Рис. 1.2. Программная архитектура "ГУП ОЦ "Московский Дом Книги"

На схеме отображена серверная ОС, в рамках которой функционирует два прикладных программных средства - веб-сервер Apache и СУБД MySQL.

Рис. 1.3. Техническая архитектура ИС "ГУП ОЦ "Московский Дом Книги"

Персональные компьютеры "ГУП ОЦ "Московский Дом Книги" имеют следующую конфигурацию системы:

- центральный процессор: Intel(R)Core(TM) 2Duo CPU E7500 2,93GHz;

- оперативная память: 3,00 ГБ;

- видеокарта: Radeon X1600 Series Secondary.

1.2 Характеристика комплекса задач, задачи и обоснование необходимости автоматизации

Проблема безопасности информационных систем на "ГУП ОЦ "Московский Дом Книги" имеет немаловажное значение, так как рассматриваемая организация осуществляет продажу книжной продукции не только в специально оборудованных магазинах, но и через интернет.

В качестве объектов уязвимости рассматриваются:

- динамический вычислительный процесс обработки данных, автоматизированной подготовки решений и выработки управляющих воздействий;

- информация, накопленная в базах данных;

- объектный код программ, исполняемых вычислительными средствами в процессе функционирования ИС;

- информация, выдаваемая потребителям и на исполнительные механизмы.

Рис. 1.4. Бизнес-процессы и функции "ГУП ОЦ "Московский Дом Книги"

Все бизнес-процессы организации классифицируются на основные, обеспечивающие, развития, управления.

Основные бизнес-процессы - непосредственно ориентированы на производство продукции, представляющие ценность для клиента и обеспечивающие получение дохода для предприятия.

Обеспечивающие бизнес-процессы - вспомогательные бизнес-процессы, которые предназначены для обеспечения выполнения основных процессов. Фактически обеспечивающие бизнес-процессы снабжают ресурсами всю деятельность организации.

Бизнес-процессы управления - это бизнес-процессы, охватывающие весь комплекс функций управления на уровне текущих действий и бизнес-системы в целом.

Бизнес-процессы развития - процессы совершенствования, освоения новых направлений и технологий, а также инновации.

1.2.2 Определение места проектируемой задачи в комплексе задач

"Московский дом книги" является государственным предприятием и у него по большей части имеются в использовании программы разработанные сотрудниками компании. Т.е., кроме стандартной 1С, есть несколько программ складского учета и аналита.

В ходе прохождения практики были выявлены внутренние и внешние источники угроз безопасности информационных систем. Внутренними источниками угроз безопасности функционирования ИС являются:

- системные ошибки при постановке целей и задач проектирования ИС, формулировке требований к функциям и характеристикам решения задач, определении условий и параметров внешней среды, в которой предстоит применять ИС;

- алгоритмические ошибки проектирования при непосредственной алгоритмизации функций программных средств и баз данных, при определении структуры и взаимодействия компонент комплексов программ, а также при использовании информации баз данных;

- ошибки программирования в текстах программ и описаниях данных, а также в исходной и результирующей документации на компоненты ИС;

- недостаточная эффективность используемых методов и средств оперативной защиты программ и данных и обеспечения безопасности функционирования ИС в условиях случайных негативных воздействий.

Внешними дестабилизирующими факторами, создающими угрозы безопасности функционирования перечисленных объектов уязвимости ИС, являются:

- ошибки оперативного и обслуживающего персонала в процессе эксплуатации ИС;

- искажения в каналах телекоммуникации информации, поступающей от внешних источников и передаваемой потребителям, а также недопустимые изменения характеристик потоков информации;

- сбои и отказы аппаратуры;

- изменения состава и конфигурации ИС за пределы, проверенные при испытаниях или сертификации.

Все представленные трудности оказывают негативное влияние на общую работу "ГУП ОЦ "Московский Дом Книги", выявляются во время проведения внутреннего контроля и анализа бизнес-процессов, берут свое начало при регистрации, обработке и мониторинге заявок от клиентов и партнеров.

Полное устранение перечисленных угроз принципиально невозможно. Задача состоит в выявлении факторов, от которых они зависят, в создании методов и средств уменьшения их влияния на безопасность ИС, а также в эффективном распределении ресурсов для обеспечения защиты, равнопрочной по отношению ко всем негативным воздействиям.

1.2.3 Обоснования необходимости использования вычислительной техники для решения задачи

· анализ безопасности информационных систем предприятия;

· анализ стратегии дальнейшего развития безопасности информационных систем предприятия;

· определение стратегических свойств разрабатываемых методов решения проблем информационной безопасности компании;

· определение функциональности методов;

· анализ существующих разработок по обеспечению безопасности информационных систем;

· выбор стратегии решения проблем информационной безопасности;

· выбор способа приобретения;

· определение архитектуры;

· формирование бизнес-плана.

Обеспечение безопасности корпоративной информационной системы невозможно без четкого формализованного представления о ее функционировании и текущем состоянии защищенности ее ресурсов. Для решения этой задачи проводится изучение характеристик информационной системы:

- организационной и функциональной структуры;

- используемых технологий обработки информации и информационных потоков;

- режимов работы пользователей;

- информационных и иных ресурсов и их соотнесения с различными категориями обрабатываемой информации.

Результатом обследования является структурированная детальная информация о системе, включая сведения о текущем состоянии защищенности ее компонентов; а также набор рекомендаций по устранению выявленных слабостей в защите. В качестве стратегии автоматизации была выбрана полная автоматизация. Полная автоматизация подразумевает собой комплексное обеспечение безопасности информационных систем во всех подразделениях и магазинах предприятия. Подобный подход был выбран в связи с прохождением преддипломной практики в качестве системного администратора, что позволило досконально изучить существующую на "ГУП ОЦ "Московский Дом Книги" систему информационной безопасности.

1.3.3 Обоснование предлагаемых средств автоматизации системы обеспечения информационной безопасности и защиты информации предприятия

- правовые (законодательные);

- морально-этические;

- технологические;

- организационные (административные и процедурные);

- физические;

- технические (аппаратурные и программные).

Построение системы обеспечения безопасности информации на предприятии и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

- законность;

- системность;

- комплексность;

- непрерывность;

- своевременность;

- преемственность и непрерывность совершенствования * разумная достаточность;

- персональная ответственность;

- разделение функций;

- минимизация полномочий;

- взаимодействие и сотрудничество;

- гибкость системы защиты;

- открытость алгоритмов и механизмов защиты;

- простота применения средств защиты;

- научная обоснованность и техническая реализуемость;

- специализация и профессионализм;

- взаимодействие и координация;

- обязательность контроля.

Возможные варианты совершенствования средств обеспечения информационной безопасности и защиты информации для предприятия:

- использование межсетевого экрана для обеспечения ИБ;

- защита электронной почты:

следует поставить антивирус на корпоративный сервер электронной почты. При выборе антивирусного пакета нужно руководствоваться следующими принципами:

· антивирус должен уметь переименовывать исполняемые файлы (в которых не найдено вируса), делая невозможным их автоматический запуск пользователем;

· антивирус должен уметь проверять архивированные файлы;

· антивирус должен уметь проверять HTML-код на предмет вредоносных сценариев и приложений Java, а также вредоносных ActiveX-компонентов.

Далее необходимо установить пользователям e-mail-клиент, который не умеет показывать вложенные в письма HTML-страницы (например, Thunderbird).

Также можно поставить транзитный сервер, который будет фильтровать весь проходящий через него трафик электронной почты с помощью антивируса;

- антивирусная защита:

на корпоративный сервер электронной почты необходимо установить антивирусное ПО. Также стоит установить антивирус на файловый сервер организации и осуществлять проверку его содержимого каждые сутки;

- настройка компьютеров пользователей;

- защита информационного пространства организации.

Все вышеперечисленные средства защиты информации необходимо применить на "ГУП ОЦ "Московский Дом Книги".

Средство автоматизации системы обеспечения информационной безопасности и защиты информации на предприятии должно автоматизировать часть работы системного администратора "ГУП ОЦ "Московский Дом Книги". В нем необходимо учесть полную проверку всех информационных систем компании на наличие проблем в безопасности.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующие возможности:

- выборочное подключение имеющихся защитных механизмов, что обеспечивает возможность реализации режима постепенного усиления степени защищенности информационных систем;

- так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются (то есть не запрещаются системой защиты). Этот режим позволяет выявлять некорректности настроек средств защиты (и затем производить соответствующие их корректировки) без нарушения работоспособности информационной системы и существующей технологии обработки информации;

- возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах (при работе как в "мягком", так и в обычном режимах).

Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены следующие возможности:

- подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.). Естественно такая подсистема должна опираться на системный механизм обеспечения единого времени событий;

- возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного количества последних дней. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться;

- в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности;

- желательно также иметь в системе средства автоматической подготовки отчетных документов установленной формы о работе станций сети и имевших место нарушениях. Такие средства позволили бы существенно снять рутинную нагрузку с системного администратора.

2. Разработка проекта системы обеспечения информационной безопасности и защиты информации предприятия

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

1. Акты федерального законодательства:

- Международные договоры РФ;

· Конституция РФ;

· Законы федерального уровня (включая федеральные конституционные законы, кодексы);

· Указы Президента РФ;

· Постановления правительства РФ;

· Нормативные правовые акты федеральных министерств и ведомств;

· Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

2. К нормативно-методическим документам можно отнести

- Методические документы государственных органов России:

· Доктрина информационной безопасности РФ;

· Руководящие документы ФСТЭК (Гостехкомиссии России);

· Приказы ФСБ;

- Стандарты информационной безопасности, из которых выделяют:

· Международные стандарты;

· Государственные (национальные) стандарты РФ;

· Рекомендации по стандартизации;

· Методические указания.

Система информационной безопасности строится на основе международного стандарта по обеспечению информационной безопасности ISO 17799 ("Нормы и правила при обеспечении безопасности информации"). Стандарт ISO 17799 содержит общие рекомендации по организации системы информационной безопасности, обеспечивающей базовый уровень безопасности информационных систем, характерный для большинства организаций. При этом стандарт описывает вопросы, которые должны быть рассмотрены при проектировании системы информационной безопасности, и не накладывает ограничений на использование конкретных средств обеспечения безопасности компонентов инфраструктуры. Стандарт ISO 17799 содержит следующие разделы, описывающие различные аспекты безопасности информационных систем:

- стратегия информационной безопасности -- описывает необходимость иметь поддержку высшего руководства компании путем утверждения стратегии информационной безопасности;

- организационные вопросы -- дает рекомендации по форме управления организации, оптимальной для реализации системы информационной безопасности;

- классификация информационных ресурсов -- описывает необходимые меры по обеспечению безопасности информационных ресурсов и носителей информации;

- управление персоналом -- описывает влияние человеческого фактора на информационную безопасность и меры, направленные на снижение соответствующего риска;

- обеспечение физической безопасности -- описывает мероприятия по обеспечению физической безопасности компонентов информационной инфраструктуры;

- администрирование информационных систем -- описывает основные аспекты безопасности при работе с серверами, рабочими станциями и другими информационными системами;

- управление доступом -- описывает необходимость четкого разграничения прав и обязанностей при работе с информацией;

- разработка и сопровождение информационных систем -- описывает основные механизмы обеспечения безопасности информационных систем;

- обеспечение непрерывности бизнеса -- описывает мероприятия по обеспечению непрерывной работы организаций;

- обеспечение соответствия предъявляемым требованиям -- описывает общие требования к системам информационной безопасности и мероприятия по проверке соответствия систем информационной безопасности этим требованиям.

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.

Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся. Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:

- выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;

- выделение специальных ЭВМ для обработки конфиденциальной информации;

- организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

- использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

- организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;

- организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;

- установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

- разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;

-- постоянный контроль за соблюдением установленных требований по защите информации.

2.1.3 Обоснование выбранной политики информационной безопасности предприятия

Информационная безопасность организации -- состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Главной целью информационной безопасности в "ГУП ОЦ "Московский Дом Книги" является обеспечение устойчивого функционирования предприятия и защита информационных ресурсов, принадлежащих компании, ее акционерам, инвесторам и клиентам от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений.

Целями управления политикой информационной безопасности в "ГУП ОЦ "Московский Дом Книги" являются:

- осуществление управлением по определению информационных и технических ресурсов, подлежащих защите на предприятии;

- осуществление управлением по выявлению полного множества потенциально возможных угроз и каналов утечки информации;

- осуществление управлением по проведению оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

- определение требований к системе защиты информации на предприятии;

- организация осуществления выбора средств защиты информации и их характеристик;

- организация внедрения и организация использования выбранных мер, способов и средств защиты;

- осуществление контроля целостности и управление системой защиты.

Основной целью предприятия является получение прибыли через продажу книжной и журнальной продукции в городе Москва.

Отсюда выделим основные задачи ИБ предприятия:

- обеспечение конституционных прав граждан по сохранению личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- прогнозирование, своевременное выявление и устранение угроз объектам информационной безопасности на основе правовых, организационных и инженерно-технических мер и средств обеспечения защиты;

- минимизация ущерба и быстрейшее восстановление программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин возникновения таких ситуаций и принятие соответствующих мер по их предотвращению;

- недопущение проникновения в информационные системы предприятия извне с целью кражи средств покупателей интернет-магазина.

В качестве методов реализации комплексной системы управления рисками в "ГУП ОЦ "Московский Дом Книги" используем:

- эффективное управление ИТ-инфраструктурой (безопасность начинается с порядка);

- управление процессами информационной безопасности;

- управление зависимостью от сторонних продуктов и аутсорсинга;

- управление идентификацией, авторизацией и доступом с распределением ролей и сквозной отчетностью;

- обеспечение целостности данных;

- обеспечение конфиденциальности критичной информации;

- превентивное планирование доступности систем и сервисов;

- обеспечение комплексной и прозрачной работы с инцидентами.

Для этого необходимо реализовать:

- корпоративную политику персональной ответственности;

- гарантию отсутствия неавторизованного доступа;

- регулярную проверку средств обеспечения безопасности;

- исключение зависимости от одного человека. Например, не должно быть возможности провести или исправить банковскую транзакцию в одиночку;

- минимизацию наличия критической информации на персональных компьютерах, особенно мобильных;

- классификацию данных и систем с точки зрения безопасности и рисков;

- антивирусную и сетевую защиту;

- тренинг сотрудников.

В качестве стандартов информационной безопасности для "ГУП ОЦ "Московский Дом Книги" примем международные и государственные стандарты, такие как:

1. Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006);

2. Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799--2005);

3. Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 -- 2006);

4. Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002);

5. ISO/IEC 17799:2005 -- "Информационные технологии -- Технологии безопасности -- Практические правила менеджмента информационной безопасности". Международный стандарт, базирующийся на BS 7799-1:2005;

6. ISO/IEC 27001:2005 -- "Информационные технологии -- Методы обеспечения безопасности -- Системы управления информационной безопасностью -- Требования". Международный стандарт, базирующийся на BS 7799-2:2005;

7. ISO/IEC 17799:2005. Дата выхода -- 2007 год.

Для осуществления непрерывности бизнеса предлагается провести ряд мероприятий (таблица 2.1)

Таблица 2.1. Мероприятия по осуществлению непрерывности бизнеса "ГУП ОЦ "Московский Дом Книги"

Подобные документы

• Исследование нормативно-правовой базы информационной безопасности предприятия отделения Юго-Западного банка Сбербанка России №****

  Построение модели возможных угроз информационной безопасности банка с учетом существующей отечественной и международной нормативно-правовой базы. Сравнительный анализ нормативных и правовых документов по организации защиты банковской информации.
  
  лабораторная работа [225,7 K], добавлен 30.11.2010
  

• Проект обеспечения инженерно-технической защиты объекта офиса для усиления его информационной безопасности

  Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
  
  дипломная работа [1,2 M], добавлен 28.04.2012
  

• Разработка концепции инженерно-технической защиты информации на предприятии

  Исследование теоретических основ и вопросов инженерно-технической защиты информации на предприятии. Разработка информационной системы инженерно-технической защиты информации. Экономическая эффективность внедренных систем защиты информации на предприятии.
  
  курсовая работа [2,3 M], добавлен 26.05.2021
  

• Информационная безопасность

  Понятие и принципы обеспечения информационной безопасности. Рассмотрение основных видов опасных воздействий на компьютерную систему. Классификация каналов несанкционированного доступа к ЭВМ. Характеристика аппаратно-программных средств защиты информации.
  
  презентация [152,9 K], добавлен 15.11.2011
  

• Совершенствование системы информационной безопасности в помещениях ОАО "Расчет"

  Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
  
  дипломная работа [4,5 M], добавлен 19.12.2012
  

• Система инженерно-технической защиты информации

  Методика анализа угроз безопасности информации на объектах информатизации органов внутренних дел. Выявление основных способов реализации утечки информации. Разработка модели угроз. Алгоритм выбора оптимальных средств инженерно-технической защиты данных.
  
  курсовая работа [476,3 K], добавлен 19.05.2014
  

• Совершенствование системы защиты персональных данных ОАО "Альфа Банк"

  Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
  
  дипломная работа [2,6 M], добавлен 17.11.2012
  

• Комплексные системы информационной безопасности

  Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
  
  реферат [30,0 K], добавлен 15.11.2011
  

• Изучение проблемы обеспечения информационной безопасности предприятия

  Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
  
  курсовая работа [269,0 K], добавлен 24.04.2015
  

• Информационная безопасность и защита информации

  Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.
  
  курс лекций [52,7 K], добавлен 17.04.2012
  

• главная
• рубрики
• по алфавиту
• вернуться в начало страницы
• вернуться к началу текста
• вернуться к подобным работам