Разработка системы информационной безопасности на предприятии

Разработка системы информационной безопасности на предприятии
Информационная безопасность
дипломная
98
2018
RUB 3675
3675р.

Нажмите, чтобы зарегистрироваться. Работа будет добавлена в личный кабинет.

СПИСОК СОКРАЩЕНИЙ 4
ВВЕДЕНИЕ 6
1. ТЕОРЕТИЧЕСКИЙ РАЗДЕЛ 8
1.1 Виды защищаемой информации 8
1.2 Угрозы и уязвимости информации 11
1.3 Уязвимости web-приложений 21
1.4 Несанкционированный доступ 31
1.5 Анализ деятельности предприятия ООО «МаксТрейдинг» 35
1.5.1 Анализ организационной деятельности ООО «МаксТрейдинг» 35
1.5.2 Анализ информационных потоков организации 42
1.5.3 Исследование возможных угроз 46
2 ОПИСАНИЕ КОМПЛЕКСНЫХ МЕР ПО ПРЕДОТВРАЩЕНИЮ АКТУАЛЬНЫХ УГРОЗ 47
2.1 Общие принципы защиты персональных данных 47
2.2 Система обеспечения информационной безопасности 51
2.3 Этапы создания системы обеспечения информационной безопасности 53
2.4 Выбор средств межсетевой защиты 56
3 ВНЕДРЕНИЕ СИСТЕМЫ ЗАЩИТЫ В ТЕСТОВОМ РЕЖИМЕ 59
3.1 Внедрение СОВ 59
3.2 Выбор и внедрение средств защиты рабочих станций и сервера от НСД 71
3.3 Разработка организационных мероприятий по защите конфиденциальной информации 76
3.4 Экономическая эффективность от внедрения СОВ на предприятии 80
ЗАКЛЮЧЕНИЕ 88
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 91
ПРИЛОЖЕНИЕ А 96

В настоящее время технические средства ПЭВМ, компьютерные сети, автоматизированные системы находят применение в различных сферах деятельности человека. Одна из таких сфер — управление производственными и технологическими процессами. Автоматизированная система управления производственными и технологическими процессами является сложной системой, которая требует защиты, т. к. получение управления производственными и технологическими процессами третьими лицами может привести к серьёзным материальным затратам, гибели людей, техногенным катастрофам и т. п.
Сформированный защитные меры относительно информации, информационных систем, сервисов или сетей и касающиеся их информационной безопасности (ИБ) не всегда могут полностью гарантировать защиту. После внедрения таких мер могут остаться уязвимые места, которые повлекут за собой возникновение инцидентов информационной безопасности, снижение уровня защищенности информации, и, как правило, выявление новых угроз. Если организация не готова к быстрой реакции на такие инциденты, то увеличивается негативное воздействия на бизнес-деятельности организации.
Таким образом, если организация серьезно относится к вопросам информационной безопасности, она должна применять структурный и плановый подход к:
- мероприятиям по обнаружению и оповещению об инцидентах информационной безопасности, а также их оценке;
- мероприятиям по реагированию на инциденты информационной безопасности (активизация защитных мероприятий);
- мероприятиям по извлечению уроков из инцидентов информационной безопасности, введению превентивных защитных мер и улучшению общего подхода к сбору и оценке событий информационной безопасности. Это все реализуется путем создания комплексной системы информационной безопасности предприятия, что, собственно, и обуславливает актуальность данной ВКР.
Прежде чем проектировать систему защиты информации на предприятии, необходимо определить, какая информация подлежит защите.
Информация подразделяется на общедоступную информацию и ограниченного доступа
Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
К информации ограниченного доступа относят государственную тайну и сведения конфиденциального характера (конфиденциальная информация). Перечень сведений конфиденциального характера определен в указе президента N 188 в РФ. [1]. Согласно данному указу в РФ действует следующий перечень сведений конфиденциального характера:
1. Персональные данные, согласно закону о персональных данных [2], это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность В эти сведения не могут входить те, которые подлежат распространению в СМИ в установленных федеральными законами случаях.
Согласно Федеральному закону N 143-ФЗ [3] персональными данными также являются сведения, которые стали известны работнику органа записи актов гражданского состояния при государственной регистрации акта гражданского состояния.
1. Указ президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" // Вестник Высшего Арбитражного Суда Российской Федерации, 1997, N 5
2. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных// "Российская газета", N 165, 29.07.2006,
3. Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" // Собрание законодательства Российской Федерации от 24 ноября 1997 г., N 47, ст. 5340
4. Федеральный закон от 20.04.1995 N 45-ФЗ (ред. от 07.02.2017) "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов"// "Российская газета", N 82, 26.04.1995
5. Федеральный закон от 20.08.2004 N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" потерпевших, свидетелей и иных участников уголовного судопроизводства" // "Собрание законодательства РФ", 23.08.2004, N 34, ст. 3534
6. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 N 51-ФЗ // "Собрание законодательства РФ", 23.08.2004, N 34, ст. 3534
7. Проект № 124871-4 Федерального закона «О служебной тайне». [Электронный ресурс]. - Режим доступа: http://www.iso27000.ru/zakonodatelstvo/federalnye-zakony-rf/federalnyi-zakon-o-sluzhebnoi-taine-proekt-No-124871-4
8. Постановление Правительства 3 ноября 1994 г. n 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» // Собрание Законодательства РФ, №30, 25.07.2005
9. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне" // "Парламентская газета", N 144, 05.08.2004
10. Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ // "Собрание законодательства РФ", 17.06.1996, N 25, ст. 2954
11. Федеральный закон от 02.10.2007 N 229-ФЗ (ред. от 28.12.2016) "Об исполнительном производстве" // "Российская газета", N 223, 06.10.2007
12. Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) "О государственной тайне" // "Собрание законодательства РФ", 13.10.1997, N 41, стр. 8220-8235
13. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. зам. директора ФСТЭК России 15.02.08 г. (ДСП) [Электронный ресурс]. - Режим доступа: http://fstec.ru/.
14. Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. - М.: Гостехкомиссия РФ, 1998. - 320 с.
15. Приказ ФСТЭК N21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». [Электронный ресурс] – Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=146520&fld=134&dst=1000000001,0&rnd=0.9189881543179738#1
16. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" // "Российская газета", N 256, 07.11.2012
17. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" // "Российская газета", N 4637, 12.04.2008
18. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" // "Российская газета", N 256, 07.11.2012
19. Приказ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" (утратил силу с 11.03.2014 на основании совместного приказа ФСТЭК России, ФСБ России и Минкомсвязи России от 31 декабря 2013 года N 151/786/461) // Электронный документ. Режим доступа: http://fstec.ru/.
20. ГОСТ Р ИСО / МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности». [Электронный ресурс] – Режим доступа: http://ohranatruda.ru/ot_biblio/normativ/data_normativ/54/54719/#i264894.
21. ИСО / МЭК 13335-1:2004 Информационная технология. Методы обеспечения безопасности. Управление безопасностью информационных и телекоммуникационных технологий - Часть 1 - Концепция и модели управления безопасностью информационных и телекоммуникационных технологий. [Электронный ресурс] – Режим доступа: http://docs.cntd.ru/document/1200048398.
22. ИСО / МЭК 17799:2000 Информационная технология. Практические правила управления информационной безопасностью. [Электронный ресурс] – Режим доступа: http://www.kmgep.kz/data/filedat/default/ISO_IEC_17799_2000_rus.pdf.
23. ГОСТ Р ИСО / МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. [Электронный ресурс] – Режим доступа: http://www.altell.ru/legislation/standards/13335-1.pdf
24. Новый подход к защите информации – системы обнаружения компьютерных угроз. [Электронный ресурс] – Режим доступа: http://www.jetinfo.ru/stati/novyj-podkhod-k-zaschite-informatsii-sistemy-obnaruzheniya-kompyuternykh Jet Info №4,
25. Годовой отчет по безопасности лаборатории Касперского за 2016 год. [Электронный ресурс]. – Режим доступа: [http://www.kaspersky.ru/about/news/virus/2016/95_procentov_kompan_za_god_podvergl_kiberatakam_izvne/
26. Кaspersky security bulletin 2015. [Электронный ресурс] – Режим доступа: https://securelist.ru/files/2015/12/Kaspersky-Security-Bulletin-2015_FINAL_RUS.pdf
27. Отчет о безопасности Cisco [Электронный ресурс] – Режим доступа: http://www.cisco.com/c/dam/m/ru_ru/offers/assets/pdfs/cisco_2016_asr_012816_ru_lowres.pdf
28. Платонов В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей: учебное пособие для студ. высш. учеб. заведений. – М.: Издательский центр «Академия», 2006. – 240 с.
29. Зефиров С.Л., Щербакова А.Ю. Оценка инцидентов информационной безопасности // Доклады ТУСУРа, 2014. – № 2 (32). – С. 77-81.
30. Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" .[Электронный ресурс] – Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/384-rukovodyashchij-dokument-reshenie-predsedatel
31. Инциденты информационной безопасности в России. [Электронный ресурс] – Режим доступа: http://www.plusworld.ru/upload/iblock/847/84763af2aed3a78a8f9675694a61384a.pdf
32. Голов А.Г. Обеспечение информационной безопасности современного банка // СЮ, 2006. – №6. – 256 с.
33. ISO TR 13569 Banking and related financial services - Information security guidelines. [Электронный ресурс] – Режим доступа: http://files.stroyinf.ru/Data/489/48979.pdf
34. ГОСТ P ИСО / МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью». [Электронный ресурс] – Режим доступа: http://docs.cntd.ru/document/1200044724
35. Курилов Ф. М. Оптимизационный метод проведения сравнительного анализа средств защиты информации от несанкционированного доступа // Технические науки: проблемы и перспективы: материалы III междунар. науч. конф. (г. Санкт-Петербург, июль 2015 г.). – СПб.: Свое издательство, 2015. – С. 40-44.