Войти в мой кабинет
Регистрация
ГОТОВЫЕ РАБОТЫ / ДИПЛОМНАЯ РАБОТА, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Обеспечение информационной безопасности компьютерной системы

irina_krut2020 1275 руб. КУПИТЬ ЭТУ РАБОТУ
Страниц: 51 Заказ написания работы может стоить дешевле
Оригинальность: неизвестно После покупки вы можете повысить уникальность этой работы до 80-100% с помощью сервиса
Размещено: 24.03.2020
Аннотация к бакалаврской работе «Обеспечение информационной безопасности компьютерной системы» состоит из 55 страниц, содержит 11 рисунков, 1 таблицу, список литературы из 23 наименований. Объект исследования – комплексная система защиты информации в компьютерных системах. Метод исследования – системный анализ методов и средств защиты информации от утечки. В результате выполнения бакалаврской работы проанализированы: нормативно-правовые базы и современные подходы в области проектирования комплексных систем защиты информации, предложен подход к оценке эффективности проведения защитных мероприятий в компьютерных системах, предложены пути по улучшению защитных мероприятий от несанкционированного доступа в компьютерных системах. Разработаны рекомендации относительно методов организационного и инженерно-технической защиты информации в компьютерных системах.
Введение

Информация - это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса. Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена. Информационная безопасность - механизм защиты, обеспечивающий: - конфиденциальность: доступ к информации только авторизованных пользователей; - целостность: достоверность и полноту информации и методов ее обработки; - доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости. Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации. Информационная безопасность – сравнительно молодая, быстро развивающаяся область информационных технологий. Словосочетание информационная безопасность в разных контекстах может иметь различный смысл. Состояние защищенности национальных интересов в информационной сфере определяется совокупностью сбалансированных интересов личности, общества и государства. Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. В данной работе рассмотрены основные принципы создания КСЗИ для компьютерных систем. Для достижения поставленной цели, в ходе выполнения работы решались следующие задачи: - анализ нормативно-правовой базы обеспечения защиты информации в компьютерной системе, а также проектирования защищенных компьютерных систем; - исследование степени защищенности современных компьютерных систем с последующей оценкой эффективности ее защитных мероприятий; - выбор путей повышения эффективности защитных мероприятий в компьютерной системе; - разработка рекомендаций по использованию защитных мероприятий в компьютерной системе. Таким образом, объектом исследования является защищенная компьютерная система, а предметом – используемые защитные мероприятия. Наряду с существующими нормативно-правовыми документами [1–4,7-8,10-14] теоретическую базу исследований составляют труды известных ученых в области защиты информации от утечки по техническим каналам: В.В. Домарева [17], А.А. Хорева [21-23] и др. Практические результаты основываются на исследовании эффективности организационных и инженерно-технических мероприятий по защите информации в компьютерных системах.
Содержание

СОДЕРЖАНИЕ 8 ВВЕДЕНИЕ 10 1 ОБЕЧПЕЧЕНИЕ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ 12 1.1 Общие понятия и определения в области обеспечения информационной безопасности компьютерных систем 14 1.2 Классификация компьютерных систем 15 1.2.1 Особенности компьютерных систем класса 1 16 1.2.2 Особенности компьютерных систем класса 2 и 3 17 1.2.3 Системы информационной безопасности 18 1.3 Порядок создания комплексной системы защиты информации в информационно-телекоммуникационной системе компьютерных систем 20 1.3.1 Анализ структуры информационной безопасности компьютерной системы 22 1.3.2 Реализация и эксплуатация КСЗИ 24 2 ОБОСНОВАНИЕ НАПРАВЛЕНИЙ СОЗДАНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ 27 2.1 Требования к защите информации от несанкционированного доступа в компьютерной системе 28 2.1.1 Требования к защите конфиденциальной информации 31 2.1.2 Требования к защите секретной информации 33 2.2 Основные принципы защитных мероприятий от несанкционированного доступа в компьютерной системе 35 3 ОЦЕНКА ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В КОМПЬЮТЕРНЫХ СИСТЕМАХ 40 4 МЕТОДЫ И МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ 42 4.1 Организационные мероприятия 42 4.2 Рекомендации по категорированию информации в информационной системе предприятия 43 4.3 Рекомендации по категорированию пользователей компьютерной системы предприятия 45 4.4 Инженерно-технические мероприятия 46 4.5 Рекомендации по защите информации, обрабатываемой в компьютерных системах 47 ЗАКЛЮЧЕНИЕ 53 СПИСОК ЛИТЕРАТУРЫ 55
Список литературы

1. ГОСТ Р ИСО/МЭК. 17799-2005. Информационная технология. ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ. ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. ISO/IEC 17799:2000. Information technology - Code of practice for information security management. (IDT). Москва. 2. Закон России "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ. 3. ГОСТ Р 51624-2000 АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ от 1 января 2001 г. 4. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. 5. http://iso.gost.ru/wps/portal/ – Международная стандартизация РФ, Нормативно-технические документы. 6. http://docs.cntd.ru – Госты, ТУ, ТЗ, ИСО РФ вступившие в силу с 2015 г., а так же поправки к ним. 7. ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения" 8. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г. 9. Нечаев М. Правовые и организационные основы комплексных систем защиты информации // Корпоративные системы. – 2008. – №2. – С.54-57. 10. ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы. 11. Измалкова С.А., Тарасов А.В. Принципы построения эффективной системы информационной безопасности // Управление общественными и экономическими системами. – 2006. – № 2 12. В. Ф. Шаньгин - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СИСТЕМ И СЕТЕЙ // МОСКВА ИД «ФОРУМ» - ИНФРА-М 2011 г. 13. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем. М.. 1993. 14. Бугайский К. Проблемы построения систем информационной безопасности //"Information Security/ Информационная безопасность" – 2008. – №2 15. Масюк М.И. НСД: теория и практика // "Специальная Техника". – 2003. – №3 16. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая линия-Телеком, 2001. – 148 с.: ил. 17. Домарев В. В. Безопасность информационных технологий. Методология создания систем защиты. – Москва: ООО «ТИД «ДС». 2001. – 688 с. 18. http://all-safety.ru/ Подходы к оценке эффективности КСЗИ 19. http://www.vuzlib.net/ Оценка эффективности организационных проектов 20. Ю.Г. Бугров Системные основы оценивания и защиты информации: Учеб. пособие / Воронеж: Воронеж. гос. техн. ун-т, 2005. 354 с. 21. Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2000. - 316 с. 22. Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие. М.: Гостехкомиссия России, 1998. - 320 с. 23. Хорев А.А. Методы и средства поиска электронных устройств перехвата информации.- М.: МО РФ, 1998. - 224 с.
Отрывок из работы

1 ОБЕЧПЕЧЕНИЕ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ Бурный рост конфиденциальной и коммерческой информации, а также существенное увеличение фактов ее хищения вызывает повышенный интерес все большего числа организаций к созданию собственных защищенных информационных систем. Проектирование защищенных информационных систем процесс довольно сложный, который предполагает наличие соответствующих знаний и опыта, у ее создателей. Потребитель может не вникать в разработку такого проекта и подробности его развития, однако он обязан контролировать каждый его этап на предмет соответствия техническому заданию и требованиям нормативных документов. В свою очередь, персональный опыт проектировщиков требует использования существующих нормативных документов в данной области для получения наиболее качественного результата. Таким образом, процесс проектирования защищенных информационных систем должен основываться на знании и строгом выполнении требований существующих нормативных документов, как со стороны ее разработчиков, так и со стороны заказчиков. Говоря о системах безопасности, нужно отметить, что они должны не только и не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять и делегировать их полномочия в совместном решении задач, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации и устранять их последствия, гибко адаптируя структуру в условиях отказов, частичной потери или длительного блокирования ресурсов. Не стоит, однако, забывать об экономической целесообразности применения тех или иных мер обеспечения безопасности информации, которые всегда должны быть адекватны существующим угрозам. Параллельно с развитием средств вычислительной техники и появлением все новых способов нарушения безопасности информации развивались и совершенствовались средства защиты. Необходимо отметить, что более старые виды атак никуда не исчезают, а новые только ухудшают ситуацию. Существующие сегодня подходы к обеспечению защиты информации несколько отличаются от существовавших на начальном этапе. Главное отличие современных концепций в том, что сегодня не говорят о каком-то одном универсальном средстве защиты, а речь идет о комплексной системе защиты информации (КСЗИ), включающей в себя: - нормативно-правовой базис защиты информации; - средства, способы и методы защиты; - органы и исполнителей. Другими словами, на практике защита информации представляет собой комплекс регулярно используемых средств и методов, принимаемых мер и осуществляемых мероприятий с целью систематического обеспечения требуемой надежности информации, генерируемой, хранящейся и обрабатываемой на объекте компьютерной системы, а также передаваемой по каналам. Защита должна носить системный характер, то есть для получения наилучших результатов все разрозненные виды защиты информации должны быть объединены в одно целое и функционировать в составе единой системы, представляющей собой слаженный механизм взаимодействующих элементов, предназначенных для выполнения задач по обеспечению безопасности информации. Более того, КСЗИ предназначена обеспечивать, с одной стороны, функционирование надежных механизмов защиты, а с другой - управление механизмами защиты информации. В связи с этим должна предусматриваться организация четкой и отлаженной системы управления защитой информации. Приведенные факты делают проблему проектирования эффективных систем защиты информации актуальной на сегодняшний день. 1.1 Общие понятия и определения в области обеспечения информационной безопасности компьютерных систем Существующая в России нормативная база еще не достигла необходимого развития в данной области. Можно выделить лишь некоторые, которые могут быть использованы при проектировании защищенных компьютерных систем [1-4]. Согласно одному из таких стандартов [7] компьютерная система представляет собой систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующую информационную технологию выполнения установленных функций. В зависимости от вида деятельности выделяют следующие виды компьютерных систем: - автоматизированные системы управления (АСУ); - системы автоматизированного проектирования (САПР); - автоматизированные системы научных исследований (АСНИ) и др. В зависимости от вида управляемого объекта или процесса АСУ делят на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т.д. В нашем случае компьютерная система представляет собой среду обработки информации, и также информационных ресурсов в информационно-телекоммуникационной системе (ИТС). В свою очередь, защита информации в компьютерной системе - деятельность, которая направлена на обеспечение безопасности обрабатываемой в компьютерной системе информации и компьютерной системе в целом, и позволяет предотвратить или осложнить возможность реализации угроз, а также снизить величину потенциальных убытков в результате реализации угроз [1-2]. Таким образом, компьютерная система представляет собой сложную систему, которую целесообразно разделять на отдельные блоки (модули) для облегчения ее дальнейшего проектирования. В результате этого, каждый модуль будет независим от остальных, а в комплексе они будут составлять цельную систему защиты. Выделение отдельных модулей компьютерных систем позволяет службе защиты информации: - своевременно и адекватно реагировать на определенные виды угроз информации, которые свойственны определенному модулю; - в короткие сроки внедрять систему защиты информации в модулях, которые только что появились; - упростить процедуру контроля системы защиты информации в целом (под системой защиты информационной инфраструктуры предприятия в целом следует понимать совокупность модулей систем защиты информации). Таким образом, построение КСЗИ становится неотъемлемым фактором в разработке эффективной системы защиты от несанкционированного доступа. Отсюда видно, что, например, простым экранированием помещения при проектировании КСЗИ не обойтись, так как данный метод предполагает лишь защиту информации от утечки по радиоканалу. Современная система защиты информации должна включать структурную, функциональную и временную информационную безопасность. Структурная комплексность предполагает обеспечение требуемого уровня защиты во всех элементах системы обработки информации. Функциональная комплексность означает, что методы защиты должны быть направлены на все выполняемые функции системы обработки информации. Временная комплексность предполагает непрерывность осуществления мероприятий по защите информации, как в процессе непосредственной ее обработки, так и на всех этапах жизненного цикла объекта обработки информации. 1.2 Классификация компьютерных систем Нормативным документом [3] предполагается деление компьютерной системы на 3 класса: Класс 3 - одномашинный однопользовательский комплекс, который обрабатывает информацию одной или нескольких категорий конфиденциальности. Пример - автономная персональная ЭВМ, доступ к которой контролируется с использованием организационных мероприятий. Класс 2 - локализированный многомашинный многопользовательский комплекс, обрабатывающий информацию разных категорий конфиденциальности. Пример - локальная вычислительная сеть. Класс 1 - распределенный многомашинный многопользовательский комплекс, который обрабатывает информацию разных категорий конфиденциальности. Пример - глобальная вычислительная сеть. Рисунок 1.1 – Классификация систем 1.2.1 Особенности компьютерных систем класса 1 Информация с ограниченным доступом, а именно: конфиденциальная информация, принадлежащая государству, и информация, содержащая государственную тайну, создается, обрабатывается и хранится в режимно-секретном органе. Такая информация, в большинстве случаев, обрабатывается с использованием компьютерной системы класса 1, которые имеют следующие особенности: - в каждый момент времени с комплексом может работать только один пользователь, хотя в общем случае лиц, которые имеют доступ к комплексу, может быть несколько, но все должны иметь одинаковые полномочия (права) относительно доступа к обрабатываемой информации; - технические средства (носители информации и средства ввода/вывода), с точки зрения, защищенности относятся к одной категории и все они могут использоваться для хранения и/или ввода/вывода всей информации. Для проведения работ, связанных с построением КСЗИ РСО, специалистам организации исполнителя должен быть оформлен допуск к государственной тайне. Методика проведения работ по построению КСЗИ компьютерной системы класса 1 базируется на следующих исходных данных: - Объект защиты - рабочая станция; - Защита информации от утечки по техническим каналам осуществляется за счет использования рабочей станции в защищенном исполнении или специальных средств; - Защита от несанкционированного доступа к информации осуществляется специальными программными или аппаратно-программными средствами защиты от несанкционированного доступа; - Защита компьютера от вирусов, троянских и шпионских программ - антивирусное программное обеспечение. 1.2.2 Особенности компьютерных систем класса 2 и 3 В основном в компьютерных системах класса 2 и класса 3 обрабатывается конфиденциальная или открытая информация, которая принадлежит государству и к которой выдвигаются требования по обеспечению целостности и доступности. Особенности компьютерной системы класса 2: наличие пользователей с разными полномочиями по доступу и/или технических средств, которые могут одновременно осуществлять обработку информации разных категорий конфиденциальности. Особенности компьютерной системы класса 3: необходимость передачи информации через незащищенную среду или, в общем случае, наличие узлов, которые реализуют разную политику безопасности. Компьютерная система класса 3 отличается от компьютерной системы класса 2 наличием канала доступа в Интернет. Методика проведения работ по построению КСЗИ компьютерной системы класса 2 (3) базируется на следующих исходных данных: - Объектами защиты являются рабочие станции, каналы передачи данных, веб-серверы, периметр информационной системы и т.д.; - Защита от несанкционированного доступа осуществляется с помощью базовых средств операционной системы или с использованием специальных программных, аппаратно-программных средств; - Защита каналов передачи данных через незащищенную среду - аппаратные, программные, аппаратно-программные средства шифрования информации; - Защита периметра - программные, аппаратные межсетевые экраны, системы обнаружения атак; - Защита компьютера (сети) от вирусов, троянских и шпионских программ - антивирусное программное обеспечение; - Защита электронного документооборота и электронной почты - использование средств электронной цифровой подписи. Потребителями КСЗИ компьютерной системы класса 2 и класса 3 являются органы государственной власти, а также предприятия, деятельность которых связана с обработкой конфиденциальной информации, принадлежащей государству. 1.2.3 Системы информационной безопасности Выделяют еще один тип компьютерной системы [9] - системы информационной безопасности (СИБ). СИБ в основном предназначены для защиты информации в компьютерных системах класса 2 и класса 3. Однако между КСЗИ и СИБ есть принципиальные отличия. Первое отличие заключается в том, что при построении СИБ нет необходимости выполнять требования нормативных документов в сфере технической защиты информации, так как основными потребителями СИБ являются коммерческие организации, которые не обрабатывают информацию, принадлежащую государству. Для определения необходимости построения СИБ и направления работ по защите информации, а также для оценки реального состояния информационной безопасности организации необходимо проводить аудит информационной безопасности. Важным моментом, который касается эксплуатации как КСЗИ компьютерных систем класса 2 и класса 3, так и СИБ, является тот факт, что недостаточно просто построить и эксплуатировать эти системы защиты, необходимо постоянно их совершенствовать так же, как совершенствуются способы несанкционированного доступа, методы взлома и хакерские атаки. Сравнительный анализ всех перечисленных систем защиты информации представлен в таблице 1. Как мы видим, более жесткие требования выдвинуты к процессу построения КСЗИ и исполнителю этих работ по сравнению с требованиями к построению СИБ. Таблица 1.1 - Сравнительный анализ систем защиты информации Особенности КСЗИ КСЗИ Компьютерных систем класса 2 (3) СИБ Потребители услуг Органы государственной власти, коммерческие организации Органы государственной власти, коммерческие организации Коммерческие организации Обрабатываемая информация Конфиденциальная информация, которая принадлежит государству, или информация, которая содержит государственную тайну Конфиденциальная информация, которая принадлежит государству (физическому лицу), или открытая информация, которая принадлежит государству Критическая информация организации (персональная, финансовая, договорная информация, информация о заказчиках) Субъекты Заказчик Исполнитель Контролирующий орган Заказчик Исполнитель Контролирующий орган Заказчик Исполнитель Наличие лицензии на проведение работ по построению Лицензия на проведение работ по технической защите информации Лицензия на проведение работ по технической защите информации Не требуется Проведение государственной экспертизы Обязательно Обязательно Не требуется Технические средства защиты информации Только сертифицированные средства защиты информации Только сертифицированные средства защиты информации Любые средства защиты информации Выполнение требований нормативной базы Обязательно Обязательно Не требуется 1.3 Порядок создания комплексной системы защиты информации в информационно-телекоммуникационной системе компьютерных систем Создание КСЗИ в ИТС осуществляется в соответствии с нормативным документом [1]. В состав КСЗИ входят мероприятия и средства, которые реализуют способы, методы, механизмы защиты информации от: - утечки техническими каналами, к которым относятся каналы побочных электромагнитных излучений и наводок, акустоэлектрических и других каналов; - несанкционированных действий и несанкционированного доступа к информации, которые могут осуществляться путем подключения к аппаратуре и линиям связи, маскировки под зарегистрированного пользователя, преодоление мероприятий защиты с целью использования информации или навязывания ошибочной информации, применение закладных устройств или программ, использование компьютерных вирусов и т.п.; - специального влияния на информацию, которое может осуществляться путем формирования полей и сигналов с целью нарушения целостности информации или разрушения системы защиты. В общем случае, последовательность и содержание научно-исследовательской разработки КСЗИ можно предварительно разделить на 4 этапа (рис 1.2). Несмотря на простоту структуры разработки КСЗИ, большинство организаций придерживается именно этого алгоритма. Однако данный алгоритм - это лишь основа проектирования. Каждый представленный этап отражает множество уровней в ходе проектирования, в зависимости от структуры компьютерных системных требований, предъявляемых к ее системе защиты. Рассмотрим эти этапы подробнее.
Не смогли найти подходящую работу?
Вы можете заказать учебную работу от 100 рублей у наших авторов.
Оформите заказ и авторы начнут откликаться уже через 5 мин!
Похожие работы
Дипломная работа, Информационная безопасность, 128 страниц
1250 руб.
Дипломная работа, Информационная безопасность, 68 страниц
1700 руб.
Дипломная работа, Информационная безопасность, 72 страницы
750 руб.
Дипломная работа, Информационная безопасность, 52 страницы
550 руб.
Дипломная работа, Информационная безопасность, 53 страницы
550 руб.
Служба поддержки сервиса
+7(499)346-70-08
Принимаем к оплате
Способы оплаты
© «Препод24»

Все права защищены

Разработка движка сайта

/slider/1.jpg /slider/2.jpg /slider/3.jpg /slider/4.jpg /slider/5.jpg