- •Пояснительная записка
- •1. Требования к содержанию дипломного проекта
- •2. Тематика дипломного проекта
- •3. Структура дипломного проекта
- •4. Содержание дипломного проекта
- •4.1 По направлению разработки автоматизированной информационной системы Введение
- •3 Разработка и описание программного обеспечения аис «…..»
- •4 Руководство пользователя
- •5 Экономическая эффективность проекта
- •Заключение
- •Список литературы
- •4.2 По направлению разработки автоматизированной информационной системы разработки механизма обеспечения информационной безопасности корпоративной информационной системы организации Введение
- •1 Анализ предметной области предприятия
- •1.1 Категории пользователей ас, режимы использования и уровни доступа к информации
- •1.2 Карта информационной системы организации
- •1.3 Нормативные документы, регулирующие информационную безопасность
- •3.2 Основные задачи системы обеспечения безопасности информации
- •3.3 Основные пути достижения целей защиты (решения задач системы защиты)
- •4 Экономическая эффективность проекта
- •Заключение
- •Список литературы
- •5. Оформление дипломного проекта
- •6. Руководство и контроль хода дипломного проектирования
- •7. Порядок защиты дипломного проекта
- •8. Список рекомендуемой литературы
- •Список используемой литературы
- •Дипломный проект
- •Разработка автоматизированной информационной системы учета оказания услуг «междугородние автобусные перевозки»
- •Ф.И.О. Студента
- •230103.52 «Автоматизированные системы обработки информации и управления» (по отраслям),
3.2 Основные задачи системы обеспечения безопасности информации
Описать задачи, которые должна решать АС для достижения основной цели защиты. Вот примерный список задач: защита от вмешательства в процесс функционирования АС; разграничение прав доступа к информации, ПЭВМ, средствам защиты; регистрацию происходящий событий в АИС, процедуры обеспечения целостности и достоверности информации, а так же методы ее восстановления; защита от несанкционированных действий; авторизация и аутентификация пользователей; мониторинг возможных угроз и информационной защищенности; действия для минимизации и локализации ущерба от неправомерных действий.
3.3 Основные пути достижения целей защиты (решения задач системы защиты)
В данном разделе нужно рассмотреть все меры обеспечения безопасности компьютерных систем, которые подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратурные и программные).
"Организационные меры защиты" - в данном подразделе нужно описать процессы, регламентирующие функционирование системы, деятельность обслуживающего персонала, порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. С практической точки зрения политику в области обеспечения безопасности информации в организации целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность организации в целом, а политика нижнего уровня определяет процедуры и правила достижения цели и решения задач безопасности информации и детализирует (регламентирует) эти правила.
Также предстоит описать регламенты: доступа в помещение, доступа сотрудников к ресурсам, ведения и модификации баз данных, процессов обслуживания и модернизации оборудования. Описать методы обеспечения и контроля целостности аппаратных ресурсов и программного обеспечения, дать рекомендации кадровой службе по подбору, подготовке и обучению персонала. Описать основные тезисы, на основе которых будет принято положение о подразделении технической защиты информации. Определить ответственность за нарушение установленного порядка эксплуатации АС и действия по расследованию нарушений. Также описываются физические, технические (аппаратно-программные) средства защиты будут использоваться, опишем разграничение доступа на территорию и в помещения, средства опознания (идентификация) и подтверждения подлинности (аутентификация) пользователя, средства разграничения доступа зарегистрированных пользователей к ресурсам АС и другие средства, обеспечивающие оперативность контроля и регистрации событий, криптографические средства защиты. И рассматривается управление системой обеспечения информационной безопасности, ее главные цели и функции, а также не надо забывать о контроле эффективности системы защиты.
Необходимо также описать первоочередные действия, которые предстоит исполнить в самое ближайшее время. Как правило, это техническое задание и создание подразделения технической защиты, далее описывается аппаратно-программный комплекс, который обеспечит информационную безопасность организации.
Реализация технической политики по обеспечению информационной безопасности должна исходить из того, что нельзя обеспечить требуемый уровень безопасности только одним мероприятием или средством, а необходим комплексный подход с системным согласованием различных элементов, а каждый разработанный элемент рассматриваться как часть единой системы при оптимальном соотношении, как технических средств, так и организационных мероприятий.
Основные направления технической политики и как в рамках указанных направлений она будет осуществляться.
Для примера возьмем такое направление как защита информационных ресурсов от хищения, уничтожения, искажения.
Для реализации этого направления нам необходимо:
1) реализация разрешительной системы допуска пользователей к информации;
2) разграничение доступа пользователей к информационным ресурсам;
3) реализация системы сбора, обработки, объективное документирование событий;
4) регистрация действий пользователей и контроль за несанкционированным доступом и действиями пользователей;
5) надежное хранение традиционных и машинных носителей информации;
6) криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
7) необходимое резервирование технических средств и информационных ресурсов;
8) электрическая развязка цепей питания;
и т.п.
Режим безопасности информации, т.е. согласно выявленным угрозам режим защиты формируется как совокупность способов и мер защиты информации. Комплекс мер по формированию режима безопасности информации должен включать в себя: организационно-правовой режим (нормативные документы), организационно-технические мероприятия (аттестация рабочих мест), программно-технические мероприятия, комплекс мероприятий по контролю за функционированием АС и систем ее защиты, комплекс оперативный мероприятий по предотвращению несанкционированного доступа, а также комплекс действий по выявлению таких попыток.
Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации и разработку (введение в действие) необходимых организационно-распорядительных документов (положение о сохранности информации, перечень сведений составляющих служебную и коммерческую тайну, приказы и распоряжения по установлению режима безопасности информации, инструкции и функциональные обязанности сотрудников, и другие нормативные документы).
Под техническими и программными мероприятиями понимается комплекс действий, направленный на физическую охрану объектов информации, на защиту информации ограниченного распространения от утечки по техническим каналам, выполнение режимных требований при работе с информацией ограниченного распространения и мероприятия технического контроля.
К примеру, для защиты ЛВС от неправомерных действий из других ЛВС организации или внешних сетей установить сертифицированный межсетевой экран. Произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, контроль за состоянием защиты, выявление слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятие своевременных мер по их устранению необходимо использовать специальные программы оценки защищенности и т.п.