Разработка предложений ПО совершенствованию системы инженерно-технической защиты информации для районной администрации

Автор работы: Пользователь скрыл имя, 04 Марта 2015 в 22:18, курсовая работа

Описание работы

Цель работы — совершенствование системы защиты информации районной администрации на основе разработки комплекса мер инженерно-технической защиты информации.
Задачи:
1. Определение теоретических основ инженерно - технической защиты информации.
2. Выявление угроз информационной безопасности и утечки информации на объекте защиты
3. Разработка мер по совершенствованию инженерно-технической защиты информации на объекте защиты

Скачать архив (157.61 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

курсовая.doc

— 359.50 Кб (Скачать файл)

- накопление и объединение  свойств элементов системы приводит  к появлению качественно новых  свойств, отсутствующих у ее элементов.

С позиции системного подхода совокупность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации, образует систему защиты информации. Такими элементами являются руководство и сотрудники службы безопасности, инженерные конструкции и технические средства, обеспечивающие защиту информации. Система задается следующими характеристиками , целями и задачами (конкретизированными в пространстве и во времени целями):[15, с. 84]

- входами и выходами  системы;

- ограничениями, которые  необходимо учитывать при построении (модернизации, оптимизации) системы;

- процессами внутри системы, обеспечивающими преобразование входов в выходы. Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы в требуемую.

 

Целью системы защиты является обеспечение требуемых уровней безопасности информации на объекте защиты. Задачи конкретизируют цели применительно к видам и категориям защищаемой информации, а также элементам объекта защиты и отвечают на вопрос, что надо сделать для достижения целей. Кроме того, уровень защиты нельзя рассматривать в качестве абсолютной меры, безотносительно от ущерба, который может возникнуть от потери информации и использования ее злоумышленником во вред владельцу информации. В качестве ориентира для оценки требуемого уровня защиты необходимо определить соотношение между ценой защищаемой информации и затратами на ее защиту. Уровень защиты рационален, когда обеспечивается требуемый уровень безопасности информации и минимизируются расходы на информацию. Эти расходы складываются из:[15, с. 97]

- затрат на защиту информации;

- ущерба за счет попадания  информации к злоумышленнику  и использования ее во вред  владельцу. Между этими слагаемыми  существует достаточно сложная  связь, так как ущерб из-за недостаточной  безопасности информации уменьшается  с увеличением расходов на ее защиту. Если первое слагаемое может быть точно определено, то оценка ущерба в условиях скрытности разведки и неопределенности прогноза использования злоумышленником полученной информации представляет достаточно сложную задачу. Ориентировочная оценка ущерба возможна, если владелец информации ожидает получить от ее материализации определенную прибыль, которой он может лишиться в случае попадания ее конкуренту. Кроме того, последний, используя информацию, может нанести владельцу еще дополнительный ущерб, например за счет изменения тактики, продажи или покупки ценных бумаг и т. д. Дополнительные неблагоприятные факторы чрезвычайно трудно поддаются учету. Поэтому в качестве граничной меры для оценки ущерба можно использовать величину потенциальной прибыли, которую ожидает получить от информации ее владелец. В свою очередь величина ущерба зависит от уровня защиты, определяемой расходами на нее. Максимальный ущерб возможен при нулевых расходах на защиту, минимальный – обеспечивается при идеальной защите.

Однако идеальная защита требует бесконечно больших затрат.  Ограничения системы представляют собой выделяемые на защиту информации людские, материальные, финансовые ресурсы, а также ограничения в виде требований к системе. Суммарные ресурсы удобно выражать в денежном эквиваленте. Независимо от выделяемых на защиту информации ресурсов они не должны превышать суммарной цены защищаемой информации. Это верхний порог ресурсов. Ограничения в виде требований к системе предусматривают принятие таких мер по защите информации, которые не снижают эффективность функционирования системы при их выполнении. [13, с. 75]

Входами системы инженерно-технической защиты информации являются:

- воздействия злоумышленников  при физическом проникновении  к 

источникам конфиденциальной информации с целью ее хищения, изменения или уничтожения;

- различные физические  поля электрические сигналы, создаваемые  техническими средствами злоумышленников  и которые воздействуют на  средства обработки и хранения  информации:

- стихийные силы, прежде всего, пожара, приводящие к уничтожению или изменению информации;

- физические поля и  электрические сигналы с информацией, передаваемой по функциональным  каналам связи:

- побочные электромагнитные  и акустические поля, а также  электрические сигналы, возникающие в процессе деятельности объектов защиты и несущие конфиденциальную информацию. Выходами системы инженерно-технической защиты информации являются меры по защите информации, соответствующие входным воздействиям. [16, с. 50]

Для защиты информации на основе системного подхода и анализа необходимо, наряду с организационным и техническим, методическое обеспечение, включающее комплекс методик и рекомендаций по проектированию систем инженерно-технической защиты информации на объектах защиты. Задача проектирования или модернизации системы защиты информации и ее элементов возникает тогда, когда создается новая организация с информацией ограниченного доступа или существующая система не обеспечивает требуемый уровень безопасности информации.

Проектирование системы инженерно-технической защиты информации, обеспечивающей достижение поставленных целей и решение задач, проводится путем системного анализа существующей на объекте и разработки вариантов требуемой. Построение новой системы или ее модернизация предполагает:[13, с. 18]

• определение источников защищаемой информации и описание

факторов, влияющих на ее безопасность;

• выявление и моделирование угроз безопасности информации;

• определение слабых мест существующей системы защиты

информации;

• выбор рациональных мер предотвращения угроз;

• сравнение вариантов по частным показателям и глобальному

критерию, выбор одного или нескольких рациональных вариантов;

• обоснование выбранных вариантов в докладной записке или в

проекте для руководства администрации;

• доработка вариантов или проекта с учетом замечаний

руководства.

 

 

3.2.Проектирование  организационно-технических мер  защиты информации в кабинете Главы районной Администрации

 

 

 

На этапе проектирования организационно-технических мер защиты информации, необходимо совместно с руководством администрации и специалистами группы технического обеспечения определить:[16, с. 14]

  • уровень финансовых затрат, которые администрация готова понести на совершенствование своей информационной защищенности;
  • перечень конфиденциальных сведений, подлежащих технической защите;
  • необходимость разработки и реализации защитных мероприятий с учетом ущерба, который может быть нанесен вследствие возможного нарушения целостности информации либо ее утечки по техническим каналам;
  • перечень помещений, в которых не допускается реализация угроз и утечка информации с ограниченным доступом;
  • перечень технических средств, которые должны использоваться как основные технические средства (далее – ОТС);
  • технические средства, применение которых не обосновано служебной и производственной необходимостью и которые подлежат демонтажу;
  • наличие задействованных и незадействованных воздушных, наземных, настенных и заложенных в скрытую канализацию кабелей, цепей и проводов, уходящих за пределы выделенных помещений;
  • системы цепей питания, кабельных сетей для установки в них защитных устройств;
  • степень выполнения сотрудниками администрации требований руководящих документов по защите информации.

Основу организационно-технических мер по ЗИ составляют меры, определяющие порядок использования технических средств. Они включают в себя мероприятия по:[16, с. 16]

  • эффективному использованию технических средств;
  • регламентации и управлению доступом к защищаемой информации;
  • порядку и режимам работы технических средств ЗИ.

Регламентация — это установление временных, территориальных и режимных ограничений в деятельности персонала и в работе технических средств, направленных на обеспечение безопасности. В рамках регламентации предлагается:[16, с. 25]

  • установить в кабинете границы контролируемых и охраняемых зон;
  • определить уровни защиты информации в зонах;
  • четко регламентировать деятельность сотрудников и посетителей, посетивших кабинет;
  • определить режимы работы технических средств и в том числе средств сбора, обработки и хранения информации на ЭВМ;
  • определить режимы передачи документов и электронных носителей информации, как между персоналом администрации, так и за ее пределы.

Управление доступом — это способ защиты информации регулированием всех ресурсов системы (технических, программных средств, элементов данных.[16, с. 102]

Управление доступом включает следующие функции защиты:

  • идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта по предъявленному им идентификатору;
  • проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;
  • разрешение и создание условий работы в пределах установленного регламента;
  • регистрацию обращений к защищаемым ресурсам;
  • реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

 Предлагается ввести  парольную аутентификацию которая должна отвечать следующим требованиям:

  • наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
  • управление сроком действия паролей, их периодическая смена;
  • ограничение доступа к файлу паролей;
  • ограничение числа неудачных попыток входа в систему, что затруднит применение «метода грубой силы»;
  • обучение и воспитание пользователей (персонал администрации);
  • использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.

Учитывая все вышеперечисленное, предлагается разработать систему управления доступом для всех сотрудников администрации. Обязанности по ее внедрению и сопровождению возложить на персонал группы технического обеспечения администрации в кабинете Главы района.

 

 

 

3.3 Оценка стоимости  оборудования для совершенствования  системы защиты информации в кабинете Главы районной Администрации

 

 

 

Для районной администрации вопрос цены на закупаемое оборудование не является проблемой, что дает возможность для совершенствования  системы защиты информации с помощью новейших технологий в сфере защиты информации, следовательно затраты на закупку оборудования являются приемлемыми для районной администрации.

 

 

Талица. 3

Стоимость оборудования для совершенствования системы защиты информации

Наименование

Количество

Стоимость

1

Генератор шума «Барон»

1

32500.00 руб.

2

Фильтр сетевой помехоподавляющий ФП-10

1

23000.00 руб.

3

Индикаторов поля «ЛИДЕР 3G»

1

18500.00 руб.

4

Система видеонаблюдения и аудиорегистрации «Видеолокатор»

1

58000.00 руб.

5

Защитная пленка

4

5000.00 руб.

6

Жалюзи

4

7000.00 руб.

7

Декоративные экраны на батареи

3

2500.00 руб.

8

Экранирование

  

60000.00 руб.

 

Итого:

  

206500.00 руб.

Информация о работе Разработка предложений ПО совершенствованию системы инженерно-технической защиты информации для районной администрации