К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также относится к данному направлению.
— Администрирование управления доступом (распределение информации, необходимой для управления — паролей, списков доступа и т. п.).
— Управление аутентификацией (распределение информации, необходимой для аутентификации — паролей, ключей и т. п.).
2.
5. Описание состава показателей обоснования технико-экономической эффективности.
2.
5.1. Аудит (обследование, оценка соответствия).
— Комплексный аудит информационной безопасности.
— Оценка соответствия требованиям Федерального закона «О персональных данных».
— Оценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0.
— Аудит на соответствие требованиям международного стандарта ISО/IЕС 27 001.
— Аудит на соответствие требованиям стандарта РСI DSS.
— Оценка соответствия требованиям Федерального закона «О коммерческой тайне» .
— Оценка соответствия информационных систем (аттестация, декларирование соответствия).
— Тестирование на проникновение (аудит информационной безопасности).
— Инструментальный аудит информационной безопасности.
— Аудит веб-приложений.
— Аудит наличия конфиденциальной информации в сети Интернет.
— Оценка соответствия требованиям Положения Банка России № 382-П.
2.
5.2. Построение системы обеспечения информационной безопасности.
— Разработка и внедрение процессов обработки и обеспечения безопасности персональных данных (построение систем защиты персональных данных).
— Построение СОИБ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0.
— Построение СУИБ в соответствии с требованиями стандарта ISО/IЕС 27 001.
— Внедрение процессов обеспечения информационной безопасности данных индустрии платежных карт — РСI DSS.
— Построение комплексной системы защиты информации ограниченного доступа, коммерческой тайны.
— Разработка системы документации по вопросам обеспечения информационной безопасности.
— Разработка и внедрение отдельных процессов обеспечения информационной безопасности.
— Построение системы обеспечения информационной безопасности в соответствии с требованиями Положения Банка России № 382-П.
2.
5.3. Проектирование системы защиты.
— Разработка технических заданий и требований к системам защиты информации и Разработка проектной документации на системы защиты информации.
— Разработка рабочей и эксплуатационной документации систем защиты информации.
2.
5.4. Примеры Главное окно пользовательской консоли Отчет об активности пользователя Просмотр перехваченных электронных писем Просмотр перехваченной переписки Skyре Просмотр распечатанного документа Активность пользователя за компьютером Активность приложений Граф-анализатор пользовательских взаимосвязей Центр обеспечения безопасности Просмотр уведомления об утечке данных.
Заключение
.
В заключении подведём итоги всей курсовой работы с формулированием основных положений. Создание системы защиты информации предполагает внедрение в инфраструктуру компании организационно-технических мер защиты, адекватных выявленным на этапе обследования внешним и внутренним угрозам. Создаваемые системы защиты информации, как правило, представляют собой многоуровневую территориально-распределенную систему со строгой иерархической структурой, которая управляется централизованно с различных уровней.
Основным подходом при создании систем защиты информации является принцип комплексности. Выделим 11 главных подсистем безопасности:
1. Подсистема управления доступом. Подразумевает защиту информационных ресурсов Заказчика от несанкционированного доступа. Средствами подсистемы реализуются функции по управлению доступом пользователей к ресурсам, включая сетевые подключения и доступ к внешним носителям информации и устройствам.
2. Подсистема регистрации и учета. Подразумевает защиту информационных ресурсов от несанкционированного доступа. Средствами подсистемы реализуется регистрация и учет действий пользователей в различных системах, что позволяет, например, зафиксировать факты обращения пользователей к конфиденциальным ресурсам.
3. Подсистема обеспечения целостности. Позволяет предотвращать подмену легитимной программной среды на модифицированную как злоумышленником, так и в результате системных сбоев.
4. Подсистема криптографической защиты. Обеспечивает защиту данных при хранении и передаче по каналам связи. Подсистема может включать в себя средства формирования ЭЦП.
5. Подсистема защиты от вредоносного кода и спама. Обеспечивает защиту от вредоносного кода, получаемого по электронной почте, сети Интернет, другим каналам, а также защиту рабочих станций и серверов. Предоставляет защиту электронной почты от нежелательной корреспонденции.
6. Подсистема обеспечения сетевой безопасности. Предотвращает возможные атаки, реализуемые на сетевом уровне. Включает в себя средства межсетевого экранирования, организации защищенных виртуальных сетей (включая удаленных пользователей), а также средства обнаружения и предотвращения вторжений.
7. Подсистема контроля использования информационных ресурсов. Предотвращает утечки информации через каналы связи, носители информации, USB, Bluеtооth, СD/DVD и др. Может предусматривать ограничение нецелевого использования сотрудниками ресурсов организации, в том числе ресурсов Интернет, электронной почты и сетевых ресурсов.
8. Подсистема обеспечения непрерывности функционирования Комплексной системы защиты информации. Обеспечивает бесперебойную работу средств защиты информации при различных нештатных ситуациях.
9. Подсистема управления учетными записями. Подразумевает защищенное централизованное управление учетными записями пользователей. Включает предоставление пользователю ролей для доступа к различным системам, а также проверку и корректировку избыточности прав пользователей. В рамках данной подсистемы реализуется централизованное управление средствами защиты информации, включающее управление обновлениями, а также уведомление администраторов об инцидентах информационной безопасности.
10. Подсистема управления инцидентами ИБ. Реализует функционал по регистрации и корреляции событий ИБ, принятию решений по событиям ИБ, а также по дальнейшему расследованию инцидентов, связанных с ИБ. Средствами данной подсистемы генерируются отчеты по результатам проведенных мероприятий.
11. Подсистема контроля защищенности. В рамках данной подсистемы производится инвентаризация информационных ресурсов организации, анализ угроз и информационных рисков, инструментальный анализ защищенности инфраструктуры, контроль выполнения политик безопасности. Результатом является оценка текущего уровня защищенности информационно-вычислительной системы Заказчика и выполнение мероприятий по повышению уровня защищенности.
При проектировании успешность проекта во многом зависит от правильного выделения этапности. Разделение проекта на последовательные этапы позволяет выполнять работы по четкому календарному графику с заранее известными результатами, сроками, трудозатратами и стоимостями. Основные принципы разделения проекта на этапы:
— Результативность. Каждый отдельно взятый этап проекта имеет четкие вещественные результаты, известные до начала работ.
— Контроль. По результатам каждого этапа проводится Установочное собрание, что позволяет строго контролировать и оперативно решать возникающие проблемы/задачи.
— Нормирование. Абсолютно все трудозатраты и продолжительность работ нормируются и заранее известны.
— Компетентность. Каждый отдельно взятый этап работ содержит требования к компетенции специалистов, которые выполняют работы, и при определении ответственных сторон по каждому этапу, выбор производится только при соблюдении данных требований.
Список использованных источников
.
ЗАКОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ О безопасности от 28.
12.2010 N 390-ФЗ Об информации, информационных технологиях и о защите информации от 27.
07.2006 № 149-ФЗ (в ред. Федеральных законов от 27.
07.2010 N 227-ФЗ, от 06.
04.2011 N 65-ФЗ, с изм., внесенными Федеральным законом от 21.
07.2011 N 252-ФЗ) О персональных данных от 27.
07.2006 № 152-ФЗ (в ред. Федеральных законов от 25.
11.2009 № 266-ФЗ, от 27.
12.2009 № 363-ФЗ, от 28.
06.2010 № 123-ФЗ, от 27.
07.2010 № 204-ФЗ, от 25.
07.2011 N 261-ФЗ) О внесении изменений в статью 1 федерального закона «О персональных данных» и статью 15 федерального закона «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» от 28.
06.2010 № 123-ФЗ О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об информации, информационных технологиях и о защите информации» от 11.
07.2011 № 200-ФЗ Об организации предоставления государственных и муниципальных услуг от 27.
07.2010 № 210-ФЗ (в ред. Федеральных законов от 06.
04.2011 N 65-ФЗ, от 01.
07.2011 N 169-ФЗ, от 11.
07.2011 N 200-ФЗ, от 18.
07.2011 N 239-ФЗ, с изм., внесенными Федеральным законом от 27.
06.2011 N 162-ФЗ) О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 19.
12.2005 № 160-ФЗ (с дополнительным протоколом (ЕTS № 181), списком подписаний и ратификаций конвенции по состоянию на 09.
02.2009).
О коммерческой тайне от 28.
07.2004 № 98-ФЗ (в ред. Федеральных законов от 02.
02.2006 № 19-ФЗ, от 18.
12.2006 № 231-ФЗ, от 24.
07.2007 № 214-ФЗ, от 11.
07.2011 N 200-ФЗ) О связи от 07.
07.2003 № 126-ФЗ (в ред. от 22.
08.2004 № 122-ФЗ, от 02.
11.2004 № 127-ФЗ, от 09.
05.2005 № 45-ФЗ, от 02.
02.2006 № 19-ФЗ, от 03.
03.2006 № 32-ФЗ, от 26.
07.2006 № 132-ФЗ, от 27.
07.2006 № 153-ФЗ, от 29.
12.2006 № 245-ФЗ, от 09.
02.2007 № 14-ФЗ (ред. 24.
07.2007), от 29.
04.2008 № 58-ФЗ, от 18.
07.2011 N 242-ФЗ с изм. от 23.
12.2003 № 186-ФЗ) О техническом регулировании от 27.
12.2002 № 184-ФЗ (в ред. Федеральных законов от 09.
05.2005 № 45-ФЗ, от 01.
05.2007 № 65-ФЗ, от 01.
12.2007 № 309-ФЗ, от 23.
07.2008 № 160-ФЗ, от 28.
09.2010 N 243-ФЗ) Об электронной цифровой подписи от 10.
01.2002 № 1-ФЗ (в ред. от 08.
11.2007 № 258-ФЗ) Комментарии к Федеральному закону от 27.
07.2006 N 149-ФЗ (ред. от 28.
12.2013) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.
02.2014).
Комментарии к Федеральному Закону «Об информации, информационных технологиях и защите информации» № 149-ФЗ от 17.
07.2006.
Бармен Скотт. Разработка правил информационной безопасности. М.: Вильямс, 2002.
Баронов В.В., Калянов Г. Н., Попов Ю. Н, Рыбников А. И., Титовский И. Н. — Автоматизация управления предприятием / М.: ИНФРА-М, 2000.
Борисов М. А. Особенности защиты персональных данных в трудовых отношениях. (Гриф УМО по дополнительному профессиональному образованию) М.: Книжный дом «ЛИБРОКОМ», 2013.
Борисов М. А., Заводцев И. В., Чижов И. В. Основы программно-аппаратной защиты информации. (Гриф УМО по классическому университетскому образованию). Изд.2 М.: Книжный дом «ЛИБРОКОМ», 2013.
Борисов М. А., Романов О. А. Основы организационно-правовой защиты информации. (Гриф УМО по дополнительному профессиональному образованию). № 2. Изд.3, перераб. и доп. М.: Книжный дом «ЛЕНАНД», 2014.
Галатенко В. А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006.
Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. Защита информации в сети — анализ технологий и синтез решений. М.: ДМК Пресс, 2004.
Гафнер В. В. Информационная безопасность: учеб. пособие. — Ростов на Дону: Феникс, 2010.
Гуров С. И. Булевы алгебры, упорядоченные множества, решетки: Определения, свойства, примеры. Изд.
2. М.: Книжный дом «ЛИБРОКОМ», 2013.
Диго С. М. Проектирование и эксплуатация баз данных. М.: Финансы и статистика, 2009 г.
Жданов О. Н., Чалкин В. А. Эллиптические кривые: Основы теории и криптографические приложения. М.: Книжный дом «ЛИБРОКОМ», 2013.
Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х томах: Том 1.
— Угрозы, уязвимости, атаки и подходы к защите. — М.: Горячая линия — Телеком, 2006.
Том 2. — Средства защиты в сетях. — М.: Горячая линия — Телеком, 2008.
Исамидинов А. Н. Защита коммерческой тайны в сфере трудовых отношений. № 11. М.: Книжный дом «ЛИБРОКОМ», 2014.
К. Дж. Дэйт.
Введение
в системы баз данных. 6-изд. М., СПб., Киев. — Изд. Дом.
Вильямс. 2000.
Лепехин А. Н. Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008.
Лопатин В. Н. Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000.
Маклаков С.В. BРWin и ЕRWin. САSЕ-средства разработки информационных систем. М.: ДИАЛОГ_МИФИ, 2000 г.
Малюк А. А. Теория защиты информации. — М.:Горячая линия — Телеком, 2012.
Петренко С. А. Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004.
Петренко С. А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2006.
Применко Э. А. Алгебраические основы криптографии. № 9. Изд.стереотип. М.: Книжный дом «ЛИБРОКОМ», 2014.
Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008.
Смирнова Г. Н., Тельнов Ю. Ф. Проектирование экономических информационных систем (часть 1) / Московский государственный университет экономики, статистики и информатики. — М.: МЭСИ, 2004.
Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008.
Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009.
