчитан на реализацию в электронных устройствах специального назначения. Это свойство DES выгодно отличает его от метода шифрования с использованием датчика ПСЧ, поскольку большинство алгоритмов шифрования построенных на основе датчиков ПСЧ не характеризуются всеми преимуществами DES. Однако и DES обладает рядом недостатков.

Самым существенным недостатком DES считается малый размер ключа. Стандарт в настоящее время не считается неуязвимым, хотя и очень труден для раскрытия (до сих пор не были зарегистрированы случаи несанкционированной дешифрации). Ещё один недостаток DES заключается в том, что одинаковые данные будут одинаково выглядеть в зашифрованном тексте.

Алгоритм криптографического преобразования, являющийся отечественным стандартом и определяемый ГОСТ 28147-89, свободен от недостатков стандарта DES и в то же время обладает всеми его преимуществами. Кроме того в него заложен метод, с помощью которого можно зафиксировать необнаруженную случайную или умышленную модификацию зашифрованной информации. Однако у алгоритма есть очень существенный недостаток, который заключается в том, что его программная реализация очень сложна и практически лишена всякого смысла.

Оптимальным на данный момент для защиты информации является метод RSA. Он является очень перспективным, поскольку для зашифровывания информации не требуется передачи ключа другим пользователям. Но в настоящее время к этому методу относятся с подозрительностью, поскольку не существует строгого доказательства, что нет другого способа определения секретного ключа по известному, кроме как определение делителей целых чисел.

В остальном метод RSA обладает только достоинствами. К числу этих достоинств следует отнести очень высокую криптостойкость, довольно простую программную и аппаратную реализации. Следует заметить, что использование этого метода для криптографической защиты данных неразрывно связано с очень высоким уровнем развития вычислительной техники.

Таблица 1.4. Сравнение криптографических методов защиты информации

Датчик псевдослучайных чисел

DES

ГОСТ 28147-89

RSA

Простота программной реализации

высокая

высокая

низкая

высокая

Возможность защиты больших объемов данных

+

+

+

+

Криптостойкость

высокая

средняя

высокая

высокая

Рассмотрим существующие разработки для автоматизации системы обеспечения информационной безопасности и защиты информации предприятия. Для сравнения были выбраны:

- "Аккорд 1.95".

Представленное изделие является одним из ряда программно-аппаратных комплексов защиты информации семейства "Аккорд", имеющего и автономные, и сетевые версии, выполненные на платах как для шины ISA, так и для шины PCI.

Комплекс "Аккорд 1.95" обеспечивает следующие функции защиты:

· идентификация и аутентификация пользователей;

· ограничение "времени жизни" паролей и времени доступа пользователей к ПК;

· контроль целостности программ и данных, в том числе файлов ОС и служебных областей жесткого диска;

· разграничение доступа к информационным и аппаратным ресурсам ПК;

· возможность временной блокировки ПК и гашения экрана при длительной неактивности пользователя до повторного ввода идентификатора;

· функциональное замыкание информационных систем с исключением возможности несанкционированного выхода в ОС, загрузки с дискеты и прерывания контрольных процедур с клавиатуры;

- система защиты информации SecretNet.

Система SecretNet дополняет операционные системы семейства Windows 9x (и MS-DOS в режиме эмуляции) следующими защитными функциями:

· поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;

· поддержка индивидуальных файлов CONFIG.SYS и AUTOEXEC.BAT для каждого пользователя;

· разграничение доступа пользователей к программам, файлам, дисководам и портам ПК в соответствии с присвоенными им полномочиями;

· управление временем работы в системе любого пользователя;

· создание для любого пользователя ограниченной замкнутой программной среды (списка разрешенных для запуска программ);

· автоматическое уничтожение данных на магнитных носителях при удалении файлов;

· возможность объединения пользователей в группы для упрощения управления их доступом к совместно используемым ресурсам;

· возможность временной блокировки работы ПК и гашения экрана при длительной неактивности пользователя до повторного ввода пароля.

Основные функциональные характеристики сравниваемых систем представлены в таблице 1.5.

Таблица 1.5. Сравнение функциональных характеристик существующих разработок

Функциональные характеристики системы

Единица измерения

Величина функциональных характеристик

Значимость характеристик

"Аккорд 1.95"

SecretNet

Гибкость

%

65

50

да

Практичность

%

55

40

да

Оригинальность

%

60

55

нет

Безопасность

%

90

85

да

Эффективность

%

72

58

да

1.3.2 Выбор и обоснование стратегии автоматизации задачи

Для рассматриваемой компании разработка стратегии реализации проекта будет такой:

· анализ безопасности информационных систем предприятия;

· анализ стратегии дальнейшего развития безопасности информационных систем предприятия;

· определение стратегических свойств разрабатываемых методов решения проблем информационной безопасности компании;

· определение функциональности методов;

· анализ существующих разработок по обеспечению безопасности информационных систем;

· выбор стратегии решения проблем информационной безопасности;

· выбор способа приобретения;

· определение архитектуры;

· формирование бизнес-плана.

Обеспечение безопасности корпоративной информационной системы невозможно без четкого формализованного представления о ее функционировании и текущем состоянии защищенности ее ресурсов. Для решения этой задачи проводится изучение характеристик информационной системы:

- организационной и функциональной структуры;

- используемых технологий обработки информации и информационных потоков;

- режимов работы пользователей;

- информационных и иных ресурсов и их соотнесения с различными категориями обрабатываемой информации.

Результатом обследования является структурированная детальная информация о системе, включая сведения о текущем состоянии защищенности ее компонентов; а также набор рекомендаций по устранению выявленных слабостей в защите. В качестве стратегии автоматизации была выбрана полная автоматизация. Полная автоматизация подразумевает собой комплексное обеспечение безопасности информационных систем во всех подразделениях и магазинах предприятия. Подобный подход был выбран в связи с прохождением преддипломной практики в качестве системного администратора, что позволило досконально изучить существующую на "ГУП ОЦ "Московский Дом Книги" систему информационной безопасности.

1.3.3 Обоснование предлагаемых средств автоматизации системы обеспечения информационной безопасности и защиты информации предприятия

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:

- правовые (законодательные);

- морально-этические;

- технологические;

- организационные (административные и процедурные);

- физические;

- технические (аппаратурные и программные).

Построение системы обеспечения безопасности информации на предприятии и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

- законность;

- системность;

- комплексность;

- непрерывность;

- своевременность;

- преемственность и непрерывность совершенствования * разумная достаточность;

- персональная ответственность;

- разделение функций;

- минимизация полномочий;

- взаимодействие и сотрудничество;

- гибкость системы защиты;

- открытость алгоритмов и механизмов защиты;

- простота применения средств защиты;

- научная обоснованность и техническая реализуемость;

- специализация и профессионализм;

- взаимодействие и координация;

- обязательность контроля.

Возможные варианты совершенствования средств обеспечения информационной безопасности и защиты информации для предприятия:

- использование межсетевого экрана для обеспечения ИБ;

- защита электронной почты:

следует поставить антивирус на корпоративный сервер электронной почты. При выборе антивирусного пакета нужно руководствоваться следующими принципами:

· антивирус должен уметь переименовывать исполняемые файлы (в которых не найдено вируса), делая невозможным их автоматический запуск пользователем;

· антивирус должен уметь проверять архивированные файлы;

· антивирус должен уметь проверять HTML-код на предмет вредоносных сценариев и приложений Java, а также вредоносных ActiveX-компонентов.

Далее необходимо установить пользователям e-mail-клиент, который не умеет показывать вложенные в письма HTML-страницы (например, Thunderbird).

Также можно поставить транзитный сервер, который будет фильтровать весь проходящий через него трафик электронной почты с помощью антивируса;

- антивирусная защита:

на корпоративный сервер электронной почты необходимо установить антивирусное ПО. Также стоит установить антивирус на файловый сервер организации и осуществлять проверку его содержимого каждые сутки;

- настройка компьютеров пользователей;

- защита информационного пространства организации.

Все вышеперечисленные средства защиты информации необходимо применить на "ГУП ОЦ "Московский Дом Книги".

Средство автоматизации системы обеспечения информационной безопасности и защиты информации на предприятии должно автоматизировать часть работы системного администратора "ГУП ОЦ "Московский Дом Книги". В нем необходимо учесть полную проверку всех информационных систем компании на наличие проблем в безопасности.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующие возможности:

- выборочное подключение имеющихся защитных механизмов, что обеспечивает возможность реализации режима постепенного усиления степени защищенности информационных систем;

- так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются (то есть не запрещаются системой защиты). Этот режим позволяет выявлять некорректности настроек средств защиты (и затем производить соответствующие их корректировки) без нарушения работоспособности информационной системы и существующей технологии обработки информации;

- возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах (при работе как в "мягком", так и в обычном режимах).

Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены следующие возможности:

- подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.). Естественно такая подсистема должна опираться на системный механизм обеспечения единого времени событий;

- возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного количества последних дней. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться;

- в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности;

- желательно также иметь в системе средства автоматической подготовки отчетных документов установленной формы о работе станций сети и имевших место нарушениях. Такие средства позволили бы существенно снять рутинную нагрузку с системного администратора.

2. Разработка проекта системы обеспечения информационной безопасности и защиты информации предприятия

2.1 Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

1. Акты федерального законодательства:

- Международные договоры РФ;

· Конституция РФ;

· Законы федерального уровня (включая федеральные конституционные законы, кодексы);

· Указы Президента РФ;

· Постановления правительства РФ;

· Нормативные правовые акты федеральных министерств и ведомств;

· Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

2. К нормативно-методическим документам можно отнести

- Методические документы государственных органов России:

· Доктрина информационной безопасности РФ;

· Руководящие документы ФСТЭК (Гостехкомиссии России);

· Приказы ФСБ;

- Стандарты информационной безопасности, из которых выделяют:

· Международные стандарты;

· Государственные (национальные) стандарты РФ;

· Рекомендации по стандартизации;

· Методические указания.

Система информационной безопасности строится на основе международного стандарта по обеспечению информационной безопасности ISO 17799 ("Нормы и правила при обеспечении безопасности информации"). Стандарт ISO 17799 содержит общие рекомендации по организации системы информационной безопасности, обеспечивающей базовый уровень безопасности информационных систем, характерный для большинства организаций. При этом стандарт описывает вопросы, которые должны быть рассмотрены при проектировании системы информационной безопасности, и не накладывает ограничений на использование конкретных средств обеспечения безопасности компонентов инфраструктуры. Стандарт ISO 17799 содержит следующие разделы, описывающие различные аспекты безопасности информационных систем:

- стратегия информационной безопасности -- описывает необходимость иметь поддержку высшего руководства компании путем утверждения стратегии информационной безопасности;

- организационные вопросы -- дает рекомендации по форме управления организации, оптимальной для реализации системы информационной безопасности;

- классификация информационных ресурсов -- описывает необходимые меры по обеспечению безопасности информационных ресурсов и носителей информации;

- управление персоналом -- описывает влияние человеческого фактора на информационную безопасность и меры, направленные на снижение соответствующего риска;

- обеспечение физической безопасности -- описывает мероприятия по обеспечению физической безопасности компонентов информационной инфраструктуры;

- администрирование информационных систем -- описывает основные аспекты безопасности при работе с серверами, рабочими станциями и другими информационными системами;

- управление доступом -- описывает необходимость четкого разграничения прав и обязанностей при работе с информацией;

- разработка и сопровождение информационных систем -- описывает основные механизмы обеспечения безопасности информационных систем;

- обеспечение непрерывности бизнеса -- описывает мероприятия по обеспечению непрерывной работы организаций;

- обеспечение соответствия предъявляемым требованиям -- описывает общие требования к системам информационной безопасности и мероприятия по проверке соответствия систем информационной безопасности этим требованиям.

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.

Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся. Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:

- выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;

- выделение специальных ЭВМ для обработки конфиденциальной информации;

- организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

- использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

- организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;

- организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;

- установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

- разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;

-- постоянный контроль за соблюдением установленных требований по защите информации.

2.1.3 Обоснование выбранной политики информационной безопасности предприятия

Информационная безопасность организации -- состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Главной целью информационной безопасности в "ГУП ОЦ "Московский Дом Книги" является обеспечение устойчивого функционирования предприятия и защита информационных ресурсов, принадлежащих компании, ее акционерам, инвесторам и клиентам от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений.

Целями управления политикой информационной безопасности в "ГУП ОЦ "Московский Дом Книги" являются:

- осуществление управлением по определению информационных и технических ресурсов, подлежащих защите на предприятии;

- осуществление управлением по выявлению полного множества потенциально возможных угроз и каналов утечки информации;

- осуществление управлением по проведению оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

- определение требований к системе защиты информации на предприятии;

- организация осуществления выбора средств защиты информации и их характеристик;

- организация внедрения и организация использования выбранных мер, способов и средств защиты;

- осуществление контроля целостности и управление системой защиты.

Основной целью предприятия является получение прибыли через продажу книжной и журнальной продукции в городе Москва.

Отсюда выделим основные задачи ИБ предприятия:

- обеспечение конституционных прав граждан по сохранению личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- прогнозирование, своевременное выявление и устранение угроз объектам информационной безопасности на основе правовых, организационных и инженерно-технических мер и средств обеспечения защиты;

- минимизация ущерба и быстрейшее восстановление программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин возникновения таких ситуаций и принятие соответствующих мер по их предотвращению;

- недопущение проникновения в информационные системы предприятия извне с целью кражи средств покупателей интернет-магазина.

В качестве методов реализации комплексной системы управления рисками в "ГУП ОЦ "Московский Дом Книги" используем:

- эффективное управление ИТ-инфраструктурой (безопасность начинается с порядка);

- управление процессами информационной безопасности;

- управление зависимостью от сторонних продуктов и аутсорсинга;

- управление идентификацией, авторизацией и доступом с распределением ролей и сквозной отчетностью;

- обеспечение целостности данных;

- обеспечение конфиденциальности критичной информации;

- превентивное планирование доступности систем и сервисов;

- обеспечение комплексной и прозрачной работы с инцидентами.

Для этого необходимо реализовать:

- корпоративную политику персональной ответственности;

- гарантию отсутствия неавторизованного доступа;

- регулярную проверку средств обеспечения безопасности;

- исключение зависимости от одного человека. Например, не должно быть возможности провести или исправить банковскую транзакцию в одиночку;

- минимизацию наличия критической информации на персональных компьютерах, особенно мобильных;

- классификацию данных и систем с точки зрения безопасности и рисков;

- антивирусную и сетевую защиту;

- тренинг сотрудников.

В качестве стандартов информационной безопасности для "ГУП ОЦ "Московский Дом Книги" примем международные и государственные стандарты, такие как:

1. Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006);

2. Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799--2005);

3. Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 -- 2006);

4. Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002);

5. ISO/IEC 17799:2005 -- "Информационные технологии -- Технологии безопасности -- Практические правила менеджмента информационной безопасности". Международный стандарт, базирующийся на BS 7799-1:2005;

6. ISO/IEC 27001:2005 -- "Информационные технологии -- Методы обеспечения безопасности -- Системы управления информационной безопасностью -- Требования". Международный стандарт, базирующийся на BS 7799-2:2005;

7. ISO/IEC 17799:2005. Дата выхода -- 2007 год.

Для осуществления непрерывности бизнеса предлагается провести ряд мероприятий (таблица 2.1)

Таблица 2.1. Мероприятия по осуществлению непрерывности бизнеса "ГУП ОЦ "Московский Дом Книги"

Необходимо

Результаты

Этап 1: Анализ требований к обеспечению непрерывности бизнеса

- выявление актуальных угроз и уязвимостей ИС предприятия;

- оценка возможных финансовых убытков в случае возникновения проблем с ИС предприятия;

- анализ воздействия угроз и стабильной работы ИС на бизнес;

- оценка рисков безопасности ИС

- методика выявления угроз и уязвимостей ИС;

- методика оценки рисков;

- методика оценки ущерба в случае проблем в безопасности ИС;

- отчет с анализом рисков и приоритетами и первоочередными задачами обеспечения непрерывности бизнеса;

- отчет с оценкой возможного ущерба

Этап 2: Планирование непрерывности бизнеса

- сформировать и утвердить экспертную группу планирования и управления непрерывностью бизнеса;

- выработать планы непрерывности для каждой ИС предприятия;

- определить первоочередные мероприятия по обеспечению непрерывности бизнеса;

- выработать альтернативные решения;

- выбрать оптимальное решение из имеющихся альтернатив;

- определить необходимые ресурсы для планирования и управления непрерывностью бизнеса;

- определить и утвердить бюджет планирования и управления непрерывностью бизнеса

- экспертная группа планирования и управления непрерывностью бизнеса;


Подобные документы

  • Построение модели возможных угроз информационной безопасности банка с учетом существующей отечественной и международной нормативно-правовой базы. Сравнительный анализ нормативных и правовых документов по организации защиты банковской информации.

    лабораторная работа [225,7 K], добавлен 30.11.2010

  • Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.

    дипломная работа [1,2 M], добавлен 28.04.2012

  • Исследование теоретических основ и вопросов инженерно-технической защиты информации на предприятии. Разработка информационной системы инженерно-технической защиты информации. Экономическая эффективность внедренных систем защиты информации на предприятии.

    курсовая работа [2,3 M], добавлен 26.05.2021

  • Понятие и принципы обеспечения информационной безопасности. Рассмотрение основных видов опасных воздействий на компьютерную систему. Классификация каналов несанкционированного доступа к ЭВМ. Характеристика аппаратно-программных средств защиты информации.

    презентация [152,9 K], добавлен 15.11.2011

  • Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

    дипломная работа [4,5 M], добавлен 19.12.2012

  • Методика анализа угроз безопасности информации на объектах информатизации органов внутренних дел. Выявление основных способов реализации утечки информации. Разработка модели угроз. Алгоритм выбора оптимальных средств инженерно-технической защиты данных.

    курсовая работа [476,3 K], добавлен 19.05.2014

  • Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.

    дипломная работа [2,6 M], добавлен 17.11.2012

  • Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

    реферат [30,0 K], добавлен 15.11.2011

  • Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

    курсовая работа [269,0 K], добавлен 24.04.2015

  • Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.

    курс лекций [52,7 K], добавлен 17.04.2012

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.