Реферат: Создание комплексной системы защиты информации (интернет-провайдера)

Министерствообразования Российской Федерации

Федеральноеагентство по делам образования и науки

Южно-УральскийГосударственный Университет

ФакультетЭкономики и Предпринимательства

КафедраИнформационной безопасности

Курсоваяработа

по дисциплине«Информационная безопасность сложных систем»

на тему:«Создание комплексной системы защиты информации» (Интернет-провайдер)

                  

Челябинск

2007
Оглавление

Описаниеинформационной системы организации. 5

Состояниефактической защищённости организации. 6

Резюмепроекта. 8

Требования к защищённости информации. 8

Объектыпоставки. 10

Структураразбиения работ. 12

Расчетнаястоимость предлагаемых мер. 16

Оценкаэффективности и целесообразности внедряемой комплексной системы защитыинформации  18

ДиаграммаГанта. 19

Сетевойграфик. 20

Рискипроекта. 21

Заключение. 24

Списокиспользованной литературы… 25

Приложение1. Диаграмма Ганта. 26

Введение

Создание системы защитыинформации для организаций, занимающихся предоставлением телематических услуг,является обязательной составляющей деятельности организацииИнтернет-провайдера.

Данная необходимостьобусловлена тем, что подобные организации обрабатывают большой объемконфиденциальных сведений, в том числе персональные данные, защита которыхобязательна по требованиям законодательства.

Жесткая конкуренция нарынке приводит к тому, что конфиденциальная информация, которой обладаеторганизация, может дать значительное конкурентное преимущество.

Также комплексная системазащиты информации позволит обеспечить бесперебойное функционирование сервисов,предотвратить прямые материальные потери от утечки или утраты конфиденциальнойинформации, а также предотвратить возможный ущерб репутации компании.

Для того, чтобыопределить целесообразность создания КСЗИ, зону и глубину её охвата следуетпровести детальный анализ организации, включающий:

· Анализ деятельностипредприятия

· Положениеорганизации на рынке

· Выявлениеконфиденциальной информации и защищаемых ресурсов

· Анализ угроз,уязвимостей и потенциального ущерба от реализации угрозы

На основе полученнойинформации о деятельности организации и уязвимых местах в действующей системезащиты необходимо составить техническое задание на создание комплексной системызащиты информации.

Исходя из существующеготехнического задания, следует определить практические меры для его реализации.Совокупность этих мер составит проект внедрения комплексной системы защитыинформации.

В ходе выполнения даннойработы необходимо

· Выявитьтребования, предъявляемые к создаваемой комплексной системе защиты информации

· Составитьдетальный список мероприятий, необходимых для внедрения комплексной системызащиты информации

· Назначитответственных за проводимые мероприятия

· Произвести оценкузатрат ресурсов на внедряемые мероприятия

· Оценитьэффективность проводимых мероприятий

Описание информационной системы организации

АС организации состоит из10 автоматизированных рабочих мест и 6 серверов.

· 1 АРМпредставляет собой компьютер Mac mini сустановленной ОС MAC OS.

· На трёх АРМустановлена операционная система на базе Linux.

· На всех остальныхустановлена ОС WindowsXP.

· На всех АРМхранится и обрабатывается конфиденциальная информация.

· На серверахустановлена операционная система на базе Linux

· На АРМ менеджеровустановлено следующее ПО:

o ОС на базе Windows

o Офисноепрограммное обеспечение

o ПО для работы всети Интернет: почтовый клиент, браузер

o Антивирусное ПО

o Специализированныепрограммы: Дельфин, Дубль-ГИС

· На АРМконсультантов технической поддержки установлено следующее ПО:

o ОС на базе Linux

o Офисноепрограммное обеспечение

ПО для работыв сети Интернет: почтовый клиент, браузер/>

Состояниефактической защищённости организации

 

· Переченьконфиденциальной информации существует и утвержден

· Все сотрудники,при приёме на работу подписывают обязательство о неразглашении конфиденциальнойинформации

· Во всехпомещениях установлены датчики охранной и пожарной сигнализации. В нерабочеевремя помещения сдаются под охрану

· Охранаосуществляется частным охранным агентством

· Существуетперечень лиц, имеющих доступ в серверную комнату

· Серверная комнатапостоянно закрыта, кроме тех случаев, когда сотрудникам, имеющимсоответствующие права доступа, необходимо производить определённые работы

· Права доступа клокальным и сетевым ресурсам АРМ ограничиваются штатными средствамиоперационной системы

· Нетответственного за разграничение доступа к локальным и сетевым ресурсам АРМ.Разграничением доступа занимается пользователь АРМ.

· Доступ к ресурсамна сервере ограничивается штатными средствами операционной системы

· Ответственным заразграничение доступа к ресурсам на сервере является старший системныйадминистратор

· Назначение правпользователей производится по указанию технического директора либо заместителядиректора в соответствии с должностными обязанностями сотрудника

· Каждый компьютерподключен через источник бесперебойного питания, позволяющий обеспечитьнепрерывную работу в течение 10-15 минут при отсутствии электричества

· В сервернойкомнате установлено несколько источников бесперебойного питания высокой емкости,а также дизельная миниэлектростанция

· Доступ в Интернетосуществляется через прокси-сервер

· Правила обращенияс конфиденциальной информацией отсутствуют

· Фильтрациясодержания электронной почты, просматриваемых сайтов не осуществляется

· Хранение договоровс клиентами осуществляется в шкафу.

· Разграничениядоступа помещения в зависимости от отделов нет.

 Резюме проекта

На основании проведенногоанализа фактической защищенности необходимо составить перечень требований ксоздаваемой комплексной системе защиты информации. Данные требования должнысоответствовать реальному состоянию защищенности информации в организации.Требования должны быть оформлены в виде Технического задания на созданиекомплексной системы защиты информации.

 Требования кзащищённости информации

Организационно-правоваясоставляющая

Организационныемероприятия являются одной из важнейших составляющих комплексной системы защитыинформации в организации.

1. Переченьконфиденциальных сведений должен отвечать реальному состоянию организации итребованиям законодательства РФ

2. Должен бытьобеспечен полный пакет документов, связанных с обеспечением информационнойбезопасности в организации

3. Организационнымимерами обеспечить конфиденциальность информации при проведении конфиденциальныхсовещаний и переговоров

4. Должен бытьподготовлен пакет документов, регламентирующих правила обращения сконфиденциальной информацией

5. Разграничениеправ пользователей на доступ как к локальным, так и к сетевым ресурсам должнобыть контролируемым и документируемым процессом.

Инженерно-техническаясоставляющая

1. Должныприменяться технические средства контроля доступа в помещения

2. Для защитысерверной комнаты должны применяться дополнительные технические средстваконтроля доступа

3. Должныприменяться технические средства защиты акусто-речевой информации припроведении конфиденциальных совещаний и переговоров в том случае, еслиневозможно обеспечить конфиденциальность переговоров с помощью организационныхмер.

4. С помощьютехнических средств должна обеспечиваться защита от утечки конфиденциальнойинформации по каналу ПЭМИН

5. Должна бытьобеспечена бесперебойная работа ПК сотрудников в случае отключенияэлектричества не менее, чем на 10 минут

6. Должнаобеспечиваться бесперебойная работа основного оборудования и техническихсредств, установленных в серверной на весь срок отсутствия основногоэнергоснабжения

 

Программно-аппаратнаясоставляющая

1. Содержимоепросматриваемых веб-сайтов должно отвечать следующим требованиям:

a. Не должносодержать материалов, запрещённых законодательством Российской Федерации

b. Должно бытьбезопасным (не содержать вирусы, вредоносные скрипты)

c. Не должносодержать материалы, не относящиеся к рабочему процессу

2. Обмен информациейс помощью различных программных средств не должен наносить ущербконфиденциальности, целостности, доступности информации

3. С помощьюпрограммно-аппаратных средств должна обеспечиваться защита от НСД кконфиденциальной информации, хранящейся на АРМ сотрудников и на сервере./>

 Объекты поставки

Организационно-правовая подсистема:

· Переченьконфиденциальных сведений

· Переченьконфиденциальных документов

· Политикабезопасности

· Техническоезадание

· Положение оконфиденциальном документообороте

· Инструкции опорядке обращения с конфиденциальной информацией

Инженерно-техническая подсистема:

· Металлическаядверь типа «Сейф-дверь»

· Датчики пожарнойсигнализации

· Датчики охраннойсигнализации

· Видеокамерыцветные с системой ночного видения

· Мониторывидеонаблюдения 10”

· Видеорегистраторс объемом диска для хранения видеозаписи не менее 5 суток

· Генераторвиброакустического шума Соната АВ

· Виброизлучатели

· Акустоизлучатели

· Устройствоблокирования сотовых телефонов

· Источникибесперебойного питания

· Генераторэлектромагнитного шума

· Считывателипластиковых карт

· Металлическиерешетки

· Дверь с тамбуром

Программно-аппаратная подсистема:

· Программныйкомплекс для автоматизации документооборота

· Программно-аппаратныйкомплекс для защиты от НСД «SecretNet 5.0»

· Межсетевой экран«Континент»

· Сервер

Структура разбиения работ

АМ

 

Создание Комплексной системы защиты информации

  Данные мероприятия реализуются путем выполненияряда последовательных работ, которые представлены в разделе «Структураразбиения работ».

4. />/>/>/>/>/>/>

АМ.01.2

 

АМ.01.1.3

 

АМ.01.1.2

 

АМ.01.1.1

 

АМ.01.1

 

Обучение сотрудников

 

Разработка положений, касающихся отдельных аспектов ИБ

 

Разработка инструкций о порядке обращения с КИ

 

Разработка положения о конфиденциальном документообороте

  />/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>/>

Разработка основных нормативно-правовых документов

 

АМ.03.6

 

АМ.03.5

 

АМ.03.4

 

АМ.03.3

 

АМ.03.2

 

АМ.03.1

 

Внедрение парольной политики

 

Разграничение прав пользователей

 

Создание резервных серверов

 

Установка и настройка межсетевого экрана

 

Установка и настройка программно-аппаратных средств контроля доступа

 

Создание автоматизированной системы документооборота

 

Организация защиты от акустического съема информации

 

Настройка и запуск в эксплуатацию системы видеонаблюдения

 

Закупка мониторов

 

Закупка видеорегистраторов

 

Закупка видеокамер

 

Организация видеонаблюдения

 

Установка системы пожарной сигнализации

 

Установка системы охранной сигнализации

 

АМ.02.4.2

 

АМ.02.4.1

 

АМ.02.4

 

АМ.02.3.4

 

АМ.02.3.3

 

АМ.02.3.2

 

АМ.02.3.1

 

АМ.02.3

 

АМ.02.2

 

АМ.02.1

 

Организация тамбура

 

Установка средств виброакустического зашумления

 

АМ.03

 

АМ.01

 

АМ.02

 

Организационно-правовая система

 

Инженерно-техническая система

 

Программно-аппаратная система

 
/>
Структурная схема организации

/>Структурная схема организации позволяет выявитьиерархические связи между сотрудниками организации. В дальнейшем данная схемапозволяет составить матрицу ответственности, из которой можно определить, какойсотрудник, за какие мероприятия отвечает.

Матрицаответственности

Матрица ответственности позволяетопределить конкретных исполнителей того или иного мероприятия.

  Исполнители

Работы

ВР.01 ВР.01.1 ВР.01.1.1 ВР.01.1.2 ВР.01.2 ВР.01.2.1 ВР.01.2.2 ВР.01.2.3 ВР.01.3 ВР.01.3.1 ВР.01.3.2 1 АМ.01.1 х х 2 АМ.01.1.1 х х 3 АМ.01.1.2 х х 4 АМ.01.1.3 х х 5 АМ.01.2 х х х х 6 АМ.02.1 х х 7 АМ.02.2 х х 8 АМ.02.3 х х х х х 9 АМ.02.3.1 х х х 10 АМ.02.3.2 х х х 11 АМ.02.3.3 х х х 12 АМ.02.3.4 х х х 13 АМ.02.4 х х х х 14 АМ.02.4.1 х х х 15 АМ.02.4.2 х х 16 АМ.02.4.3 х х 17 АМ.02.5 х х х х х х х х 18 АМ.02.5.1 х х х 19 АМ.02.5.2 х х х х х 20 АМ.02.6 х х 21 АМ.02.6.1 х х 22 АМ.02.6.2 х х х 23 АМ.02.7 х х 24 АМ.02.7.1 х х х 25 АМ.02.7.2 х х 26 АМ.02.8 х 27 АМ.03.1 х х х 28 АМ.03.2 х х х 29 АМ.03.3 х х 30 АМ.03.4 х х 31 АМ.03.5 х х 32 АМ.03.6 х х Расчетная стоимостьпредлагаемых мер

Мероприятия по защите

Стоимость

Установка системы охранной сигнализации 20 000 Установка системы пожарной сигнализации 15 000 Организация видеонаблюдения Закупка видеокамер 56 000 Закупка видеорегистраторов 36 000 Закупка мониторов 18 000 Настройка и запуск в эксплуатацию системы видеонаблюдения 5 000 Организация защиты от акустического съема информации Установка систем виброакустического зашумления 50 000 Организация тамбура в помещение 3 000 Установка систем блокирования сотовых телефонов 22 000 Установка систем контроля доступа на территорию Монтаж ограждения 40 000 Организация поста охраны 36 000 Установка системы контроля доступа в здание Установка двери типа «Сейф-дверь» 15 000 Установка считывателя магнитных карт 5 000 Установка системы контроля доступа в помещения Установка считывателя магнитных карт 50 000 Установка решеток на окнах 10 000 Установка систем электромагнитного зашумления 20 000 Создание автоматизированной системы документооборота 30 000 Установка и настройка программно-аппаратных средств контроля доступа 50 000 Установка и настройка межсетевого экрана 100 000 Создание резервных серверов 60 000 Разграничение прав пользователей 2 000 Внедрение парольной политики 1 000 Разработка положения о конфиденциальном документообороте 3 000 Разработка инструкций о порядке обращения с КИ 3 000 Разработка положений, касающихся отдельных аспектов обеспечения ИБ 5 000 Обучение сотрудников 20 000

Итоговая сумма на создание КСЗИ

675 000

Оценка эффективности ицелесообразности внедряемой комплексной системы защиты информации

Итоговая сумма насоздание комплексной системы защиты информации получилась равной 675 000рублей.

Ценность информации,обрабатываемой в организации, исчисляется несколькими миллионами рублей. Помимопрямого финансового ущерба потеря конфиденциальности или утрата даннойинформации может нанести и косвенный ущерб, связанный с ущербом репутациикомпании. Данный ущерб выражается в ещё большей сумме – порядка 20 миллионоврублей.

При данных расчетахучитывалось ежемесячное число подключаемых клиентов компании, стоимостьреализации рекламной кампании, а также ущерб от блокирования работыинформационной системы компании./>

ДиаграммаГанта

Диаграмма Гантапредставляет собой отрезки (графические плашки), размещенные на горизонтальнойшкале времени. Каждый отрезок соответствует отдельной задаче или подзадаче.Задачи и подзадачи, составляющие план, размещаются по вертикали. Начало, конеци длина отрезка на шкале времени соответствуют началу, концу и длительностизадачи.

Диаграмма Ганта позволяетопределить сроки окончания работы, установить те моменты времени, в которыеопределенные сотрудники находились без работы или наоборот были загружены сверхмеры.

Диаграмма Ганта находится вПриложении 1.

Сетевой график

/>

Таблицапараметров проекта

Код работы Ожидаемая продолжительность Срок начала Срок окончания Резерв Раннее Позднее Раннее Позднее

1-2

45

45

45

1-3 7 73 7 80 73 1-4 14 66 14 80 66 1-5 14 50 14 64 50 1-6 14 66 14 80 66

2-7

14

45

45

59

59

5-8 5 14 75 19 69 61 5-9 5 14 75 19 80 61 5-10 5 14 64 19 80 50

7-11

3

59

59

62

62

8-12 5 19 69 24 74 50

11-13

1

62

62

63

63

11-14 1 62 74 63 75 12 11-15 5 62 75 67 80 13 12-16 1 24 74 25 78 50 12-17 2 24 78 26 80 54 12-18 6 24 74 30 80 50

13-19

5

63

63

68

68

14-20 5 63 75 68 80 12 16-21 1 25 79 25 80 54

19-22

5

68

68

73

73

22-23

7

73

73

80

80

Риски проекта

Последним этапом должностать выявление всевозможных рисков, с которыми мы можем столкнуться во времяреализации проекта, а также определение мер минимизации данных рисков

1. Инвестиционные(экономические).

Основной рискзаключается в нехватке денежных средств, материальных ресурсов на реализациюпроекта. В этом случае все те мероприятия, которые были осуществлены, не будутприносить нужного результата и можно считать эффективность затраченных средствравной 0.

Такжесуществует достаточно серьезный риск того, что затраты на построениекомплексной системы защиты информации окажутся выше, чем выгода от её внедренияна организации.

В целяхпредотвращения рисков данной группы следует предпринять следующие меры:

· Должна бытьпроизведена профессиональная оценка выгода от внедрения комплексной системызащиты информации

· Стоимость проектадолжна быть рассчитана максимально детальна с поправкой в большую сторону.

· Каждый пунктпроекта должен быть согласован с коммерческим директором и утвержденгенеральным директорам

· Внедряемые мерыдолжны быть экономически оправданы. Выгода от внедрения мер должна превышатьзатраты на их внедрение.

· Внедряемые мерыдолжны отвечать принципу разумной достаточности. Внедряемые меры должнысоответствовать реальным внешним и внутренним угрозам. Не должны быть излишни.

2. Кадровые

Персоналпредставляет из себя ресурс поведение которого не всегда возможно достаточноточно спрогнозировать даже специалистам. Внедрение комплексной системы защитыинформации, а вместе с ней и определенного набора запретительных мер и правилможет привести к определенным негативным последствиям в работе персонала.

Данныепоследствия могут выражаться в следующих формах:

· Сознательноеневыполнение обязательных мер защиты

· Многочисленныезадержки в работе, связанные со сложностью мер защиты

· Случайные ошибкиперсонала при работе со средствами защиты

В целяхисключения данной группы рисков необходимо при построение комплексной системызащиты информации в обязательном порядке учитывать следующие моменты:

· Ещё доокончательного внедрения должно производиться обучение персонала работе спрограммно-аппаратными и техническими средствами защиты информации

· Должна бытьобъяснена необходимость внедрения данных мер с точки зрения, понятной персоналу

· Внедряемые мерыпо защите информации должны быть просты в эксплуатации

· Внедряемые мерыпо защите информации должны быть логичны

3. Технические

Та частьрисков, которой зачастую уделяется слишком мало внимания. Суть данной группырисков заключается в том, что во-первых текущее состояние информационнойсистемы организации должно удовлетворять требования внедряемых мер, во-вторыхвнедряемые технические меры должны находиться в гармонии с организационными ипрограммно-аппаратными мерами.

Возможныериски:

· Конфликтустанавливаемого программного и аппаратного обеспечения с установленнойоперационной системой и аппаратной частью

· Сложность вэксплуатации технических и программных средств

· Наличие закладныхустройств в устанавливаемых аппаратных средств

· Наличиенедекларированных возможностей в инсталлируемых программных средствах

Основные мерыпредотвращения данной группы рисков:

· Проверка всехпоставляемых программных и аппаратных средств

· Выбор надежныхпоставщиков

· Тщательный выборнеобходимых программных и аппаратных средств

Заключение

В ходе выполнения работымы выяснили, какие мероприятия необходимы для построения комплексной системызащиты информации в организации. С помощью составленной структуры организациибыла рассчитана матрица ответственности, которая позволяет выявитьответственных за то или иное мероприятие.

Благодаря подробномуплану мероприятий можно оценить общую итоговую стоимость построения комплекснойсистемы защиты информации.

Несмотря на достаточновысокую стоимость создания комплексной системы защиты информации (~700 000рублей), данные мероприятия полностью окупают себя в виду высокой стоимостизащищаемой информации.

Для того, чтобыобезопасить проект от неожиданностей, был произведен анализ рисков проекта, атакже мер по их минимизации.

Итогом проекта являетсясоздание комплексной системы защиты информации в организации.

Список использованнойлитературы

Способыи средства предотвращения утечки информации по техническим каналам М: ЗАО НПЦНЕЛК, 2003 г.

ТорокинА. А. Инженерно- техническая  защита информации: Учеб. пособие для вузов/А. А.Торокин. — М.: Гелиос АРВ, 2005.

Федеральныйзакон “Об информации, информационных технологиях и защите информации“ (от20.02.95 г. № 24-ФЗ). М.: Эксмо, — 1995.

Федеральныйзакон “О коммерческой тайне“ (от 25.07.2004 г. № 98-ФЗ). М.: Эксмо, — 2005.

Приложение 1. Диаграмма Ганта

/>