На сегодняшний день применение средств вычислительной техники стало обычным явлением, начиная от домашних компьютеров для общения и развлечения, заканчивая автоматизированными системами с огромными массивами информации различного значения. Современные условия вынуждают предприятия и компании использовать автоматизированные информационные системы для обеспечения эффективного выполнения процессов, значительно ускоряя и облегчая работу сотрудников предприятия.
При этом основные проблемы защиты информационной среды возникают из-за того, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи, тем самым подвергая автоматизированную информационную систему как внешним, так и внутренним угрозам со стороны нарушителей.
Таким образ ом, на первый план выходят вопросы построения эффективной системы защиты в автоматизированных информационных системах, что актуализирует тему настоящего исследования.
Объектом исследования является автоматизированная информационная система.
Предмет исследования – процесс построения системы защиты автоматизированной информационной системы.
Целью курсовой работы является разработка системы защиты автоматизированной информационной системы.
Для достижения поставленной цели в работе решались следующие задачи:
- на основе теоретического анализа литературы выявить основные способы защиты автоматизированной информационной системы;
- выделить основные понятия защиты информации;
- провести анализ известных мер по обеспечению безопасности автоматизированной информационной системы;
- выработать рекомендации по практической реализации мер обеспечения защиты автоматизированной информационной системы.
Вопросам построения систем защиты информации в автоматизированных информационных системах и комплексных систем информационной безопасности посвящено множество работ ряда отечественных и зарубежных специалистов: П.Д. Зегжды, П.В. Хореева, В.А. Хорошко, В.Ф. Шаньгина, A.A. Молдовяна, А.Н. Молдовянаи других.
Настоящее исследование отличается наличием практических рекомендаций по выбору средств защиты автоматизированных информационных систем.
Курсовая работа состоит из введения, двух глав основной части, заключения.
Фрагмент работы для ознакомления
д.1.2 Правовое регулирование защиты информации в АИСЕдинственным документом, определяющим понятие «информационная безопасность», является утвержденная Президентом Российской Федерации в 2000 г. Доктрина информационной безопасности Российской Федерации. Информационная безопасность Российской Федерации согласно указанному документу – «это состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».Доктрина информационной безопасности РФ является документом, закрепляющим методы обеспечения информационной безопасности Российской Федерации, а так же основные положения государственной политики обеспечения информационной безопасности.В российском законодательстве базовым законом в области защитыинформации является ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года номер 149-ФЗ. Закон регулирует отношения, возникающие при:получении права на поиск и дальнейшую обработку информации;использовании инструментов информационных технологий;обеспечении информационной безопасности.ФЗ «Об информации, информационных технологиях и о защите информации» создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.Кроме того, защита информации регулируется следующими законами:Федеральный закон от 29.07.2004 г. «О коммерческой тайне» № 98-ФЗ (регулирует отношения, «связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства»).
Инженерная защита системы обеспечения безопасности населения
... соответствии с которыми эти сооружения были запроектированы. Система инженерной защиты РФ Города (объекты), отнесенные к группам (категориям) по гражданской обороне Район застройки, в котором ... управления противоаварийными действиями, оснащенные вычислительной техникой, средствами связи, оповещения, сбора информации о радиационной и метеорологической обстановке на территории объектов, в санитарно ...
Закон Российской Федерации от 21 июля 1993 г. «О государственной тайне» № 5485-1 (регулирует отношения, «возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации»).
Обеспечение информационной безопасности и защиты информации регламентируется международными и российскими стандартами. Стандарты в области информационной безопасности представляют собой документы, определяющие правила оценки уровня защиты и устанавливающие требования к безопасным информационным системам.Перечислим функции стандартов в области информационной безопасности:определение основные понятий информационной безопасности;выработка критериев оценки систем защиты;оценка инструментов, обеспечивающих информационную безопасность;обеспечение технической и информационной совместимости продуктов, обеспечивающих ИБ;хранение и предоставление информации об эффективных методах и средствах информационной безопасности;придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.На рисунке 3 представлены области стандартизации информационной безопасности.Рисунок 3 — Области стандартизации информационной безопасностиВ процессе исследования был проведен обзор ряда отечественных и международных стандартов в области информационной безопасности, результаты которого представлены в таблицах 1-2.Таблица 1 — Международные стандарты, направленные на обеспечение информационной безопасностиНомер документаОписаниеISO/IEC 25010:2011Проектирование систем и разработка программного обеспечения. Требования к качеству систем и программного обеспечения и их оценка (SQuaRE).
Модели качества систем и программного обеспеченияISO/IEC 12207:2008Информационные технологии. Процессы жизненного цикла программного обеспеченияANSI/IEEE 829Документация при тестировании программ.ANSI/IEEE 1008Тестирование программных модулей и компонент ПС.ANSI/IEEE 1012Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств.Таблица 2 — Российские государственные стандарты, направленные на обеспечение информационной безопасностиНомер документаОписаниеГОСТ Р 50922-2006Защита информации. Основные термины и определенияГОСТ Р 51275-2006Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положенияР 50.1.056-2005Техническая защита информации. Основные термины и определенияГОСТ Р ИСО/МЭК 15408-1-2008Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модельГОСТ Р ИСО/МЭК 15408-2-2008Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасностиГОСТ Р ИСО/МЭК 15408-3-2008Информационная технология.
Принципы организации и этапы разработки комплексной системы защиты информации
... системам организационно-технологического (социотехнического) типа, так как общую организацию защиты и решение значительной части задач осуществляют люди (организационная составляющая), а защита информации ... расширяется разнообразие подлежащей защите информации (государственная, промышленная, коммерческая, персональная и т. п.). Осуществление мероприятий по защите информации носит массовый характер, ...
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасностиГОСТ Р ИСО/МЭК 18045-2008Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологийВ таблице представлена лишь часть стандартов в области информационной безопасности. Более глубокий анализ стандартов выходит за рамки нашего исследования.Отдельно стоит выделить, что наступление ответственности за правонарушения в сфере защиты информации, которая устанавливается в порядке: защиты государства, общества, личности от получения ложной информации или дезинформации;защиты информационной системы от несанкционированного доступа.То есть за нарушение законодательства в сфере информации предусматривается дисциплинарная, административная, гражданско-правовая или уголовная ответственность. Отдельно стоит выделить правовые основы защиты персональных данных. Данный аспект приобретает особую значимость при организации хранения информации, например, о судебном процессе или нотариальной сделки. Задача обеспечения безопасности персональных данных сегодня выходит на первый план, так как информация превращается в дорогой товар, а в руках мошенника может стать орудием преступления.
В настоящее время в России участились случаи неправомерного использования баз персональных данных, расширился круг способов их незаконного получения и распространения.В Российской Федерации основным законодательным актом по защите персональных данных является Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».В нем прописаны следующие положения:принципы обработки информации ограниченного доступа, в частности персональных данных;обязанности оператора, деятельность которого направлена на обработку информации ограниченного доступа (например, оператора персональных данных);права владельца персональных данных. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» направлен на «регулирование отношений в сфере обработки персональных данных. Причем данную обработку могут осуществлять:федеральные органы государственной власти;органы государственной власти субъектов Российской Федерации;органы местного самоуправления;иными муниципальные органы;юридические и физические лица».Кроме того, стоит отметить, что сама обработка «может происходить с использованием автоматизированных средств и без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным».
Разработка комплексной системы защиты информации объекта защиты
... безопасности при работе с персональной техникой; G2. Информация о занимаемых должностях сотрудников, ФИО и их рабочих телефонах; G3. Информация о графике работы организации; G4. Клиентские база данных; G5. Информация ... Средства и системы защиты , Средство защиты информации, Средства защиты информации делятся на: 1. ... микрофонов в помещениях; 4.1 Разработка системы разграничения доступа 4.1.1 Матрица ...
Согласно тексту данного закона, основной его целью является «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». 22 мая 2013 года официально опубликован Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», вступивший в силу 1 июня 2013 года. Принятие данного акта существенно снижает затраты операторов персональных данных на достижение соответствия процессов обработки информации предъявляемым требованиям. Опишем алгоритм защиты персональных данных в соответствии с Приказом ФСТЭК №21.Выбор базовых мер из предложенных в приложении к Приказу, которые должны быть сопоставимы с уровнем защищенности персональных данных.Адаптация набора под информационную систему персональных данных.Дополнение мерами необходимыми для нейтрализации угроз, смоделированных оператором, и предусмотренными требованиями прочих документовПриказ ФСТЭК №21 реализует процессный подход к обеспечению защиты персональных данных; актуализирует требования с учетом современных технологий; исключает обязательную сертификацию средств защиты информации; предоставляет возможность адаптации обязательных мер по защите персональных данных к требованиям конкретной системы.В заключении отметим, что список документов в области защиты персональных данных довольно обширен и подробное их изучение выходит за рамки нашего исследования.В завершении исследования вопроса правового регулирования защиты информации в АИС можно сделать вывод о том, что на сегодняшний момент российское законодательство в области защиты информации не достаточно устоявшееся и сильно отстает от научно-технического прогресса. Терминология, которая используется при регулировании отношений, возникающих в области защиты информации, до сих пор в значительной мере не отработана.2 Практические рекомендации по организации защиты информации в автоматизированных информационных системах2.1 Организационные меры по защите информацииОрганизационные (административные) меры защиты информации – это меры, которые регламентируют процессы функционирования информационной системы, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей сети таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.Данная группа мер включает в себя следующие мероприятия:выделение помещений персоналу или расположение подразделений компактными группами на некотором удалении друг от друга.ограничение доступа в помещения посторонних лиц или сотрудников других подразделений.четкое ограничение круга лиц, которые имеют доступ к каждому компьютеру. Выполнение данного требования связано с финансовой стороной вопроса, поэтому оно, обычно, является самым сложным, для реализации.выполнение сотрудниками требования выключения персональных компьютеров (ПК) в перерывах или использования специальных программ – хранителей экранов. Данные программы позволяют стереть информацию с экрана монитора и закрыть паролем возможность снятия режима хранителя экрана.Организационно-административной основой информационной безопасности предприятия является политика безопасности.Политика безопасности предприятия — это общие направления действий и принятия решений, обеспечивающих достижение целей безопасности предприятия, укрепление дисциплины труда и повышение его производительности. Целями политики безопасности на предприятии являются:защита законных прав и интересов предприятия и персонала;укрепление интеллектуального потенциала предприятия;сохранение и увеличение собственности;повышение конкурентоспособности произведенной продукции;максимально полное обеспечение руководства предприятия достоверной оперативной информацией о деятельности структурных подразделений (дочерних предприятий, филиалов);осуществление проверок отдельных видов деятельности предприятия и т. п.Отметим важность соблюдения требований политики безопасности всеми сотрудниками организации – и постоянными, и временными. Перейдем к практическим рекомендациям по реализации организационных мер защиты АИС.1. Определение персональной ответственности всех сотрудников организации в отношении всех информационных ресурсов АИС. 2. Четкое следование должностным инструкциям. 3. Обеспечение шифрования данных в АИС. 4. Организация систематического пересмотра руководством (или специалистами службы безопасности) права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам АИС.5.
Технология защиты документной информации
... предприятия, сроки конфиденциальности, порядок защиты и доступа к конфиденциальной информации, а также правила ее использования определяются руководителем. Руководитель может привлечь для проведения этой работы ... РФ регламентирует отношения в области обеспечения информационной безопасности. Основами ГК РФ введена защита конфиденциальной информации. При этом строго определено, что и при ...
Список литературы
[Электронный ресурс]//URL: https://inzhpro.ru/kursovaya/informatsionnaya-bezopasnost-avtomatizirovannyih-sistem-2/
1. Гражданский кодекс Российской Федерации. Часть первая от 30 ноября 1994 г. N 51-ФЗ (в ред. от 4.11.2007 г.) // СЗ РФ. —1994. — № 32. — Ст. 3301.
2. О коммерческой тайне: федер. закон Росс. Федерации от 29.07.2004 г. № 98-ФЗ (в ред. от 12.03.2014)// Российская газета. – 2004. – 5 августа. — №3543.
3. О персональных данных: федер. закон Росс. Федерации от27.07.2006 № 152-ФЗ(ред. от 21.07.2014) (с изм. и доп., вступ. в силу с 01.09.2015) // Российская газета. – 2006. – 29 июля. — №4131.
4. Об информации,информационныхтехнологияхи о защите информации: федер. закон Росс. Федерации от 27.07. 2006 г. № 149-ФЗ (с изм. и доп., вступ. в силу с 10.01.2016) (ред. от 13.07.2015)//Российская газета. – 2006. – 29 июля. — №4131.
5. О государственной тайне: закон Росс. Федерации от21.07.1993 N 5485-1 (ред. от 08.03.2015)// Собрание законодательства Российской Федерации. – 1997. — 13 октября. — № 41, ст. 4673.
Базовые понятия. Глава 3. Основные экономические термины [Электронный ...
... особенности спроса и предложения на рынке ресурсов; Рассмотреть ограниченность и оптимальный выбор ресурсов; Описать ценообразование на рынках ресурсов; Сделать обобщение по изученной теме. ... общества ограниченных ресурсов между отдельными потребителями. На рынках ресурсов формируются издержки производства, которые определяются ценами на ресурсы. Кроме этого на рынках ресурсов формируются доходы ...
6. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: Приказ ФСТЭК России от 18.02.2013 № 21// Российская газета. – 2013. – 22 мая. — №6083.
7. Баранов А. П. Матема¬тические основы информационной безопасности/ А.П. Баранов, Н.П. Борисенко. — Орел: ВИПС, 2010. — 354с.
8. Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах/ Ф.С. Воройский. — М.: ФИЗМАТЛИТ, 2006. — 768 с.
9. Грошев А.С. Информатика: Учебник для вузов/ А.С. Грошев. – Архангельск: Арханг. гос. техн. ун-т, 2010. – 470с.
10. Зегжда Д.П. Как построить защищенную информационную систему/ Д.П. Зегжда, А.М. Ивашко. – СПб.: Питер, 2012. – 312с.
11. Информатика:Учебник. — 3-е перераб. изд. /отв. Ред. Н.В. Макарова. — М.: Финансы и статистика, 2010. — 768 с.
12. Лямова Г.В. Информационные системы управления предприятиями/ Г.В. Лямова, Д.В. Чистов, Е.Л. Шуремов- СПб.: Питер, 2009.- 520с.
13. Молдовян A.A. Безопасность глобальных сетевых технологий/ А.А. Молдовян, А.Н. Молдовян. — СПб.: БХВ-Петербург, 2011. — 320 с.
14. Формирование информационного общества в XXI веке./Сост.: Е.И.Кузьмин, В.Р.Фирсов — СПб.: РНБ, 2006. — 640 с.
15. Хореев П.В. Методы и средства защиты информации в компьютерных системах/ П.В. Хореев. – М.: Издательский центр «Академия», 2010. – 205с.
16. Хорошко В. А. Методы и средства защиты информации/ В.А. Хорошко, А.А. Чекатков. — К.: Юниор, 2013г. — 504с.
17. Шаньгин В.Ф. Защита информации и в компьютерных системах и сетях/ В.Ф. Шаньгин. – М.: Издательство ДМК, 2012. – 255с.
18. SecretNet [Электронный ресурс] Режим доступа — http://www.securitycode.ru/products/secret_net/
19. Блог о информационной безопасности [Электронный ресурс] URL:
20. Стандарты информационной безопасности [Электронный ресурс] URL: http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html