СТЕПАНОВ А.Д. КЗИ-109 / Kursovaya_rabota_Stepanov_A_D_zashita
.pdfМинистерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
“Владимирский государственный университет имени Александра Григорьевича и Николая Григорьевича Столетовых”
(ВлГУ)
Кафедра информатики и защиты информации
СМК 08/08–16
Срок хранения 2 года ВЛГУ.090104.5.25.00 ПЗ
П О Я С Н И Т Е Л Ь Н А Я З А П И С К А
Повышение уровня защищенности информационных ресурсов
коммерческого предприятия ОАО “INTECH”
Руководитель |
____________________ асс. Каф. ИЗИ Файман О.И. |
|
подпись, дата |
Студент |
____________________ Степанов А.Д. |
|
подпись, дата |
Владимир 2013
РЕФЕРАТ
Отчет 73 с., 25 рис., 18 табл., 12 источников литературы.
Цель работы: повышение уровня защищенности информационной системы (ИС) на примере открытого акционерного общества (ОАО), магазина бытовой техники, «INTECH».
Задачи:
1)получение необходимых данных об объекте;
2)формирование перечня защищаемых информационных ресурсов (ИР);
3)оценка полезности защищаемых ИР;
4) |
оценка |
уровня |
защищенности |
информационной |
системы |
открытого акционерного общества, магазина бытовой техники «INTECH»; |
|
||||
5) |
формирование частного технического задания для повышения текущего уровня |
||||
защищенности ИР. |
|
|
|
|
|
Объект исследования: информационная система открытого акционерного общества магазина бытовой техники «INTECH».
Предметом исследования: методика повышения защищенности ИР коммерческого
предприятия.
2
|
СОДЕРЖАНИЕ |
|
НОРМАТИВНЫЕ ССЫЛКИ …………………………………………………………………. 4 |
||
ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ ……………………………………. 5 |
||
ВВЕДЕНИЕ ……………………………………………………………………………………. 6 |
||
ГЛАВА 1 ОПИСАНИЕ ОБЪЕКТА ИССЛЕДОВАНИЯ ……………………………………. 8 |
||
1.1 |
Общая информация и деятельность ОАО “INTECH” ……………………………………8 |
|
1.2 |
Планировка ОАО “INTECH”................................................................................................ |
11 |
1.3 |
Установленное оборудование в ОАО “INTECH” ………………………………………. 13 |
|
1.4 |
Исходные данные .................................................................................................................. |
16 |
1.5 |
Описание процесса обработки защищаемых ИР................................................................ |
19 |
ГЛАВА 2 ФОРМИРОВАНИЕ ПЕРЕЧНЯ ЗАЩИЩАЕМЫХ ИР........................................... |
25 |
|
2.1 |
Первый тур опроса эксперта ................................................................................................ |
25 |
2.2 |
Второй тур опроса эксперта ................................................................................................. |
28 |
2.3 |
Выбор методики оценки текущей полезности защищаемых ИР ..................................... |
30 |
2.5 |
Расчет затрат на ИР ............................................................................................................... |
32 |
ГЛАВА 3 ОЦЕНКА УЯЗВИМОСТИ ИР И ВЫРАБОТКА ..................................................... |
46 |
|
РЕКОМЕНДАЦИЙ ПО ПОВЫШЕНИЮ УРОВНЯ ЗАЩИЩЕННОСТИ............................. |
46 |
|
3.1 |
Разработка модели нарушителя ........................................................................................... |
46 |
3.2 |
Разработка модели угроз....................................................................................................... |
47 |
3.3 |
Расчет защищенности ИР ..................................................................................................... |
53 |
3.4 |
Рекомендации по повышению уровня защищенности ИР ................................................ |
66 |
ЗАКЛЮЧЕНИЕ............................................................................................................................ |
72 |
|
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ ....................................................................... |
73 |
|
ПРИЛОЖЕНИЕ А ....................................................................................................................... |
74 |
|
ПРИЛОЖЕНИЕ Б ........................................................................................................................ |
75 |
|
ПРИЛОЖЕНИЕ В........................................................................................................................ |
77 |
|
ПРИЛОЖЕНИЕ Д........................................................................................................................ |
78 |
|
ПРИЛОЖЕНИЕ Е ........................................................................................................................ |
82 |
|
ПРИЛОЖЕНИЕ Ж....................................................................................................................... |
84 |
|
ПРИЛОЖЕНИЕ З ........................................................................................................................ |
89 |
|
ПРИЛОЖЕНИЕ И ..................................................................................................................... |
108 |
|
ПРИЛОЖЕНИЕ К...................................................................................................................... |
109 |
|
ПРИЛОЖЕНИЕ Л...................................................................................................................... |
116 |
|
|
|
3 |
НОРМАТИВНЫЕ ССЫЛКИ
В настоящей пояснительной записке использованы ссылки на следующие стандарты:
Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Указом президента от 30.11.1995 № 1203 Российской Федерации (с изменениями на 26 сентября 2013 г.) «Об утверждении перечня сведений, отнесенных к государственной тайне»
Указом президента от 6.03.1997 № 188 Российской Федерации (с изменениями и дополнениями от 23.09.2005) «Об утверждении перечня сведений, конфиденциального характера»
Федеральный закон от 29.07.2004 № 98-ФЗ (в ред. Федеральных законов от 02.02.2006 № 19-ФЗ от 18.12.2006 № 231-ФЗ, от 24.07.2007 № 214-ФЗ) «О коммерческой тайне»
Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) «О персональных
данных»
ГОСТ Р 50922-2006 – «Защита информации. Основные термины и определения»
ГОСТ Р 53114-2008 – «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»
Р 50.1.053-2005 – «Информационные технологии. Основные термины и определения в области технической защиты информации»
Р 50.1.056-2005 – «Техническая защита информации. Основные термины и определения»
ГOCT 45.127-99 – «Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения»
СТР-К - «Специальные требования и рекомендации по технической защите конфиденциальной информации»
ГОСТ Р ИСО/МЭК 27005-2010– «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»
Кодекс об административных правонарушениях РФ
4
ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АСУ – автоматизированная система управления БП – бизнес процесс ГТ - государственная тайна
ЗИ – защита информации ИБ – информационная безопасность
ИП – информационный процесс ИС – информационная система ИТ – информационные технологии КТ – коммерческая тайна
НСД – несанкционированный доступ
ООО – общество с ограниченной ответственностью ОС – операционная система ПДн – персональные данные ПО – программное обеспечение РФ – Российская Федерация СК – строительная компания
ССОП – системы и сети общего пользования СТ – служебная тайна ЧС – чрезвычайная ситуация
5
ВВЕДЕНИЕ
Современная экономика, с ее постоянно ужесточающейся конкуренцией, требует от руководителей и менеджеров предприятий, фирм и ассоциаций постоянного повышения эффективности использования экономического потенциала, поддержание конкурентоспособности для коммерческих предприятий сегодня возможно только при использовании современных информационных технологий (ИТ) автоматизированных систем управления (АСУ). В тоже время интенсивная информатизация общества ведет к увеличению преступлений, связанных с использованием компьютерной технике, в том числе и преступлений, связанных несанкционированного доступа (НСД), копированием,
уничтожение, блокированием доступа к защищаемым элементам ИС коммерческих предприятий. Как следствие перед коммерческими предприятиями встает задачи обеспечения информационной безопасности (ИБ) ИС в целом с помощью организационных, технических, программно-аппаратных и криптографических средств.
В соответствии с [1] информационной системой является совокупность содержащихся в базах, данных (БД) информации и обеспечивающей ее обработку информационных технологий и технических средств. Обеспечение безопасности ИС является важной задачей для любой коммерческой организации. Однако применение тех или иных мер и средств по обеспечению ИБ ИС не гарантируют ее эффективною защиту.
Организация защиты ИС может быть направлена в основном против одного вида угроз и не затрагивать угрозы другого вида. Развитие ИТ также может приводить как устранению старых уязвимостей, так и к появлению новых и использование современных и актуальных ИТ позволяет снизить вероятность эксплуатации тех или иных уязвимостей ИС предприятий.
На основание вышеизложенного, для обеспечения наиболее эффективной защиты ИС, необходимо регулярно производить оценку эффективности уровня защищенности ИР.
В рамках данной работы была произведена такая оценка защищенности и выработаны ряд рекомендация по увеличению уровня защищенности на примере коммерческого предприятия ОАО “INTECH”.
Целью данной работы является: повышение уровня защищенности информационной системы (ИС) на примере открытого акционерного общества (ОАО), магазина бытовой техники, «INTECH».
6
Для достижения поставленных задач, были предложены следующие пути решения:
1)описание объекта исследования;
2)формирование предварительного перечня защищаемых ИР (1-ый тур);
3)формирование обобщенного перечня защищаемых ИР (2-ой тур);
4)построение модели угроз и модели нарушителя;
5)оценка уровня защищенности ИС ОАО “INTECH”.
Объект исследования данной работы является информационная система открытого акционерного общества магазина бытовой техники «INTECH».
Предметом исследования является методика повышения защищенности ИР коммерческого предприятия.
7
1 ГЛАВА, ОПИСАНИЕ ОБЪЕКТА ИССЛЕДОВАНИЯ
1.1 ОБЩАЯ ИНФОРМАЦИЯ О ДЕЯТЕЛЬНОСТИ ОАО “INTECH”
В рамках данной работы в качестве объекта исследования выступает магазин бытовой техники ОАО ”INTECH”. Магазины «INTECH» открыт в городе Владимире с населением 250-500 тысяч жителей. Стратегическое партнерство с ведущими международными производителями: Apple, IconBit, LG, Panasonic, Pioneer, Samsung, Philips, Sony, Toshiba, Canon, позволяет клиентам «INTECH» в числе первых узнавать о впечатляющих инновациях и получать эксклюзивные новинки.
“INTECH” является большим магазином бытовой техники и оказывает услуги по следующим направлениям: аудио/видео и цифрового направлений, мелкой и крупной бытовой электроники, товаров для развлечения, а также аксессуаров. «INTECH»
представляет широкий ассортимент качественных товаров бытовой техники и электроники,
ведущих мировых брендов.
Магазин «INTECH», располагается в отдельном, одноэтажном здании, внешний вид которого представлен на рисунке 1:
.
Рисунок 1 – Фотографии здания/внутренних помещений
8
Также, в магазине “INTECH”, есть возможность приобрести в кредит любой товар
от 3000р.
ВОАО “INTECH”, есть возможность совершать покупки товара или группы товаров
вкредит, непосредственно в магазине, без дополнительного посещения банка. Чтобы оформить заявку на кредит, необходимо обратиться в кредитный отдел и выбрать вид кредита, далее заполнить все необходимые документы. При возникновения дополнительных вопросов, Вам обязательно поможет консультант кредитного отдела.
Виды предоставляемых кредитов:
Универсальный стандарт
Сумма кредита: 3 000 р. до 150 000р;
Срок кредита: от 6 до 12 месяцев;
Первоначальный взнос: от 10% до 99% от стоимости товара;
Годовая процентная ставка: 69% годовых.
Классический
Сумма кредита: 3 000 р. до 150 000р;
Срок кредита: от 6 до 18 месяцев;
Первоначальный взнос: 0% от стоимости товара;
Годовая процентная ставка: 70% годовых.
Доступный кредит
Сумма кредита: 3 000 р. до 150 000р;
Срок кредита: от 6 до 18 месяцев;
Первоначальный взнос: от 10% до 99% от стоимости товара;
Годовая процентная ставка: 59% годовых.
Альтернатива
Сумма кредита: 3 000 р. до 150 000р;
Срок кредита: от 10 до 18 месяцев;
Первоначальный взнос: от 0% до 99% от стоимости товара;
Годовая процентная ставка: 43% годовых.
9
Общая информация о типе, название, месте расположения, а также контактной информации ОАО “INTECH”, представлена в таблице 1.1:
Таблица 1.1 – Общая информация об ОАО “INTECH”
Наименование характеристики |
Характеристика |
|
|
Тип объекта: |
Магазин бытовой техники |
|
|
Название: |
ОАО “INTECH” |
|
|
Место расположения: |
г. Владимир, ул. Тракторная, дом 42с |
|
|
Контактные номера: |
8-(920)-111-23-32, 8-(4992) 11-12-30 |
|
|
Список сотрудников ОАО “INTECH” представлен в приложение А.
10