Проектирование системы контроля и управления доступом на предприятии ...
Заказать уникальную дипломную работу- 60 60 страниц
- 33 + 33 источника
- Добавлена 21.06.2015
- Содержание
- Часть работы
- Список литературы
- Вопросы/Ответы
ВВЕДЕНИЕ 4
1 АНАЛИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ ХОЗЯЙСТВУЮЩЕГО СУБЪЕКТА КАК ОБЪЕКТА ЗАЩИТЫ 6
1.1 Анализ организационно-функциональной структуры предприятия 6
1.2 Анализ схемы локально вычислительной сети организации 9
1.3 Анализ информационных потоков организации 12
1.4 Разработка модели угроз и уязвимостей 16
Выводы 17
2 РАЗРАБОТКА СИСТЕМЫ КОНТРОЛЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ 19
2.1 Анализ нормативно-правовой базы защиты конфиденциальной информации в информационной системе и на автоматизированных рабочих
местах 19
2.2 Разработка комплекса правовых и организационных документов 24
2.3 Разработка комплекса технических мероприятий 24
2.4 Разработка комплекса программно-аппаратных мероприятий 32
Выводы 34
3 ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРЕДЛОЖЕННЫХ РЕШЕНИЙ 36
3.1 Выбор средств защиты информации 36
3.2 Рекомендации по внедрению и настройке защиты информации 39
3.3 Экономическое обоснование 50
Выводы 54
ЗАКЛЮЧЕНИЕ 55
СПИСОК ЛИТЕРАТУРЫ 58
2.2. Разрабатывает правила эксплуатации вычислительной сети, определяет полномочия пользователей вычислительной сети по доступу к ресурсам вычислительной сети, осуществляет административную поддержку (настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т.п.). 2.3. Участвует в разработке технологии обеспечения информационной безопасности Компании, предусматривающей порядок взаимодействия подразделений ООО «Меридиан»по вопросам обеспечения безопасности при эксплуатации вычислительной сети и модернизации ее программных и аппаратных средств. 2.4. Предотвращает несанкционированные модификации программного обеспечения, добавление новых функций, несанкционированный доступ к информации, аппаратуре и другим общим ресурсам вычислительной сетиООО «Меридиан». 2.5. Осуществляет сопровождение и, при необходимости, доработку внедренных программных средств по информационной защите Компании. 2.6. Разрабатывает программы для информационной защиты вычислительной сети и сетевых приложенийООО «Меридиан». 2.7. Разрабатывает способы и методы организации доступа пользователей вычислительной сети к ресурсам вычислительной сети Компании. 2.8. Ведет журналы, необходимые для нормального функционирования вычислительной сетиООО «Меридиан». 2.9. Информирует руководство ООО «Меридиан»об уязвимых местах вычислительной сети, возможных путях несанкционированного доступа и воздействия на вычислительную сетьООО «Меридиан». Права3.1. Администратор информационной безопасности вычислительной сети имеет право: • на предоставление ему работы, обусловленной трудовым договором; • на предоставление ему рабочего места, соответствующего государственным нормативным требованиям охраны труда; • на предоставление ему полной и достоверной информации об условиях труда и требованиях охраны труда на рабочем месте; • на профессиональную подготовку, переподготовку и повышение своей квалификации в порядке, установленном Трудовым кодексом РФ, иными федеральными законами; • на получение материалов и документов, относящихся к своей деятельности, ознакомление с проектами решений руководстваООО «Меридиан», касающимися его деятельности; • на взаимодействие с другими подразделениями Компании для решения оперативных вопросов своей профессиональной деятельности; • запрашивать и получать от сотрудников Компании информацию и документы, необходимые для выполнения своих должностных обязанностей; • участвовать в разборе конфликтных ситуаций, связанных с нарушением информационной безопасностиООО «Меридиан»; • участвовать в проверках и профилактическом обслуживании сторонними специалистами аппаратно–программных средствООО «Меридиан»; • сообщать руководителю Группы информационной безопасности обо всех выявленных в процессе осуществления должностных обязанностей недостатках и сбоях информационной безопасности ООО «Меридиан»и вносить предложения по их устранению в пределах своей компетенции; • представлять на рассмотрение своего непосредственного руководителя предложения по вопросам своей деятельности; • привлекать специалистов соответствующих структурных подразделений Компании к выполнению возложенных на него должностных обязанностей в случаях, предусмотренных организационно – распорядительной документацией в части касающейся работы Группы информационной безопасности Компании. 3.2. Работник вправе требовать от ООО «Меридиан»оказания содействия в исполнении своих должностных обязанностей. ОтветственностьАдминистратор информационной безопасности вычислительной сети ООО «Меридиан»несет административную и уголовную ответственность в соответствии с действующим законодательством Российской Федерации, и нормативными актами в следующих случаях: 4.1. Разглашения сведений, составляющих коммерческую тайнуООО «Меридиан», ставшую ему известной в связи с исполнением должностных обязанностей. 4.2. использование знаний служебной информации и (или) сведений, содержащих коммерческую тайну, которые стали известны в связи с исполнением должностных обязанностей для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущербООО «Меридиан». 4.3. Неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящей должностной инструкцией, - в соответствии с действующим трудовым законодательством. 4.4. Нарушение правил техники безопасности и инструкции по охране труда. 4.5. Непринятие мер по пресечению выявленных нарушений правил техники безопасности, противопожарных и других правил, создающих угрозу деятельности Компании и ее сотрудникам. 4.6. Правонарушения, совершенные в период осуществления своей деятельности, в соответствии с действующим гражданским, административным и уголовным законодательством. 4.7. Причинение материального ущерба - в соответствии с действующим законодательством РФ. Условия работы5.1. Режим работы Работника определяется в соответствии с Правилами внутреннего трудового распорядка, установленными в Компании. 5.2. В связи с производственной необходимостью Работник обязан выезжать в служебные командировки (в т.ч. местного значения). Хранение записейНастоящая документ не порождает записей. Лист рассылки•Все сотрудники Группы информационной безопасности. Лист регистрации измененийРазработал:Должность разработчикаФИО разработчикаРуководитель структурного подразделенияФИО РСПЛист согласованияСОГЛАСОВАНО:должностьличная подписьи.о. фамилиядолжностьличная подписьи.о. фамилиядолжностьличная подписьи.о. фамилиядолжностьличная подписьи.о. фамилияЛист ознакомленияС настоящей должностной инструкцией ознакомлен:№ п/пДатаДолжностьПодписьИ.О.Фамилия
2. БачилоИ.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.
3. Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 с
4. БиячуевТ.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.
5. Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил.
6. БождайА.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.
7. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 с
8. ГайдамакинН.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.
9. Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.
10. Государственный стандарт Российской Федерации ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
11. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
12. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
13. ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
14. ДомаревВ.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИДДиа Софт, 2004. –992 с.
15. Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере; Форум - Москва, 2014. - 368 c.
16. Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации; Форум - Москва, 2011. - 256 c.
17. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.
18. Мельников, Виталий Викторович Защита информации в компьютерных системах; М.: Финансы и статистика; Электроинформ - Москва, 2010. - 368 c.
19. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)
20. Некраха А. В., Шевцова Г. А. Организация конфиденциального делопроизводства и защита информации; Академический Проект - , 2011. - 224 c.
21. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
22. Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.
23. Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
24. Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
25. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
26. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
27. Северин В. А. Комплексная защита информации на предприятии; Городец - Москва, 2013. - 368 c.
28. Спесивцев, А.В.; Вегнер, В.А.; Крутяков, А.Ю. Защита информации в персональных ЭВМ; М.: Радио и связь - Москва, 2012. - 192 c.
29. Судоплатов А.П., Пекарев СВ. Безопасность предприниматель-ской деятельности: Практическое пособие. VI.: 2001.
30. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г.
31. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.12.2013) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.02.2014).
32. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) "О персональных данных"
33. Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 28.12.2013)
Вопрос-ответ:
Какие аспекты анализируются при проектировании системы контроля и управления доступом на предприятии?
При проектировании системы контроля и управления доступом на предприятии анализируются организационно-функциональная структура предприятия, схема локально вычислительной сети и информационные потоки организации.
Что включает в себя анализ организационно-функциональной структуры предприятия?
Анализ организационно-функциональной структуры предприятия включает в себя изучение подразделений, их функций, ролей и уровней доступа к информации.
Как проводится анализ схемы локально вычислительной сети организации?
Анализ схемы локально вычислительной сети организации включает оценку сетевой инфраструктуры, определение уровней доступа к ресурсам и выявление потенциальных уязвимостей.
Что включает в себя анализ информационных потоков организации?
Анализ информационных потоков организации включает в себя изучение способов передачи информации, определение ее конфиденциальности и целостности, а также выявление угроз и уязвимостей, связанных с информационными потоками.
Какие выводы можно сделать по результатам разработки модели угроз и уязвимостей?
По результатам разработки модели угроз и уязвимостей можно сделать выводы о наиболее критических уязвимостях, которым подвержена система контроля и управления доступом, и предложить меры для их устранения и предотвращения потенциальных угроз.
Зачем нужна система контроля и управления доступом на предприятии?
Система контроля и управления доступом на предприятии необходима для обеспечения безопасности информационных ресурсов и ограничения доступа к ним только уполномоченным сотрудникам. Она позволяет установить правила доступа для каждого пользователя, а также контролировать и записывать все попытки несанкционированного доступа.
Как происходит анализ информационной системы хозяйствующего субъекта?
Анализ информационной системы хозяйствующего субъекта включает в себя анализ организационно-функциональной структуры предприятия, анализ схемы локально-вычислительной сети организации и анализ информационных потоков организации. Это позволяет определить уязвимые места, потенциальные угрозы и разработать модель угроз и уязвимостей.
Какие шаги включает разработка системы контроля и разграничения доступа?
Разработка системы контроля и разграничения доступа включает анализ нормативных документов, определение ролей и прав доступа, создание базы данных пользователей, реализацию механизмов аутентификации и авторизации, а также контроль и мониторинг доступа пользователей.
Какие выводы можно сделать после анализа информационной системы хозяйствующего субъекта?
После анализа информационной системы хозяйствующего субъекта можно сделать выводы о наличии потенциальных угроз и уязвимостей, необходимости улучшения механизмов контроля и защиты, а также о необходимости регулярного обновления и обслуживания системы контроля и управления доступом.