Файл: Образовательная программа по специальности Информационная безопасность автоматизированных систем Форма обучения очная Руководитель вкр поколодина Елена Владиславна.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 44
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Подробнее: https://www.securitylab.ru/blog/personal/aodugin/305208.php
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Подробнее: https://www.securitylab.ru/blog/personal/aodugin/305208.php
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Подробнее: https://www.securitylab.ru/blog/personal/aodugin/305208.php
Федеральное государственное образовательное бюджетное учреждение
высшего образования «ФИНАНСОВЫЙ УНИВЕРСИТЕТ ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ»
(Финансовый университет)
Колледж информатики и программирования
ДОПУСКАЮ К ЗАЩИТЕ заместитель директора колледжа по учебно-производственной работе
Л.В. Фокина
« » июня 2019 г.
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
На тему: Обоснование и разработка организационных мер и технических решений по защите информации при организации удаленной работы сотрудников предприятия на примере Хабаровского филиала АО «Полиметалл УК»
Студент группы 4ИБАС-
Глагольев Алексей Андреевич « » июня 2019 г.
Основная профессиональная образовательная программа по специальности
-
Информационная безопасность автоматизированных систем Форма обучения очная
Руководитель ВКР Поколодина Елена Владиславна
Председатель предметно-цикловой комиссии Володин С.М.
Москва
2019
Федеральное государственное образовательное бюджетное учреждение высшего образования Финансовый университет при Правительстве Российской Федерации
КОЛЛЕДЖ ИНФОРМАТИКИ И ПРОГРАММИРОВАНИЯ
УТВЕРЖДАЮ
Председатель предметно-цикловой комиссии
Информационной безопасности
С.М. Володин
« » 2019 г.
ЗАДАНИЕ
на выпускную квалификационную работу
Нормативно-методические рекомендации ФСТЭК России по защите информации в информационных системах
| 1. Тема выпускной квалификационной работы Студенту Глагольеву Алексею Андреевичу | |
| Проектирование комплексной системы защиты ГБУ «Жилищник района Лианозово» | |
| 2. Срок сдачи студентом законченной выпускной | 07 июня 2019 |
| квалификационной работы | года |
| 3. Исходные данные: | |
ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
Объект защиты - ГБУ «Жилищник района Лианозово»
-
Перечень подлежащих разработке задач/вопросов-
Разработка введения дипломного проекта с обоснованием актуальности проведения мероприятий, направленных на проектирование и модернизацию комплексной системы защиты объекта информатизации - «Жилищник района Лианозово». Выделение цели дипломного проекта, задач, объекта и предмета исследования -
Анализ литературных источников и исследование структуры состава и признаков объекта информатизации, классификация информации по уровню доступа и типам конфиденциальности -
Анализ и обобщение материалов по типовым угрозам безопасности объекта защиты и потенциальным рискам -
Анализ подходов к созданию комплексной системы защиты объекта, классификация методов защиты информации -
Описание объекта исследования дипломного проектирования - ГБУ «Жилищник района Лианозово», описание технического паспорта объекта, его местоположения, идентификация ценных ресурсов (материальных, информационных) -
Анализ существующей на объекте политики безопасности, выявление средств и методов защиты
-
4.7. Идентификация угроз безопасности объекта, их источников и потенциальных нарушителей безопасности
4.8 Разработка и/или модернизация комплексной системы защиты для объекта ГБУ «Жилищник района Лианозово». Оценка предложенного решения
-
Перечень графического/иллюстративного /практического материала-
Схема объекта защиты с указанием потенциальных угроз и уязвимостей -
Проект комплексной системы защиты объекта ГБУ «Жилищник района Лианозово». -
Презентация к дипломному проекту
-
-
Консультант по выпускной квалификационной работе (с указанием относящихся к ним разделов проекта)
тт « »
Дата выдачи задания
Руководитель ВКР Поколодина Елена Владиславна
« »
Задание принял к исполнению тлТо-
2019
Студент Глагольев Алексей Андреевич
Введение
Глава 1. Теоретические вопросы организации и предоставления удаленного доступа.
1.1 Понятие, технологии и задачи предоставления удаленного доступа.
1.2 Риски информационной безопасности, связанные с предоставлением удаленного доступа.
1.3 Организационные мероприятие предоставления удаленного доступа.
Глава 2. Организационно-технические аспекты предоставления удаленного доступа пользователями Хабаровского филиала АО «Полиметалл УК».
2.1 Цели обеспечение подразделений Хабаровского филиала АО «Полиметалл УК» удаленным доступом.
2.2 Технологии предоставления удаленного доступа работникам Хабаровского филиала АО «Полиметалл УК».
2.3 Организационно-технические мероприятия по организации удаленного доступа работникам Хабаровского филиала АО «Полиметалл УК».
2.4. Меры по защите информации при предоставлении удаленного доступа работникам Хабаровского филиала АО «Полиметалл УК».
Заключение
ГЛОССАРИЙ
СПИСОК СОКРАЩЕНИЙ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ПРИЛОЖЕНИЯ
ВВЕДЕНИЕ
1. Актуальность темы ВКР.
Информационные технологии, которые позволяют предприятиям организовывать удаленную работу сотрудников в информационных системах и сетях известны достаточно давно. С их помощью работники могут выполнять работу находясь за пределами офиса, из любого уголка мира.
В конце 2019 года весь мир столкнулся с пандемией вируса COVID-19, в результате жизнь людей изменилась. В период с 2020 по 2022 год в России были введены различные ограничения направленные на сокращение распространения вируса среди населения, в том числе множество работников и учеников были направленны на карантин или самоизоляцию. В условиях, когда большинство людей не могло покидать место жительства чтобы присутствовать на работе или учебе удаленный доступ к серверам, рабочим станциям в офисах, или учебным материалам стал для многих единственной возможностью продолжить свою деятельность, а для многих организаций это стало единственной возможностью, которая позволила им продолжить работу и адаптироваться к новым условиям. Государство также оценило возможности использования удаленного доступа, в "Трудовой кодекс Российской Федерации" были внесены соответствующие изменения. По оценки Министерства труда РФ если в до пандемийный период на удаленно доступе работало около 30 тыс. работников, то в период пандемии эта цифра выросла в 100 раз и составила 2,8-3 млн. человек.
По исследования Компании Касперского проведенного в 2020 году из 6 тыс. опрошенных 50% никогда не подключались к удаленному рабочему столу в до пандемийный период, а 73% организаций не проводили обучение работников по использованию удаленного рабочего стола.
В связи с увеличением количества людей, работающих на удаленном доступе количество кибератак направленных на взлом незакрытых RDP портов в России, увеличилось в 10 раз.
Не смотря на прекращение пандемии, внесенные ей изменения, сохраняются:
1. В случае подозрений о заболевании работники отправляются на удаленный доступ, до получения работником подтверждения о его полном выздоровлении.
2. После окончания пандемии удаленный доступ стал использоваться организациями чаще.
23 февраля 2023 года Российская Федерация начала специальную военную операцию (СВО), в ответ на которую хакерские группировки, выступающие против этого с первой же недели, начали проводить множественные кибератаки на различные организации расположенные на территории России. В результате чего в первом квартале 2022 года количество кибератак в сравнении с первым кварталом 2021 года увеличилось в 15 раз. В это же время, ряд недружественных стран на государственном уровне в ответ на СВО начал оказывать санкционное давление на Российские организации с целю остановки их работы. Были нарушены цепочки поставок.
В условиях, когда организации в течении уже более 3-х лет испытывают давление с разных сторон, вынуждены постоянно перестраивать процессы под изменившиеся обстоятельства, предоставление удаленного доступа работникам является одним из тех механизмов, которые позволяют обеспечить устойчивую работу. В тоже время системы удаленного доступа являются целями злоумышленников и требуют надежной защиты.
Поэтому рассматриваемая в дипломной работе тема «Обоснование и разработка организационных мер и технических решений по защите информации при организации удаленной работы сотрудников предприятия на примере Хабаровского филиала АО «Полиметалл УК», актуальна не только дл филиала, но и в целом, для организаций.
В работе будет исследован процесс организация удаленного доступа и защита данных при доступе работников к информационным системам на примере Хабаровского филиала АО «Полиметалл УК», целью которого, анализ существующего порядка предоставления удаленного доступа, мер защити информации которые используются, при предоставлении удаленного доступа работников.
Задачей дипломной работы является описание процесса организации, предоставления и прекращения удаленного доступа к ресурсам организации, обеспечение безопасности при использовании удаленного доступа, а также разработки дополнительных организационных и технических мер защиты информации.
Для этого будут изученные существующие методы и технологии, используемые в филиале, проанализированы нормативные документы, описывающие порядок предоставления удаленного доступа. Разработаны и протестированы новые организационные и технические меры защиты информации.
Глава 1. Теоретические вопросы организации и предоставления удаленного доступа.
-
Понятие, технологии и задачи предоставления удаленного доступа.
В соответствии с ГОСТ Р ИСО/МЭК 18028-1-2008 и ГОСТ Р ИСО/МЭК 27033-1-2011 Удаленный доступ (remote access): Процесс получения доступа к сетевым ресурсам из другой сети или с терминала, не являющегося постоянно соединенным физически или логически с сетью, к которой он получает доступ. По сути он предоставляет пользователю возможность доступа к рабочему месту через сеть Интернет, при этом, для подключения ему необходим доступ в сеть Интернет, устройство с которого будет осуществляться подключение и права доступа к устройству, к которому он будет подключаться.
Доступ может быть предоставлен как в командную консоль рабочей станции или сервера, так и к графическому интерфейсу системы. Для организации доступа могут использоваться различные технологии, как для организации подключения к сети, в которой находится удаленное рабочие место, так и к для подключения к конечному устройству (рабочему станции). Разберем их детальнее на примере предоставления удаленного доступа к рабочему столу рабочей станции.
Для удаленного доступа к рабочей станции может использоваться два варианта подключения:
1. Доступ в командную оболочку рабочей станции.
2. Доступ к графическому интерфейсу рабочей станции.
Первый вариант предполагает подключение к рабочей станции протоколам SSH, telnet, winexec или аналогичным. При этом протокол telnet практически не используется в современном мире. Это связано с тем, что он является незащищенным и считается уязвимым, все данные передаваемые по протоколу, между рабочей станцией и клиентом, в том числе пароль, передаются в открытом виде и могут быть перехвачены злоумышленником. В тоже время широкое распространение получил протокол SSH, который в отличии от telnet использует зашифрование. Также