- •Аннотация
- •Введение
- •Назначение и цели создаваемой асзи
- •Описание предметной области
- •Описание организационной структуры предприятия. Описание бизнес-процессов.
- •Классификация информации по видам тайн. Определение информации подлежащей защите.
- •Описание угроз и модели нарушителя
- •Оценка рисков
- •Выбор класса защищенности системы. Обоснование выбора.
- •Постановка задачи для реализации требований по обеспечению безопасной работы в системе.
- •Определение требований к подсистемам выбранного класса защищенности.
- •Разработка модели доступа к информации.
- •Управление доступом в компьютерных системах.
- •Условия реализации требований
- •Политика информационной безопасности предприятия
- •Общие положения
- •Цель и назначение настоящей Политики
- •Область применения настоящей Политики
- •Ответственность за информационные активы
- •Общие положения
- •Доступ третьих лиц к системам Компании
- •Удаленный доступ
- •Доступ к сети Интернет
- •Защита оборудования
- •Аппаратное обеспечение
- •Программное обеспечение
- •Рекомендуемые правила пользования электронной почтой
- •Сообщение об инцидентах информационной безопасности, реагирование и отчетность
- •Помещения с техническими средствами информационной безопасности
- •Управление сетью
- •Защита и сохранность данных
- •Разработка систем и управление внесением изменений
- •Методы и средства определения информационной безопасности
- •Определение уязвимостей в системе обработки информации
- •Анализ средств защиты существующих на рынке
- •Выбор средств защиты информации автоматизированной системы обработки информации. Обоснование.
- •Меры по защите информации.
- •Политика безопасности предприятия.
- •Реализация политики безопасности с использованием выбранных средств защиты.
- •Задачи решаемые выбранными программно-аппаратными средствами.
- •Применение программно-аппаратных средств, для решения задач.
- •Организационные мероприятия по обеспечению информационной безопасности.
- •Инструкция администратора системы.
- •Инструкция пользователя системы.
- •Заключение
- •Перечень используемых источников
Введение
Современную компанию невозможно представить без компьютеров и автоматизированных систем. Они настолько широко и глубоко внедрились в составляющие компаний, что очень трудно назвать какую-либо сферу деятельности, где бы они не использовались. Информационные технологии постоянно совершенствуются в направлении их автоматизации и способов защиты информации.
Развитие новых информационных технологий сопровождаются такими негативными явлениями, как промышленный шпионаж, компьютерные преступления и несанкционированный доступ (НСД) к секретной и конфиденциальной информации. Поэтому защита информации является важнейшей государственной задачей в любой стране.
Организация мер защиты информации должна проводиться в полном соответствии с действующими законами и нормативными документами по безопасности информации, интересами пользователей информации. Чтобы гарантировать высокую степень защиты информации, необходимо постоянно решать сложные научно-технические задачи разработки и совершенствования средств ее защиты.
Цель данной дипломной работы - применение полученных теоретических знаний и практических навыков для построения подсистемы безопасности для АС, а так же внедрить систему обнаружения атак и вторжений. Это позволяет повысить защищенность автоматизированной системы, а так же снизить риски, вызванные НСД.
На предприятии к обеспечению защиты информации предъявляются высокие требования, так как данные, обрабатываемые в автоматизированной системе, содержат помимо общедоступной информации сведения, составляющие служебную и коммерческую тайны, персональные данные, поэтому целесообразна разработка эффективной Политики безопасности, внедрения системы обнаружения вторжений, а также создание службы безопасности, которая будет обеспечивать выполнение и соблюдение сотрудниками требований данной Политики.
Назначение и цели создаваемой асзи
АСЗИ – Автоматическая система защиты информации
Компания ООО «СпецАвтоКубань» занимается продажей спецтехники, оказанием услуг аренды строительной спецтехники, а так же выполнением комплексных работ (демонтаж зданий, разработка траншей, доставка инертных материалов и т.д.). Автоматизированная система компании хранит и обрабатывает конфиденциальную информацию различного класса секретности.
В ходе исследования были выявлены следующие проблемы информационной безопасности:
Отсутствие четкого разграничения прав доступа к информации различного типа и класса;
Отсутствие защиты от внешних вторжений в АС из сети Интернет.
Исходя из того, что на файловом сервере компании, к которому имеют доступ все сотрудники, хранятся резервные копии бухгалтерских баз, бухгалтерские документы, электронные версии различных договоров, электронные копии документов на строительную технику, которые злоумышленник может уничтожить или изменить, то основными целями и задачами внедрения системы обнаружение вторжений являются:
Предотвращение НСД в корпоративную сеть компании из сети Интернет, с целью уничтожения, изменения или хищения информации;
Предотвращение НСД внутри сети компании, с целью изменения, уничтожения или хищения информации;
Обеспечение конфиденциальности информации;
Обеспечение целостности информации;
Обеспечение стабильной работоспособности Информационной системы.