- •Кафедра засобів захисту інформації
- •Дипломний проект
- •Випускника освітньо-кваліфікаційного рівня
- •Перелік використаних скорочень
- •2 Нормативні посилання
- •1. Закон України «Про інформацію».
- •2. Закон України «Про доступ до публічної інформації»
- •3. Закон України «Про основи національної безпеки України»
- •4. Закон України «Про державну таємницю»
- •3. Канали витоку інформації
- •4. Оптимальне розподілення технічних ресурсів
- •Висновки
- •Перелік посилань
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ
Інститут інформаційно-діагностичних систем
Кафедра засобів захисту інформації
ДОПУСТИТИ ДО ЗАХИСТУ
Завідувач кафедри
_______________Швець В.А.
“_____”____________ 2014 р.
Дипломний проект
(пояснювальна записка)
Випускника освітньо-кваліфікаційного рівня
“СПЕЦІАЛІСТ”
Тема: «Мінімізація ризиків в інформаційних системах за рахунок оптимального розподілу ресурсів захисту»
Виконавець: М.С. Хрущ
Керівник: Є.Г. Левченко
Консультант з правових питань: С.І. Жлобін
Нормоконтролер: С.М. Скворцов
Київ 2014
ЗМІСТ
ПЕРЕЛІК ВИКОРИСТАНИХ СКОРОЧЕНЬ………………………………………6
ВСТУП……………………………………………………………………………….7
РИЗИК.ВИДИ РИЗИКІВ……………………...………………………………….9
НОРМАТИВНІ ПОСИЛАННЯ………………………………………………...15
2.1.Закон України «Про інформацію»………...………………………………………………………....15
2.2.Закон України «Про доступ до публічної інформації»…………………………………………………………………….16
2.3. Закон України «Про основи національної безпеки України»………………………………………………………………………..17
2.4. Закон України «Про державну таємницю»……………………………………………………………………...18
2.5. Закон України «Про державну службу спеціального зв’язку та захисту інформації України»………………….…………………………………………………….19
2.6. Положення про технічний захист інформації в Україні……………………………………………………………….…………19
2.7. Концепція технічного захисту інформації в Україні…………………………………………………………….…………….20
2.8. ДСТУ 3396.0-96. Захист інформації. Технічний захист інформації. Основні положення……….…………………………………………………….20
2.9. ДСТУ 3396.1-96. Захист інформації. Технічний захист інформації. Порядок проведення робіт……………………………………………………...21
ТЕХНІЧНІ КАНАЛИ ВИТОКУ ІНФОРМАЦІЇ……………………………..22
ОПТИМАЛЬНИЙ РОЗПОДІЛ ТЕХНІЧНИХ РЕСУРСІВ………………………………………..........……………………….35
ВИСНОВОК………………………………………………………………………...56
ПЕРЕЛІК ПОСИЛАНЬ…………………………………………………………….61
Перелік використаних скорочень
ДТЗС – допоміжні технічні засобі та системи;
ЗУ – закон України
ДСТУ – державний стандарт України
МП – мікропроцесор
ТЗІ – технічний захист інформації
ЗУ – закладні пристрої
СКД – системи контролю доступа
ОС – охоронна сигналізація
СКУД – системи контролю та управління доступом
Ри́зик — можливість того, що все відбуватиметься не так, як очікується, можливість припуститися помилки.
Методи по вивченню, оцінки і зменшення ризиків завжди мали велике значення у сфері господарської діяльності.
З точки зору здорового глузду, людині не дано знати все, знання будь-якої людини обмежені. Тому ризики завжди будуть присутні в людській діяльності.
Кількісні методи оцінки, прогнозування і роботи з ризиками почали виникати відносно недавно, у зв'язку з розвитком математики, починаючи з XVII ст.
Мінімізація ризиків-це процес, який складається з аналізу ризиків та впровадження рішень,які були прийняті для виявлення та зниження до мінімуму їх ймовірності виникнення.
Аналіз ризиків – це насамперед їх визначення та оцінка. Оцінка інформаційного ризику включає визначення обсягу шкоди, якої він може заподіяти суб’єктові господарювання. В процесі контролю за інформаційними ризиками знаходять умови, за яких такі ризики можуть бути мінімальними, суттєвими або значними.
Питання мінімізації ризику втрати інформації,на данний момент, дуже актуальне. Тому установи повинні вживати відповідних заходів,диференціюючи їх відповідно до певних загроз. Серед таких заходів насамперед мають бути:
– формування правових умов захисту інформації;
– створення системи захисту інформації;
– забезпечення контролю за носіями інформації;
– запровадження надійної системи документообігу,яка б виключала можливість несанкціонованого доступу до документів, їх втрати, знищення чи модифікації;
– забезпечення надійної охорони, особливо з точки зору виключення можливості несанкціонованого доступу до документів,в яких є важлива для підприємства інформація;
– ретельний підбір персоналу, зокрема управлінського, з урахуванням таких його характеристик, як професіоналізм, компетентність, креативність, конформізм, конструктивність мислення, колективізм, самокритичність, відповідальність;
– формування інформаційної бази прийняття управлінських рішень на основі таких принципів, як актуальність, достовірність, надійність, релевантність, цілеспрямованість та інформаційна єдність даних, повнота відображення змісту, зрозумілість;
– використання декількох надійних інформаційних джерел для підвищення якості інформаційного забезпечення;
– використання додаткової інформації у разі недостатності наявної для прийняття обґрунтованих рішень;
– нагромадження, аналіз та ефективне використання інформації про досвід діяльності зарубіжних підприємств, науково-технічні досягнення;
Частина з цих заходів потребує значних фінансових ресурсів. Тому для прийняття рішення щодо вибору методів мінімізування інформаційного ризику повинно враховуватись: вартість здобуття додаткової інформації; важливість інформації, яку захищають; величину збитків, які може спричинити втрата інформації; ефективність інформаційної системи і системи захисту та їх відповідність вартості.