Файл: Исследование проблем защиты информации.pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 18.06.2023

Просмотров: 56

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

Глава 1.Теоретические аспекты исследования проблемы защиты информации

1.1 Концепция информационной безопасности

1.2. Анализ организационного обеспечения в методологии защиты информации

Глава 2 Методы защиты информации

2.1 Обзор методики антивирусной защиты

2.2 Технологии защиты от сетевых угроз

2.3 Криптографические средства защиты информации

2.4 Технические средства аутентификации

Глава 3 Практические методы защиты информации

3.1. Описание принципа работы антивируса AVG

3.2 Установка пароля на документ Word

Заключение

Список литературы

Введение

В XXI веке у человечества появляется все больше новых объектов, нуждающихся в защите путем закрепления соответствующих норм в законе. Основной объект на сегодняшний день – это информация. В наше время общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность.

В виду вышесказанного, законодательными актами, как в России, так и зарубежных странах предусматривают немалое количество норм, направленных на регулирование создания, пользования, передачи и защиты информации во всех ее формах.

Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Ст.2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью». Соответственно и информация, непосредственно затрагивающая частные интересы человека должны уважаться и защищаться государством.

Пренебрежение технологиями или нарушение требований законодательства в области защиты информации в настоящее время может приводить к серьезным финансовым, имиджевым потерям, а в некоторых случаях поставить под угрозу само существование организаций, использующих в своей работе автоматизированные информационные системы. В связи с этим, проблема соблюдения требований к документационному обеспечению работы по обеспечению конфиденциальности информации становится особенно актуальной. [14]

Цель этой работы заключается в анализе современных методов защиты информации.

Задачи работы:

- рассмотреть теоретические аспекты исследования проблемы защиты информации;

- изучить методы защиты информации;

- рассмотреть практические методы защиты информации

Объект исследования: технологии защиты информации.

Предмет исследования: современные технологии защиты информации.

Методы исследования: изучение литературных источников, нормативно-правовой базы, изучение технической документации и функционала программных средств защиты информации, анализ состояния работы с персональными данными, сравнения, включенного наблюдения.

Глава 1.Теоретические аспекты исследования проблемы защиты информации

1.1 Концепция информационной безопасности

Определим общие цели защиты информации в автоматизированных системах, приведем обзор основных определений в технологии защиты информации.

Под безопасностью информации автоматизированной системы понимается состояние ее защищенности от внешних и внутренних угроз, характеризуемое способностью персонала, технических средств и информационных технологий обеспечить конфиденциальность, доступность, целостность и аутентичность информации при ее обработке.

Нормативно-правовую основу технологии и организационного обеспечения защиты информации составляют федеральные законы, локальные нормативные правовые акты, а также документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации, регулирующие вопросы обеспечения безопасности информации. Концепция защиты информации исходит из наличия различных угроз безопасности информации АИС: внешних и внутренних, антропогенного, техногенного и природного характера, а также из современного состояния и ближайшей перспективы развития АИС, ее целей, задач, правовых основ применения, особенностей реализации и функционирования.

Целью достижения безопасности информации автоматизированной информационной системы является обеспечение безусловного выполнения основных задач и функций, выполняемых в рамках функционирования АИС и защита участников информационных отношений от причинения им какого-либо ущерба по причине несанкционированного (случайного или преднамеренного) вмешательства в процесс функционирования автоматизированной системы или доступа к циркулирующей в ней информации. [3]

Основными направлениями достижения безопасности информации в автоматизированных системах являются:

  • обеспечение живучести и адаптивности АИС, организационной и информационной совместимости ее подсистем и элементов;
  • комплексная комбинированная защита конфиденциальности, целостности, доступности и аутентичности информационных ресурсов системы.

Защите подлежит вся циркулирующая в автоматизированной системе информация. Методы и меры защиты ресурсов АИС определяются дифференцированно, исходя из их важности, особенностей реализации и использования.

Для общедоступной информации обеспечивается целостность и доступность.

Перечень информации АИС, конфиденциальность которой требуется обеспечить, разрабатывается на основании требований законодательства Российской Федерации и утверждается локальными нормативными актами.

Система защиты информации АИС реализуется как комплекс обоснованных, взаимно согласованных нормативных, организационных и технических (программных и аппаратных) мер на всех этапах процесса обработки и хранения информации, при передаче ее по каналам связи и иными способами. [8]

Порядок организации защиты информации АИС определяется соответствующей инструкцией, утверждаемой локальными нормативными актами.

К применению в автоматизированных системах, обрабатывающих персональные данные, допускаются только сертифицированные на соответствие требованиям безопасности компетентными государственными органами средства защиты информации.

Обработка информации ограниченного доступа средствами вычислительной техники допускается только после их оснащения средствами защиты информации и проверки их функционирования.

Для обеспечения безопасности информации при использовании информационно-телекоммуникационных сетей ее передача осуществляется с использованием сертифицированных компетентным государственным органом средств криптографической защиты. Выбор средств криптозащиты осуществляется исходя из взаимных интересов взаимодействующих организаций.

Современные методы защиты информации включают в себя комплекс мероприятий организационного и технологического обеспечения. Пренебрежение какой-либо одной из указанных компонент в разы повышает уязвимости автоматизированной системы. В случае пренебрежения работой с организационным обеспечением возрастает уязвимость информационной системы вследствие влияния человеческого фактора, в случае пренебрежения технологическими факторами уязвимости обусловлены техническими факторами. [9]

Приведем подробное рассмотрение данных компонент.

1.2. Анализ организационного обеспечения в методологии защиты информации

Организационные меры защиты – это меры административного, управленческого характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить реализацию угроз безопасности (минимизировать размер ущерба в случае их реализации).

Организационное обеспечение представляет собой комплекс мероприятий, включающих в себя работу с документацией – локальными нормативными актами, определяющими круг обязанностей и ответственность работников в рамках соблюдения технологий защиты информации, организацию пропускного и внутриобъектового режима, мероприятия по противопожарной безопасности, работу системы контроля доступа.

Документационное обеспечение технологии защиты информации включает в себя:

  • приказы;
  • инструктивный материал;
  • журналы ознакомлений пользователей с инструктивным материалом;
  • журналы работы со средствами защиты информации;
  • парольные карточки;
  • карточки ЭЦП.

В целях обеспечения безопасности информации автоматизированной принимаются меры по предотвращению проникновения нарушителей на объекты защиты, по предотвращению потери информации и функциональности средств АИС в различных ситуациях.

К мерам морально-этического характера, призванным повысить эффективность защиты, относятся меры по привитию работникам определенных нравственных норм. Соблюдение этих норм, в том числе и не утверждаемых нормативными актами, должно поощряться, повышать авторитет работников и уважение к ним, быть престижным как для работников, так и для трудовых коллективов. Морально-этические нормы могут быть и документально оформленными в виде устава, свода правил или кодекса профессиональной этики. Эти меры должны подкрепляться постоянной работой по созданию и поддержанию здорового морального климата в трудовых коллективах. [10]

Сформулируем типовые требования к документационному обеспечению технологии защиты информации на предприятии в разрезе типовых угроз.

Таблица 1. Типовые требования к документационному обеспечению защиты информации

Угроза

Технология защиты

Документационное обеспечение

Визуальный съём отображаемой информации (присутствие посторонних лиц при обработке данных специалистом)

Блокировка экрана с помощью электронного ключа

«Инструкция о пропускном и внутриобъектовом режиме»

Вредоносная программа;

Антивирусное программное обеспечение

«Положение об антивирусной защите»

Вторжение в ИСПД по информационно-телекоммуникационным сетям

Технологии защиты от сетевых угроз

«Аппаратный журнал настроек сетевой защиты»

Закладка аппаратная

Тестирование аппаратных средств

«Акт ввода в эксплуатацию средств вычислительной техники»

Закладка программная

Тестирование программных средств

«Положение о Фонде Алгоритмов и Программ»

Произвольное копирование баз данных

Разграничение доступа

«Таблицы разграничения доступа к информационным ресурсам»,

«Инструкция о резервном копировании информационных ресурсов»

Накопление данных пользователем ИСПД

Ограничение прав доступа

«Обязательство о неразглашении информации конфиденциального характера»

Программные ошибки

Информирование разработчиков

«Акт ввода в промышленную эксплуатацию»

Ошибочные действия персонала

Программные средства защиты

«Лист ознакомления пользователя с инструкцией по работе с программой»

Стихийное бедствие, катастрофа

Резервное копирование

«Инструкция о порядке хранения, обращения МНИ»

Компрометация ЭЦП

Генерация новых ключей, расследование причин компрометации

«Инструкция по работе с криптографическими средствами»

Компрометация пароля

Смена пароля, расследование причин компрометации

«Инструкция по парольной защите»

Также организационное обеспечение защиты информации включает в себя комплекс мероприятий по защите от несанкционированного доступа.

Средства вычислительной техники, с использованием которых производится обработка конфиденциальной информации, подлежат особому порядку учета и обращения.

Приведем требования организации защиты от НСД согласно документам ФСТЭК.

  • При приобретении вычислительной техники в комплекте (системный блок, монитор, клавиатура с «мышью»), предназначенной для обработки и хранения конфиденциальной информации (КИ), каждому узлу, содержащему устройство хранения КИ, присваивается единый инвентарный номер.
  • Ответственный за защиту информации производит учет СВТ предназначенных для работы с КИ в «Журнале учета СВТ, предназначенных для работы с конфиденциальной информацией». Данный журнал включается в номенклатуру дел предприятия. Все указанные СВТ специалист подразделения по защите информации опечатывает специальным защитным знаком (СЗЗ).
  • СЗЗ наклеиваются на винты крепежа корпуса или на стыки сдвижных крышек и корпусов СВТ на предварительно обезжиренную (любой спиртосодержащей жидкостью) поверхность. Количество СЗЗ опечатывающих конкретное устройство зависит от его конструктивных особенностей (минимум 2 СЗЗ) и должно обеспечить невозможность вскрытия устройства без нарушения целостности СЗЗ.
  • Номер СЗЗ записывается в «Журнале учета СВТ, предназначенных для работы с конфиденциальной информацией».
  • СВТ предназначенные для работы с КИ защищаются от НСД с помощью программных и аппаратных средств обеспечения доступа к защищённой информации (BioLink, iKey 3000, стандартные системные средства аутентификации), в пределах выделяемых средств или централизовано поставляемых средств защиты от НСД.
  • Доступ к информационным ресурсам СВТ предназначенных для работы с КИ разрешается в соответствии с инструкцией по ведению системы разграничения доступа к информационным ресурсам в ЛВС, содержащим КИ.
  • Перед проведением планового или внепланового обслуживания СВТ связанного с вскрытием корпуса аппаратной части, а значит и нарушением СЗЗ, специалист производящий работы, обязан проинформировать ответственного за защиту информации о факте вскрытия СВТ. Ответственный за защиту информации факт вскрытия СВТ фиксирует в «Журнале учета СВТ, предназначенных для работы с конфиденциальной информацией».
  • Факт выхода из строя СВТ содержащего КИ, как в период гарантийной, так и послегарантийной их эксплуатации, устанавливается постоянно действующей экспертной комиссией (ЭК), назначаемой руководителем подразделения, для определения характера и причины неисправности. В состав экспертной комиссии обязательно включают: IT-специалиста, ответственного по защите информации. Акт технической экспертизы составляется членами экспертной комиссии по форме. При вскрытии СВТ, находящихся в гарантийной эксплуатации, гарантийные организации уведомляются о факте вскрытия.
  • Акт технической экспертизы составляется в одном экземпляре и передаётся в отдел по защите информации.
  • При выходе из строя СВТ содержащего КИ, при исправном НЖМД, НЖМД извлекается из компьютера в установленном порядке и после этого компьютер передают в гарантийный или послегарантийный ремонт.
  • В случае выхода из строя НЖМД находящегося в гарантийной эксплуатации, НЖМД передаётся на ремонт в IT подразделение предприятия.
  • Разрешение на уничтожение неисправного негарантийного НЖМД дается руководителем подразделения предприятия на основании служебной записки и акта технической экспертизы экспертной комиссии.
  • Неисправный негарантийный НЖМД подлежит уничтожению путем механической разборки или же информация, записанная на нем уничтожается в устройствах гарантированного уничтожения информации типа «Стек-НС1в».
  • Уничтожение неисправного НЖМД производится ответственным за защиту информации и списывается в соответствии с положением по списанию материальных средств.
  • После уничтожения неисправного НЖМД ответственный за защиту информации составляет акт (приложение 5) в двух экземплярах. Акт является основанием для списания НЖМД с материального учета, а также с карточек учета средств вычислительной техники и является основанием для получения НЖМД из резерва обменного фонда или закупки нового. Один экземпляр акта передается в подразделение учета материальных ценностей. Второй экземпляр акта остается в подразделении по принадлежности НЖМД.
  • Взамен неисправного НЖМД устанавливается диск из обменного фонда с обязательной регистрацией в «Журнале учета СВТ, предназначенных для работы с конфиденциальной информацией». [6]

Смотрите также файлы