Информационная безопасность электронной торговой площадки ООО "Авангард технологии"
Государственная политика в сфере формирования информационных ресурсов. Выбор комплекса задач информационной безопасности. Система проектируемых программно–аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 23.04.2015 |
Размер файла | 605,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Министерство образования и науки Российской Федерации
ИНСТИТУТ ГУМАНИТАРНОГО ОБРАЗОВАНИЯ
И ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Факультет информационных технологий
Курсовая работа
по дисциплине «Информационная безопасность»
Информационная безопасность электронной торговой площадки ООО «Авангард технологии»
Выполнил:
студент 5 курса заочной формы обучения
группы 5ивп
Горбатовский Александр Александрович
Научный руководитель:
доц. Зазук Антон Владимирович
Москва
2015
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ
ГЛАВА 1. ИНФОРМАЦИЯ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
1.1 Информация и ее свойства
1.2 Информационная безопасность
ГЛАВА 2.ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ ТОРГОВОЙ ПЛОЩАДКИ ООО «АВАНГАРД ТЕХНОЛОГИИ»
2.1 Описание организации
2.2 Выбор комплекса задач обеспечения информационной безопасности
2.3 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия
ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА
ВВЕДЕНИЕ
Темой курсового проекта является «Информационная безопасность электронной торговой площадки ООО «Авангард технологии»».
На сегодняшний день системы защиты информации очень востребованы как среди государственных, так и среди коммерческих организаций. Электронные торговые площадки нуждаются в надежной защите ввиду повсеместно распространившихся краж информации, превратившихся в проблему мирового масштаба.
На сегодняшний день в ООО «Авангард технологии» в полной мере не реализована система информационной безопасности, поэтому организация подвергается серьезному риску. Реализация системы защиты в организации позволит значительно снизить вероятность возникновения ситуаций по неправомерному доступу к информации организации.
Целью курсового проекта является совершенствование системы информационной безопасности в ООО «Авангард технологии».
Для достижения поставленной цели необходимо первоначально решить следующие задачи:
Анализ правовой основы защиты информации;
Анализ деятельности организации;
Разработка мер по защите данных.
Главной функцией разрабатываемой системы повышение уровня информационной безопасности на предприятии, снижение уровня рисков взлома и нанесения какой-либо порчи информационным активам организации.
ГЛАВА 1. ИНФОРМАЦИЯ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
1.1 Информация и ее свойства
Информация -- это совокупность сведений о людях, предметах, фактах, событиях и процессах независимо от формы их представления. Данное определение зафиксировано в Законе «Об информации, информатизации и защите информации», принятом в 1995 году. Без информации не может существовать жизнь в любой форме, не могут функционировать созданные человеком информационные системы. Информация, необходимая для принятия управленческих решении, должна быть полной, точной, достоверной, актуальной, доступной, ценной. Она является одновременно и предметом, и продуктом труда. Информация может создаваться, передаваться, храниться, обрабатываться.
Различают более двадцати видов информации в зависимости от ее отраслевой принадлежности и востребованности в обществе (правовая, научная, финансовая, банковская, коммерческая, медицинская и т.д.). Нет объективной необходимости обеспечивать защиту всей информации, поэтому принято подразделять информацию на открытую и ограниченного доступа.
В информационном обществе человек живет в мире информации, являющейся главным ресурсом, владея которым можно оптимально строить свою деятельность.
Критериями развитости информационного общества являются:
- наличие требуемого количества компьютеров;
- уровень развития компьютерных сетей;
- количество населения, занятого в информационной сфере и использующего информационную и коммуникационную технологии в своей повседневной жизни.
Информационная культура общества определяется не только овладением определенным количеством знаний и умений в области информационных технологии, но предполагает также знание и соблюдение юридических и этических норм и правил. Законы запрещают использования пиратского компьютерного обеспечения, пропаганду насилия, наркотиков и порнографии в Интернете. Законы требуют соблюдения определенных правил при работе с электронной почтой, при участии в телеконференциях и т. д.
Компьютерная грамотность предполагает умение выполнять простые действия на ПЭВМ, осуществлять поиск нужной информации в сети Интернет.
Государственная политика в сфере формирования информационных ресурсов предполагает:
- формирование и защиту информационных ресурсов;
- создание условий для качественного и эффективного информационного обеспечения заинтересованных лиц на основе информационных ресурсов;
- формирование и осуществление единой политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;
- развитие законодательства в сфере информационных процессов, информатизации и защиты информации.
Информационная технология -- это процесс, использующий совокупность средств и методов сбора, обработки и передачи первичной информации для получения информации нового качества о состоянии объекта, т. е. информационного продукта. Это совокупность четко регламентированных операций по преобразованию информации, совокупность методов, способов, приемов и средств, реализующих информационный процесс в соответствии с заданными требованиями.
В качестве инструментария информационной технологии выступают различные программные средства -- текстовые редакторы, табличные процессоры, системы управления базами данных, программные средства специализированного назначения.
Конкретные информационные технологии реализуют процессы обработки данных при решении функциональных задач пользователя.
Базовая информационная технология предназначена для конкретной области применения. Это могут быть технологии, реализующие процессы обучения, научные исследования, производственные процессы. Глобальная информационная технология включает модели, методы н средства, формализующие и позволяющие использовать информационные ресурсы общества.
Определяют следующую структуру информационной технологии.
1. Технологический процесс -- это часть процесса производства информационной продукции, содержащий действия по изменению состояния предмета производства. Это могут быть, к примеру, действия по преобразованию табличной формы представления информации в графическую, отображение текста по гипертекстовой ссылке и др.
2. Информационная процедура -- это отдельная, законченная часть технологического процесса, выполняемая на одном рабочем месте. Она характеризуется неизменностью объекта производства и используемых средств реализации информационной технологии. Такими процедурами являются процедуры сбора и регистрация информации, передачи, обработки, хранения и поиска информации, ее анализа.
3. Технологические операции и переходы.
Каждая из названных процедур обработки состоит из операций. Например, процедура обработки информации включает операции -- ввод информации в машину, контроль ввода, обработка, ввод и контроль вывода, отображение результатов. Процедура передачи информации включает операции -- ввод информации в каналы связи, преобразование информации из цифровой формы в аналоговую, непосредственно передачу, вывод сообщений с обратным преобразованием, контроль вывода. Технологический переход это законченная, заключительная часть технологической операции, обеспечивающая условия для начала следующей технологической операции.
Любая информационная технология складывается из взаимосвязанных информационных процессов. Как базовая информационная технология, так и отдельные информационные процессы могут быть представлены тремя уровнями:
- концептуальный уровень;
Определяет содержательный аспект информационной технологии или процесса . Включает: сбор, подготовку, традиционную передачу (телефон, почта, курьер), ввод, обработку, обмен, накопление, представление знаний. Формирование информационного ресурса начинается с процесса сбора информации. Процессы сбора, подготовки и ввода являются, в основном, ручными процессами. Преобразование данных включает четы ре основных процесса: обработки, обмена, накопления данных и представления знаний.
Процесс обработки данных включает следующие операции:
- сбор данных, предполагающий их накопление для обеспечения полноты, достаточной для принятия решений;
- кодирование данных -- приведение их к одинаковой форме для повышения доступности в процессе обработки;
- фильтрацию данных - отсеивание данных, не представляющих ценности для принятия решений;
- сортировку данных -- упорядочение их по заданному признаку с целью удобства использования;
- группировку данных - объединение данных по заданному признаку для удобства использования;
- архивацию данных -- организацию хранения данных в доступной и удобной форме;
- защиту данных - предотвращение изменений данных и их потерь;
- преобразование данных -- перевод их из одной формы (структуры) в другую.
Процесс обмена включает дня типа процедур: процедуры передачи данных по каналам связи и сетевые процедуры, позволяющие осуществлять организацию вычислительной сети.
Процесс накопления позволяет так преобразовать информацию, что ее удается хранить длительное время, обновляя ее, а при необходимости извлекая в заданном объеме и по заданным признакам.
Процесс представления знаний включен в базовую информационную технологию как один из основных, поскольку высшим продуктом информационной технологии является знание. Этот процесс состоит из процедур получения формализованных знаний и процедур генерации, т. е. вывода новых знаний из полученных.
- логический уровень;
Представляется комплексом взаимосвязанных моделей, формализующих процессы преобразования информации в данные, т. е. отражает формализованное, модельное описание процесса. На основе моделей предметной области, характеризующей объект управления, создается общая модель управления, а из нее вытекают модели решаемых задач. При обработке данных формируются информационные модели обработки, обмена, накопления и представления.
Модель обработки данных включает в себя формализованное описание процедур организации вычислительного процесса, преобразования и отображения данных. К примеру, процедуры преобразования данных представляют собой алгоритмы и программы обработки данных и их структур. Это стандартные процедуры (сортировка, поиск, создание и преобразование структур данных) и нестандартные процедуры, которые обусловлены соответствующими алгоритмами и программами. Процедуры организации вычислительного процесса -- это управление ресурсами компьютера (памятью, процессором, внешними устройствами). Процедуры отображения данных обеспечивают отображение и восприятие данных в виде текстовой информации, графиков, изображений, звука с использованием средств мультимедиа.
Модель обмена включает процедуры передачи, маршрутизации и коммуникации. В свою очередь, передача данных основывается на моделях кодирования, модуляции и демодуляции. На основе моделей обмена производится синтез системы обмена данными, при котором оптимизируются топология и структура вычислительной сети, протоколы и процедуры доступа, адресации и маршрутизации.
Модель накопления формализует описание информационной базы, т. е. базы данных. Концептуальная схема информационной базы описывает информационное содержание определенной области, т. е. показывает, какая информация и в каком объеме должна накапливаться при реализации информационной технологии.
- физический уровень
Представляет собой программно-аппаратную реализацию информационной технологии. При этом стремятся максимально использовать типовые технические средства и программное обеспечение. На физическом уровне автоматизированная информационная технология рассматривается как большая система, в составе которой выделяются уже названные подсистемы обработки, обмена, накопления данных, управления данными и представления знаний. Каждая из указанных подсистем реализуется с помощью соответствующего комплекса технических средств.
Для выполнения функций подсистемы обработки данных используются ЭВМ различных классов. На верхнем уровне управления это абонентские вычислительные машины (серверы), на нижнем уровне -- персональные компьютеры либо управляющие ЭВМ. Обработка данных производится с помощью программ для той предметной области, для которой создана информационная технология.
В подсистему обмена данными входят комплексы программ и устройства, позволяющие реализовать вычислительную сеть и осуществить по ней прием и передачу сообщений с необходимыми скоростью и качеством. Это модемы, усилители, коммутаторы и специальные вычислительные комплексы, осуществляющие коммуникацию, маршрутизацию и доступ к сетям.
Подсистема накопления данных реализуется с помощью банков и баз данных, организованных на внешних устройствах компьютеров или ими управляемых. Помимо локальных баз и банков используются распределенные банки данных с распределенной обработкой информации.
Информация обладает следующим рядом свойств.
Целостность информации - свойство, которое состоит в том, что информация не может быть изменена (сюда входит и удалена) неуполномоченным на то субъектом (это может быть и человек, и компьютерная программа, и аппаратная часть компьютера, и любое другое воздействие типа сильного магнитного излучения, наводнения или пожара).
Доступность информации - свойство, которое позволяет субъекту, который имеет на это право, получить информацию в виде, необходимой ему, в удобном месте в удобное время.
Достоверность информации - свойство информации быть правильно воспринятой.
1.2 Информационная безопасность
Информационная безопасность - это состояние информационной системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внутренних и внешних информационных угроз, а с другой - ее функционирование не создает информационных угроз для элементов самой системы и внешней среды.
Для данного определения мерой безопасности информационной системы являются :
- с позиции противостояния дестабилизирующему воздействию внутренних и внешних угроз - степень сохранения информационной системой своей структуры, технологии и эффективности функционирования при влиянии дестабилизирующих факторов таких как:
1. Вредоносное программное обеспечение - вирусы, программы шпионы, spyware, adware и другие.
2. DDoS атаки - распределенные атаки типа «отказ в обслуживании»
3. Инъекции кода - PHP инъекция (внедрение в php код, возможен из за непродуманного модуля или элемента), SQL инъекция (атака на базу данных с возможностью вывода конфиденциальной информации), Межсайтовый скриптинг - тип уязвимостей, обычно обнаруживаемых в веб-приложениях, которые позволяют внедрять код злонамеренным пользователям в веб-страницы, просматриваемые другими пользователями
4. Социальная инженерия - использование некомпетентности сотрудников, с целью получения конфиденциальных данных.
- с позиции отсутствия угроз для элементов системы и внешней среды - степень возможности или их невозможности появления дестабилизирующих факторов, представляющих угрозу элементам информационной системы или внешней среды.
Рассмотренное определение является вполне корректным и достаточно полным. Однако, для того, чтобы быть ориентиром в нахождении путей решения проблем информационной безопасности, нуждающимся в детализации и уточнении его главных понятий. При этом исходный точкой является тот факт, что информация, являясь непременным компонентом любой организованной системы:
- легко уязвима и поэтому доступна для дестабилизирующего воздействия большого числа разноплановых угроз;
- сама может являться источником значительного числа разноплановых угроз как для элементов системы, так и для внешней среды.
Из чего следует, что процесс обеспечения информационной безопасности при общей постановке проблемы достигается только при взаимоувязанном решении трех составляющих проблемы:
- защита циркулирующей в системе информации от дестабилизирующего влияния внутренних и внешних угроз;
- защита элементов информационной системы от дестабилизирующего воздействия внутренних и внешних угроз;
- защита внешней среды от угроз со стороны информационной системы.
Общая схема обеспечения информационной безопасности изображена на рисунке 1.
Рисунок 1. Общая схема обеспечения информационной безопасности
Обеспечение безопасности функционирования информационных систем производится путем установления требований к надежности и безопасности используемых в таких системах аппаратных и программных средств, проверки соответствия указанным требованиям, лицензирования отдельных видов деятельности по созданию и поддержке информационных и информационных систем, установления ограничений на приобретение и использование отдельных видов аппаратных и программных средств, используемых в информационных и информационных системах.
Перечень необходимых мер обеспечения информационной безопасности устанавливается в результате обследования информационной системы, учитывая соотношения затрат на защиту информации к возможному ущербу, связанному с ее разглашением, утратой, уничтожением, искажением, нарушением санкционированной доступности информации и работоспособности технических средств, обрабатывающих данную информацию, а также с учетом существующих возможностей ее перехвата и раскрытия ее содержания.
Оценка способности системы обеспечивать каждое из этих функциональных свойств, производится по сформулированной в нормативных документах по защите информации системе критериев оценки защищенности.
ГЛАВА 2.ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ ТОРГОВОЙ ПЛОЩАДКИ ООО «АВАНГАРД ТЕХНОЛОГИИ»
2.1 Описание организации
Электронная торговая площадка (ЭТП) объединяет информационные и технические решения, обеспечивающие взаимодействие покупателя и продавца посредством электронных каналов связи на всех этапах осуществления торгово-закупочной деятельности.
Для реализации веб интерфейса ЭТП был выбран движок Joomla. Joomla представляет собой бесплатную систему для создания веб-сайтов. Это проект с открытым исходным кодом, который, как и большинство подобных проектов, не стоит на месте. Он очень успешно развивается, в течение вот уже семи лет, и пользуется популярностью у миллионов пользователей по всему миру (http://joomla.ru).
Рассмотрим основные задачи, решаемые проведением торгов на электронных торговых площадках:
- расширение рынков сбыта полимерных покрытий;
Из-за того, что на ЭТП работает множество компаний, сформировывается огромная база спроса и предложений, которыми и пользуются участники, что в режиме реального времени позволяет осуществлять торговые операции.
- организация тендеров на проведение работ и закупку материалов;
Для крупных закупок товара ЭТП предоставляет клиентам возможность создания тендеров на работы или закупку материала, как один из самых эффективных и экономически выгодных инструментов ведения бизнеса. На сегодняшний день это одна из самых востребованная форм проведения закупок товаров и услуг, т.к. торговая площадка не лоббирует ничьих интересов и гарантирует непредвзятость в определении победителя.
- определение эффективности работы;
ЭТП может быть использована как инструмент маркетинга. С помощью ЭТП довольно просто провести анализ динамики продаж товаров и услуг организации, проанализировать востребованность товара на рынке, спрогнозировать спрос и предложение. Мощные инструменты статистики и анализа, применяемые на ЭТП, предоставляют уникальную возможность без лишних затрат принимать ключевые решения по развитию бизнеса. Предоставленный клиенту доступ в рабочую зону электронной торговой площадки предоставляет следующий функционал:
- рассылку или получение заявки на участие в тендере,
- прямое взаимодействие с потенциальными партнерами,
- отслеживание сделок, платежей по ним, а также графиков поставки товаров и услуг.
Современные тенденции развития рынка электронной коммерции в Российской Федерации указывают на формирование нового уровня управления торгово-закупочной деятельностью организации.
Действующие электронные торговые площадки, на которых проводится большинство торговых операций, не в полной мере реализуют заложенный в них потенциал роста, что связано, в первую очередь, с региональной замкнутостью и жесткой территориальной привязанностью участников торгов.
Работая на ЭТП, заказчик и поставщик могут успешно решать разнообразные вопросы, появляющиеся в повседневной деловой практике, потому что данные системы реализовывают ключевые функции:
1.Информационная функция позволяет просматривать перечень организаций, которые работают на ЭТП, получить информацию по интересующей организации.
2.Функционал маркетинга, который позволяет осуществлять поиск покупателей и потребителей интересующих услуг и работ, а так же получать информацию о спросе и предложениях на работы и услуги, которые размещают на площадке другие организации.
Электронная Торговая Площадка «Авангард технологии» позволяет собрать в едином информационно-торговом пространстве поставщиков и потребителей строительных товаров и услуг и предоставляет участникам данной площадки ряд сервисов, которые могут повысить эффективность их бизнеса. Заказчикам предоставляется возможность создавать электронные торги - тендеры, аукционы, запросы цен и предложений, - оптимизируя затраты, а поставщикам - участвовать в проводимых закупках, размещать информацию о предлагаемой продукции и услугах.
В некоторых случаях размещением торговых процедур занимаются специализированные компании, которые помимо размещения информации на торговой площадке обрабатывают полученный результат и даже, возможно, определяют победителя торгов или тендера.
3. Рекламная функция позволяет, разместив информацию об организации на площадке, сразу попасть в единое информационное пространство, контролируемое организатором.
4. Торговая функция позволяет в качестве организатора торгов осуществлять полный комплекс разнообразных торгово-закупочных мероприятий по получению товаров и услуг. В качестве участника торгов осуществлять комплекс действий для эффективной продажи собственных товаров и услуг.
5. Аналитическая функция позволяет проводить сравнительный анализ различных показателей деятельности организаций. Верно выбрать агентов для выполнения поставок, работ и услуг по интересующей тематике.
2.2 Выбор комплекса задач обеспечения информационной безопасности
Основываясь на практическом опыте, организация системы безопасности организации должна основываться на следующих принципах :
- непрерывность осуществляется мерами по обеспечению безопасности, основанными на постоянной готовности отражения как внешних, так и внутренних угроз безопасности организации. Из данного принципа следует необходимость понимания руководством организации того, что процесс обеспечения безопасности непрерывен по своей сути;
- комплексность подразумевает применение всех необходимых средств защиты финансовых, информационных, материальных и человеческих ресурсов в каждом отделе организации, на всех этапах функционирования бизнес-процессов. Реализация принципа комплексности определяется правовыми, организационными и инженерно-техническими мероприятиями без приоритетного выделения одного из них;
- своевременность подразумевает обеспечение безопасности, используя комплекс упреждающих мероприятий. Данным принципом предполагается постановка системы задач обеспечения безопасности еще на ранних стадиях разработки системы обеспечения безопасности, а также разработку эффективных мероприятий предупреждения нарушений интересам организации;
- законность подразумевает обеспечение безопасности, не противоречащее законодательству Российской Федерации и другим нормативным актам, утвержденным органами государственной власти. В настоящее время остается открытым вопрос позволительности определенных методов противодействия правонарушениям в рамках действующего законодательства;
- активность подразумевает обеспечение службы экономической безопасности организации достаточными для выполнения должностных обязанностей полномочиями и необходимыми материально-техническими средствами;
- универсальность подразумевает применение ряда мероприятий, дающих положительный эффект, не зависящий от места и времени их применения;
- экономическая целесообразность предполагает сопоставление возможного ущерба от угроз с затратами на их нейтрализацию. Как правило, стоимость системы обеспечения безопасности не должна превышать величины возможного ущерба от определенного риска;
- конкретность и надежность определяет конкретные виды ресурсов, выделяемые на обеспечение безопасности. При этом обязательно достаточное дублирование методов, форм и средств защиты для обеспечения режима безопасности организации;
- профессионализм подразумевает реализацию мер обеспечения безопасности только профессионально обученными специалистами. С учетом быстрого развития средств, систем и нормативной базы обеспечения безопасности требуется постоянное совершенствование мероприятий по защите на базе обучения сотрудников службы экономической безопасности;
- взаимодействие и координация осуществляются мерами обеспечения безопасности, основанными на четком взаимодействии соответствующих отделом и сотрудников. Вопросами взаимодействия и координации не только сотрудники и отделы, непосредственно отвечающие за безопасность, но все должностные лица организации;
- централизация управления и автономность обеспечивает организационно-функциональную самостоятельность процесса организации защиты всех ее объектов, а также централизованное управление процесса обеспечения безопасности организации в целом.
Общая структура обеспечения информационной безопасности предприятия должна включать следующие подсистемы:
- управления доступом, регистрации и учета;
- антивирусной защиты информации;
- подсистемы межсетевого экранирования;
- подсистема обнаружения вторжений;
- подсистемы анализа защищенности;
- защиты каналов передачи данных (криптографические средства).
Комплекс технологической документации по обеспечению режима информационной безопасности электронной торговой площадки ООО «Авангард технологии» включает:
- Инструкцию по порядку доступа пользователей в компьютерную сеть;
- Инструкцию о порядке действий в нештатных ситуациях;
- Инструкцию по порядку резервного копирования и архивирования информации;
- Инструкцию по обеспечению работоспособности ЛBC;
- Инструкцию по организации антивирусной защиты;
- Инструкцию по организации парольной защиты;
- Инструкцию по регламентации работы администратора и начальника отдела организации.
Выполнение работниками организации требований данных инструкций позволяет избежать сбоев в обработке информации средствами вычислительной техники.
Данные разрозненные нормативно-правовые акты, регламентирующие обеспечение безопасности информации, объединяются в единый документ верхнего уровня - политику информационной безопасности.
Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на обеспечение информационной безопасности в информационных системах, включая бумажный документооборот и обмен речевой конфиденциальной информацией. Политика информационной безопасности представляет пакет документов, включающих головной документ - «Политика информационной безопасности» и документы, регламентирующие процессы обеспечения информационной безопасности, деятельность должностных лиц инфраструктуры информационной безопасности и пользователей информационных систем организации.
Цель политики - выработать и утвердить единые требования и правила, способные обеспечить надлежащую защиту информации и бесперебойную работу информационных систем организации свести к минимуму возможный ущерб от их эксплуатации посредством разработки эффективных превентивных и восстановительных мер противодействия угрозам безопасности.
Документ описывает цели и задачи информационной безопасности, определяет совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется организация в своей деятельности, а также устанавливает должностных лиц, являющихся ответственными за реализацию политики ИБ и поддержание ее в актуальном состоянии.
Требования настоящего документа обязательны для выполнения всеми должностными лицами электронной торговой площадки ООО «Авангард технологии».
2.3 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия
информационная безопасность электронная торговая
Общая структура обеспечения информационной безопасности предприятия должна включать следующие подсистемы:
- управления доступом, регистрации и учета;
- обеспечения целостности;
- антивирусной защиты информации;
- подсистемы межсетевого экранирования;
- подсистема обнаружения вторжений;
- подсистемы анализа защищенности;
- защиты каналов передачи данных (криптографические средства).
Обеспечение безопасности в joomla.
- Резервное копирование и восстановление Akeeba Backup Core ;
- Защита административной зоны jSecure Lite;
- Защита от спама osolCaptcha;
- Защита от SQL иньекций RSFirewall
- Проверка на подлинность бесплатный SSL сертификат от StartSSL
Стоит заметить, что важным требованием к применяемым средствам защиты является наличие действующих сертификатов ФСТЭК и ФСБ (в части криптографических средств защиты).
Сравнительные характеристики рассматриваемых средств защиты приведены в таблице 11.
Таблица 11
Таблица сравнительного анализа средств защиты информации
Наименование средства защиты |
Компания производитель (адрес, сайт) |
Характеристики |
Наличие сертификатов ФСТЭК, ФСБ и др. |
Стоимость, руб./шт. |
Примечание |
|
Kaspersky Open Space Security Certified Media Pack Customized |
ЗАО «Лаборатория Касперского» |
Защищаемые узлы - Рабочие станции - Мобильные устройства - Файловые и почтовые серверы - Серверы совместной работы - Интернет-шлюзы Управление - Единая консоль, MDM, SystemsManagement |
3025 -ФСТЭК |
1 999.99 |
||
Dr.Web Enterprise Security Suite версии 6.0 |
ООО «Доктор Веб» |
Защищаемые узлы - Рабочие станции - Мобильные устройства - Файловые и почтовые серверы - Серверы совместной работы - Интернет-шлюзы Управление Единая консоль администрирования |
2246 от 20.09.2011 выдан ФСТЭК России |
1 990.00 |
||
Trend Micro Enterprise Security 10.0 |
ЗАО «НПО «Эшелон» |
Защищаемые узлы - Рабочие станции - Мобильные устройства - Файловые и почтовые серверы - Серверы совместной работы - Интернет-шлюзы Управление Единая консоль администрирования |
2336 от 19.05.2011 выдан ФСТЭК России |
1 500,00 |
||
ESET NOD32 PlatinumPack 4.0 |
ЗАО «ESET Россия» |
Защищаемые узлы - Рабочие станции - Мобильные устройства - Файловые и почтовые серверы - Серверы совместной работы - Интернет-шлюзы Управление Единая консоль администрирования |
1914 от 22.06.2009 выдан ФСТЭК России |
1 500,00 |
Срок действия сертификата истек |
|
Электронный замок «Соболь» |
НИП «Информзащита» |
Модуль доверенной загрузки |
СФ/027-1449 от 01.12.2013 выдан ФСБ России, 1967 от 13.08.2007 выдан ФСТЭК России |
10 220.00 |
||
Электронный замок «Аккорд-АМДЗ» |
ЗАО «ОКБ САПР» |
Модуль доверенной загрузки |
СФ/127-2255 от 01.12.2013 выдан ФСБ России, 246/7 от 13.08.2007 выдан ФСТЭК России |
12 589.00 |
||
АПКШ «Континент» |
НИП «Информзащита» |
Аппаратно-программный комплекс защиты каналов связи |
255 000.00 |
Цена указана на криптошлюз и ЦУС |
||
VPN/FW «ЗАСТАВА» 5.3 |
ОАО «ЭЛВИС-ПЛЮС |
Аппаратно-программный комплекс защиты каналов связи |
СФ/114-1635 от 30.03.2011 выдан ФСБ России, 2573 от 16.02.2012 выдан ФСТЭК России |
301 000.00 |
Срок действия сертификата выданного ФСБ России истек, сведения о новом сертификате неизвестны |
|
МЭ TrustAccess |
НИП «Информзащита» |
Межетевой экран высокого класса защиты |
14 000.00 |
|||
МЭ Ideco ICS |
ООО «Айдеко» |
Межетевой экран высокого класса защиты |
2282 от 22.02.2011 выдан ФСТЭК России |
14 958.00 |
||
МЭ ИКС |
ООО «А-Реал Консалтинг» |
Межетевой экран высокого класса защиты |
ФСТЭК №2623 от 19 апреля 2012 г. |
215 700 |
Цена на программное и аппаратное обеспечение, включая техническую поддержку |
Таким образом, для организации системы информационной безопасности электронной торговой площадки ООО «Авангард технологии» были выбраны следующие средства защиты.
Для реализации поставленных целей предполагается установка антивирусного программного средства «Kaspersky Open Space Security Certified Media Pack Customized».
Согласно результатам тестирования 39 антивирусов COMSS.TV: 2014 Q1 продукты Лаборатории Касперского заняли почетное 3 место.
Поэтому для рабочих станций и серверного оборудования на предприятии выберем Антивирус Касперского. Для централизованного администрирования - комплекс Kaspersky Security Center, который функционирует в любых TCP/IP сетях - как в одноранговых, так и в сетях с доменной структурой.
Раньше IT-департаменту приходилось работать одновременно с несколькими консолями управления, чтобы управлять многочисленными средствами обеспечения безопасности, а также для выполнения основных функций системного администрирования. «Лаборатория Касперского» создала решение, упрощающее работу администратора.
Kaspersky Security Center одлабает следующими преисуществами:
Простота управления
Главной целью создания Kaspersky Security Center было стремление упростить и ускорить процессы настройки, запуска и управления для средств обеспечения IT-безопасности и систем в сложной IT-среде. Единая консоль управления помогает контролировать все используемые средства обеспечения безопасности и системного администрирования «Лаборатории Касперского». С Kaspersky Security Center можно контролировать каждое рабочее место и каждое устройство в сети, централизованно решать задачи обеспечения безопасности, а также снизить операционные издержки и повысить производительность.
Интуитивно понятный интерфейс
При разработке Kaspersky Security Center были сделаны приоритеты предоставления пользователю максимально простого в использовании интерфейса с четко организованными панелями мониторинга.
Простая установка
С помощью мастера установки можно быстро и просто устанавливать и настраивать решения для обеспечения безопасности «Лаборатории Касперского» во всей IT-среде.
Удаленный доступ
В дополнение к локальной консоли управления в Kaspersky Security Center имеется удобная веб-консоль. Наличие такой консоли позволяет использовать любой компьютер с выходом в интернет, чтобы отслеживать состояние защиты корпоративной сети.
Простая отчетность
Kaspersky Security Center позволяет создавать и настраивать различные отчеты о состоянии защиты. Отчеты могут формироваться как по требованию, так и согласно заданному расписанию.
Поддержка мультиплатформенных сред
Работая в операционной системе Windows, Kaspersky Security Center поддерживает управление множеством операционных систем и платформ, включая серверы и рабочие станции под управлением Windows, Linux, а также мобильные устройства под управлением Android, iOS, BlackBerry, Symbian, Windows Mobile и Windows Phone.
Предлагается установить сертифицированный межсетевой экран.
Программное обеспечение TrustAccess является распределенным межсетевым экраном высокого класса защиты с функцией централизованного управления и аудита событий информационной безопасности и предназначено для защиты рабочих станций и серверов локально-вычислительной сети от несанкционированного доступа, разграничения сетевого доступа к информационным системам предприятия.
Внедрение данного программного обеспечения не требует изменения структуры существующей сетевой инфраструктуры. Программное обеспечение может быть использовано как для защиты физических, так и виртуальных машин, как в сетях с доменной структурой, так и в одноранговых.
Используя TrustAccess можно разграничить доступ к сетевым службам при взаимодействии в терминальной среде, разделить права доступа к сетевым ресурсам на основе уровней допуска или должностных инструкций сотрудников.
Данного программного обеспечения реализует следующий функционал:
- аутентификацию сетевых соединений на уровне компьютером и пользователей;
- фильтрацию сетевых соединений;
- защиту сетевых соединений;
- регистрацию событий информационной безопасности;
- осуществление контроля целостности и защиту от несанкционированного доступа;
- функции централизованного управления;
- функции централизованного сбора и отображения данных аудита, информационной безопасности;
- генерацию отчетов по событиям информационной безопасности на защищаемых компьютерах;
- интеграцию с другими система защиты, например, SecretNet 7.
Для защиты рабочих станций и серверов от несанкционированного доступа предлагается установка ПАК «Соболь».
Электронный замок «Соболь» является аппаратно-программным средством защиты компьютера от несанкционированного доступа, реализующим функции доверенной загрузки.
Электронный замок «Соболь» может обеспечивать защиту как автономного персонального компьютера, так и сервера или рабочей станции, входящих в состав локально-вычислительной сети.
Электронной замок «Соболь» реализуется следующие возможности:
- аутентификацию пользователей;
- блокировку загрузки операционной системы со съемных носителей;
- обеспечение контроля целостности программной инфраструктуры;
- обеспечение контроля целостности системного реестра операционной системы;
- обеспечение контроля конфигурации компьютера или сервера;
- функцию сторожевого таймера;
- регистрацию попыток доступа к компьютеру или серверу;
Использование для организации системы защиты информации электронного замка «Соболь» обеспечиваются следующими конкурентными преимуществами:
- наличием сертификатов ФСБ и ФСТЭК России;
- системой защиты информации вплоть до государственной тайны;
- консультативной помощью разработчика в создании прикладных криптографических приложений;
- простотой установки, настройки и эксплуатации данного программно-аппаратного комплекса;
- обеспечением поддержки 64-битных операционных систем;
- обеспечением поддержки большинства наиболее распространенных персональных идентификаторов;
- гибким выбором формата исполнения платы программно-аппаратного комплекса и вариантов комплектации;
- реализована поддержка файловой системы Linux;
- поддерживается высокоскоростной режим USB для усиленной идентификации сотрудников предприятия.
Программно-аппаратный комплекс «Соболь» может быть дополнен системой защиты SecretNet 7.0, сертифицированным средством защиты информации от несанкционированного доступа.
Полученные сертификаты позволяют применять данную систему защиты от несанкционированного доступа для защиты, в том числе, и информационных систем персональных данных вплоть до класса УЗ1.
Данное программное обеспечение обеспечивает следующие возможности:
- аутентификацию сотрудников предприятия;
- разграничение доступа пользователей к информации и ресурсам автоматизированной системы;
- функции доверенной информационной среды;
- контроль утечек и каналов распространения конфиденциальной информации;
- контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации;
- функции централизованного управления системой защиты, оперативный мониторинг и аудит безопасности;
- масштабируемой системой защиты, возможностью применения SecretNet в сетевом варианте на предприятиях с большим количеством филиалов.
- защитой терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов.
Существуют следующие варианты развертывания системы:
- автономный режим, предназначенный для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.
- Сетевой режим (с централизованным управлением), предназначенный для развертывания в доменной сети c ActiveDirectory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант SecretNetможет быть успешно развернут в сложной доменной сети.
Дополнительно может быть установлено:
- Плата аппаратной поддержки SecretNetCard.
Для защиты сетевой инфраструктуры предлагается установка АПКШ «Континент».
Аппаратно-программный комплекс шифрования «Континент» сертифицирован ФСБ и ФСТЭК России как средство проектирования виртуальных частных сетей на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.
Аппаратно-программный комплекс шифрования «Континент» версии 3.7 реализует все необходимые возможности:
- объединения на основе глобальных сетей общего пользования территориально распределенных локально-вычислительных сетей предприятия в единую сеть виртуальных частных сетей;
- удаленный защищенный доступ к информационным ресурсам предприятия для мобильных пользователей, посредством защищенного соединения;
- разграничение на сетевом уровне прав доступа между информационными подсистемами предприятия;
- сегментирование локально-вычислительных сетей предприятия;
- организацию защиты обмена данными со сторонними предприятиями;
- функции безопасного удаленного управления маршрутизаторами;
- появившаяся в данной версии система обнаружения вторжений соответствует требованиям ФСТЭК России по 3 классу;
- реализованные механизмы межсетевого экранирования соответствуют требованиям ФСТЭК России по 2 классу.
Использование АПКШ «Континент» 3.7 обеспечивает предприятие следующими преимуществами:
- высокой надежностью и отказоустойчивостью функционирования;
- простотой внедрения и обслуживания комплекса;
- удобными средствами управления и поддержки комплекса;
- высокой пропускной способностью;
- высокой масштабируемостью;
- существующей поддержкой всех современных технологий и протоколов.
ЗАКЛЮЧЕНИЕ
Информация является одним из наиболее критичных ресурсов электронной торговой площадки ООО «Авангард технологии», необходимым для реализации задач управления, выработки и принятия управленческих решений.
Система информационной безопасности - это функционирующая как единое целое совокупность мероприятий и средств, устремленная на ликвидацию внутренних и внешних угроз жизненно важным интересам субъекта безопасности, создание, поддержание и развитие состояния защищенности его информационной среды.
Внедрение разработанных мер обеспечения безопасности информационной системы электронной торговой площадки, позволяет повысить общий уровень защищенности информационной системы компании и всей информации, нуждающейся в защите.
Таким образом, задание на курсовую работу выполнено в полном объеме, поставленные цели достигнуты.
ЛИТЕРАТУРА
Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2009.-272с.
Домарев В.В. Безопасность информационных технологий. Системный подход - К.:ООО ТИД «Диасофт», 2011. - 992 с.
Казарин О.В. Безопасность программного обеспечения компьютерных систем. - М.: МГУЛ, 2011. - 212 с.
Крайнова О. Управление предприятиями в сфере информационных технологий -- М.: ДМК Пресс, 20011 - 144 с.
Лапонина О. Р. Межсетевое экранирование. - М.: Бином, 2009. -354 с.
Лебедь С. В. Межсетевое экранирование: Теория и практика защиты внешнего периметра. - М.: Из-во Московского технического университета им. Баумана, 2006. - 304 с.
Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком, 2011. - 280 с.
Малюк А.А., Пазизин СВ., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. - 2-е изд. - М.: Горячая линия-Телеком, 2010.- 147 с.
Сборник статей. А.Ю.Щеглов, К.А.Щеглов. Под общим названием «КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ. Новые технологии, методы и средства добавочной защиты информации от несанкционированного доступа (НСД)». - СПб.: Питер, 2010. - 187 с.
Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности - СПб: Питер, 2008.- 320 с.
Торокин А. А. Инженерно-техническая защита информации - М: Гелиос АРВ, 2005. - 449 c.
Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие. - М.: Гостехкомиссия России, 2008. - 320 с.
Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. - М.: Юниор, 2007. - 504 с.
Щеглов А.Ю., Защита компьютерной информации от несанкционированного доступа. - М.: Наука и техника, 2009. - 384 с
Яковлев В.В., Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях банковского сектора. - М., 2011. - 327 с.
Ярочкин В.И. Информационная безопасность. Учебное пособие. - М.: Международные отношения, 2011. - 400 с.
Размещено на Allbest.ru
Подобные документы
Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Особенности информационной безопасности банков. Человеческий фактор в обеспечении информационной безопасности. Утечка информации, основные причины нарушений. Комбинация различных программно-аппаратных средств. Механизмы обеспечения целостности данных.
контрольная работа [22,3 K], добавлен 16.10.2013Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Организационно-функциональная структура компании. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности. Система видеонаблюдения и пропускного контроля. Расчёт показателей экономической эффективности проекта.
дипломная работа [1,2 M], добавлен 25.03.2013Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Понятие информации и информатизации. Современная концепция безопасности и характеристика средств обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида.
дипломная работа [208,6 K], добавлен 26.01.2013Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.
дипломная работа [1,1 M], добавлен 15.09.2012