МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ТАМБОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ИМЕНИ Г.Р. ДЕРЖАВИНА»

Институт математики, физики и информатики

Кафедра информатики и информационных технологий

УДК 004.056.53 «ДОПУШЕНА К ЗАЩИТЕ»

Зав.кафедрой к.п.н., доцент

___________В.Ю. Лыскова

«__»________________2013

Полоумов Алексей Геннадьевич

Комплексная защита информации на предприятии банковской сферы оао «россельхозбанк»

Дипломная работа

Студент 5 курса специальности «Организация и технология защиты информации» очной формы обучения Руководитель: к.ф.-м.н., доцент, доцент кафедры информатики и информационных технологий Лопатин Дмитрий Валерьевич

Тамбов 2013

Реферат

Полоумов А.Г. Комплексная защита информации на предприятии банковской сферы»: диплом. работа / Полоумов Алексей Геннадьевич, Тамб. гос. ун-т им. Г.Р. Державина: Каф. информатики и информационных технологий; Науч. рук.: к.ф.-м.н., доцент Д.В. Лопатин - Тамбов, 2013. – 56 с., 2 рис., 3 табл.

Ключевые слова: конфиденциальная информация, информационная система персональных данных, сведения ограниченного доступа.

Цель работы – обеспечение защиты сведений ограниченного доступа в районном отделении коммерческого банка на уровне требований законодательства РФ.

Объектом исследования являются сведения ограниченного доступа предприятия, а предметом – данные, обрабатываемые этой информационной системой.

Решены следующие задачи:

1. оценитьанеобходимостььзащиты информации в банке;

2. проанализировать нормативно-правовые документы банка;

3. оценить угрозы безопасности информации;

4. разработатьсмерымзащиты.

Обозначения и сокращения

АИБ – администратор информационной безопасности;

АРМ – автоматизированное рабочее место;

АС – автоматизированная система;

АТС – автоматизированная телефонная станция;

БД – база данных;

ВЧ – высокие частоты;

ЗИ – защита информации;

ИК – инфракрасный;

ИСПДн – информационная система персональных данных;

КПП – контрольно-пропускной пункт;

ЛАЛС – лазерные акустические локальные системы;

ЛВС – локально-вычислительная сеть;

НПА – нормативные правовые акты;

НСД – несанкционированный доступ;

ОЗУ – оперативо-запоминащее устройство;

ПЗС – прибор с зарядовой связью;

ПК – персональный компьютер;

ПЭВМ – персональная электроно-вычислительная машина;

ПЭМИН – побочные электромагнитные излучения и наводки;

СВТ – средства вычислительной техники;

СКУД – система контроля и управление доступом;

ТА – телефонный аппарат.

УБПДн – угрозы безопасности персональных данных;

УНЧ – усилитель низких частот;

УТСИТ – управление технических средств и телекоммуникаций.

Содержание

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ 3

ВВЕДЕНИЕ 8

1 ОЦЕНКА НЕОБХОДИМОСТИ ЗАЩИТЫ 10

ИНФОРМАЦИИ В ОРГАНИЗАЦИИ 10

1.1 Характеристика объекта защиты 10

1.2 Анализ нормативных документов 12

1.3 Инвентаризация информационных ресурсов 13

1.3.1 Описание информационной системы объекта защиты 13

1.3.2 Классификация требований информационной безопасности 14

1.3.3 Инвентаризация системы обеспечения информационной безопасности 18

1.3.4 Инвентаризация существующих средств защиты 22

ресурсов и информации 22

Выводы по главе 25

При выполнении данной работы проанализировал информационные потоки, циркулирующие в учреждении. При анализе информации, были определены те ее элементы, которые в большей или меньшей степени нуждаются в проведении мер по защите. Проанализированы нормативно-правовые документы, на основе которых осуществляется защита информации в районном отделении коммерческого банка. 25

2 МОДЕЛИРОВАНИЕ ОБЪЕКТОВ ЗАЩИТЫ 26

2.1 Структурирование защищаемой информации 26

2.2 Проектирование моделей объектов защиты 28

2.3 Строение локальных вычислительных сетей в организации 29

Выводы по главе 30

3 РАЗРАБОТКА МЕР ПО ПРЕДОТВРАЩЕНИЮ УТЕЧКИ ИНФОРМАЦИИ 31

3.1 Меры по предотвращению угроз связанных с несанкционированным доступом к информации ограниченного доступа 31

3.2 Защита от сетевых угроз 34

3.3 Защита загрузки операционной системы 37

3.4 экономическая эффективность внедрения средств защиты информации 41

ЗАКЛЮЧЕНИЕ 43

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 44

18. Политики безопасности компании при работе в Internet [Электронный ресурс].  Режим доступа: http://citforum.ru/security/internet/security_pol 45

19. Разработка политики безопасности. [Электронный ресурс].  Режим доступа: http://www.sernam.ru/ss_31.php 45

20. Мак-Мак В.П. Служба безопасности предприятия / В.П. Мак-Мак [Электронный ресурс].  Режим доступа: http://sec4u.ru/text/1-analist/1083/index.shtml 46

21. Выбор политики информационной безопасности предприятия. [Электронный ресурс].  Режим доступа: http://library.tuit.uz/skanir_knigi/book/ 46

22. Проектирование системы информационной безопасности [Электронный ресурс].  Режим доступа: http://revolution.allbest.ru/programming/ 46

23. Прикладная информатика . Идентификация и аутентификация [Электронный ресурс].  Режим доступа: http://prikladnayainformatika.ru/keywords. 46

ПРИЛОЖЕНИЕ А 49

АНКЕТНЫЙ ОПРОС И РЕЗУЛЬТАТЫ ОТВЕТОВ 49

ПРИЛОЖЕНИЕ Б 52

ПЛАН ПОМЕЩЕНИЯ ПЕРВОГО ЭТАЖА С УКАЗАНИЕМ НОМЕРА КАБИНЕТОВ И ЕГО ПЛОЩАДЬЮ 52

ПРИЛОЖЕНИЕ В 53

ПЛАН ПОМЕЩЕНИЯ ВТОРОГО ЭТАЖА С УКАЗАНИЕМ НОМЕРА КАБИНЕТОВ И ЕГО ПЛОЩАДЬЮ 53

ПРИЛОЖЕНИЕ Г 54

ОБОЗНАЧЕНИЕ КАБИНЕТОВ 54

ПИЛОЖЕНИЕ Д 55

СХЕМА РАСПОЛОЖЕНИЯ КОМПЬЮТЕРОВ В КАБИНЕТАХ ПЕРВОГО ЭТАЖА 55

ПИЛОЖЕНИЕ Е 56

СХЕМА РАСПОЛОЖЕНИЯ КОМПЬЮТЕРОВ В КАБИНЕТАХ ВТОРОГО ЭТАЖА 56

ПРИЛОЖЕНИЕ Ж 57

РАСПОЛОЖЕНИЕ ЛВС НА ПЕРВОМ ЭТАЖЕ 57

ПРИЛОЖЕНИЕ З 58

РАСПОЛОЖЕНИЕ ЛВС НА ВТОРОМ ЭТАЖЕ 58

Обозначения и сокращения………………………………………………………… 3

Введение…………………………………………………………………………….. 6

1 Оценка необходимости защиты информации в организации………………….. 8

1.1 Характеристика объекта защиты………………………………………… 8

1.2 Анализ нормативных документов…………………………………...…10

1.3 Инвентаризация информационных ресурсов 11

1.3.1 Описание информационной системы объекта защиты 11

1.3.2 Классификация требований информационной безопасности 12

1.3.3 Инвентаризация системы обеспечения информационной безопасности………………………………………………………..……......16

1.3.4 Инвентаризация существующих средств защиты ресурсов и информации………………………………………………………………….20

Выводы по главе…………………………………………………………………… 23

2 Моделирование объектов защиты………………………………………………. 24

2.1 Структурирование защищаемой информации 24

2.2 Проектирование моделей объектов защиты…………………………… 26

2.3 Строение локальных вычислительных сетей в организации 27

Выводы по главе…………………………………………………………………… 28

3 Разработка мер по предотвращению утечки информации……………………. 29

3.1 Меры по предотвращению угроз связанных с несанкционированным доступом к информации ограниченного доступа…………..………………….…29

3.2 Защита от сетевых угроз 32

3.3 Защита загрузки операционной системы 35

3.4 Экономическая эффективность внедрения средств защиты информации…………………………………………………………………………………...38

Выводы по главе…………………………………………………………………....40

Заключение………………………………………………………………………… 41

Список использованных источников…………………………………………….. 42

Приложение А Анкетный опрос и результаты ответов………………………….47

Приложение Б План помещения первого этажа с указанием номера кабинетов и его площадь…………………………………………………………………………50

Приложение В План помещения второго этажа с указанием номера кабинетов и его площадью…………………………………………………………………….....51

Приложение Г Обозначение кабинетов 52

Пиложение Д Схема расположения компьютеров в кабинетах первого этажа 53

Пиложение Е Схема расположения компьютеров в кабинетах второго этажа 54

Приложение Ж Расположение локальных вычислительных сетей на первом этаже 55

Приложение З Расположение локальных вычислительных сетей на втором этаже 566