Методы и средства защиты информации

 

МИНИСТЕРСТВО ОБРАЗОВАНИЯ  РОССИЙСКОЙ ФЕДЕРАЦИИ 

ВОЛГОГРАДСКИЙ ГОСУДАРСТВЕННЫЙ  ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ 

ФАКУЛЬТЕТ ПОДГОТОВКИ ИНЖЕНЕРНЫХ КАДРОВ

 

КАФЕДРА «СИСТЕМЫ АВТОМАТИЗИРОВАННОГО  ПРОЕКТИРОВАНИЯ

И ПОИСКОВОГО КОНСТРУИРОВАНИЯ»

 

 

 

 

 

• КОНТРОЛЬНАЯ РАБОТА

по курсу

«Методы и средства защиты информации»

 

 

 

 

 

 

 

 

 

Выполнила:

студентка гр. АУЗ-364с

_____________ Горохова А.И.

"___" ___________ 2013г

 

 

Проверил:

преподаватель каф.САПРиПК

_____________ В.В.Натров

"___" __________ 2013г.

 

 

 

Волгоград, 2013

 

Задание: Создать концепцию информационной безопасности для заданной организации: оптовый склад. Дополнительно: система бухгалтерского учёта “1С Бухгалтерия”, система складского учёта “1С Склад”, система “банк-клиент.

 

Цель: научиться формировать концепцию обеспечения информационной безопасности.

 

 

 

1. Ответственность: описывается, кто, за что и в какой мере несёт ответственность в организации.

Ответственным за информационную безопасность организации является  отдел информационной безопасности (ОБИ) в составе:

  – начальник отдела;

  – программисты;

  – системный администратор.

В каждом подразделении организации назначается соответствующим приказом руководителя ответственный за информационную безопасность подразделения. Он назначается соответствующим приказом по компании и уведомляется при приёме на соответствующую должность

Ответственным за неразглашение сведений конфиденциального характера, доступной по рабочей необходимости, является сотрудник, получивший доступ к этим сведениям, о чем составляется письменное свидетельство с подписями данного сотрудника и ответственного за информационную безопасность.

Мера ответственности за разглашение сведений конфиденциального характера определяется законодательными актами Российской Федерации.

 

1. Принципы работы банк-клиент.

Система «Банк-Клиент» представляет собой многофункциональный программно-технологический комплекс дистанционного банковского обслуживания.

Использование Системы «Банк-Клиент»  предоставляет следующие возможности:

• Передачу документов в Банк в круглосуточном режиме
• Одновременную работу в системе нескольких пользователей
• Импорт данных из программ бухгалтерского учета организации
• Разграничение прав доступа и функций пользователей
• Формирование справочных баз данных
• Автоматическое заполнение отдельных полей шаблонов документов
• Автоматический контроль правильности оформления платежных документов

Система позволяет направлять в банк, распоряжения по различным каналам связи (телефонные коммутируемые или выделенные линии, через сеть Интернет) для выполнения следующих операций:

• Проведение безналичных платежей в валюте РФ и иностранной валюте
• Заказ наличных денежных средств
• Размещение свободных денежных средств
• Осуществление конверсионных операций
• Обмен с Банком другой информацией в электронном виде

Качественная система "банк-клиент" позволяет автоматизировать практически  весь документооборот между банком и его клиентами

.

2. Положение о категорировании информации: указываются виды информации, обрабатываемой в организации, которым присвоен гриф конфиденциальности.

Информация в организации должна быть категорирована. В организации выделяют два вида информации:

• Открытую;
• Конфиденциальную;

К конфиденциальной информации относится:

1. информация, являющаяся коммерческой тайной организации;
2. информация о поставщиках и контрагентах;
3. личные данные сотрудников организации.

Данный список должен быть утвержден руководителями каждого предприятия, и соответствовать постановлениям правительства о защите личной информации сотрудников.

Каждый работник при приёме на работу должен быть ознакомлен с  этим перечнем и  в его договоре должен присутствовать раздел о личной ответственности за разглашение  коммерческой тайны.

Изменения перечня осуществляется комиссией, состоящий из руководителей каждого подразделения и руководителя организации. После изменения перечня, в обязательном порядке с ними должны быть ознакомлены все сотрудники, несущие личную ответственность за разглашение коммерческой тайны.

К открытой информации относится, не содержащаяся в перечне или  причисленная к таковой законодательными актами Российской Федерацией.

Подробный перечень конфиденциальной информации предоставлен в приложении 1.

 

 

 

 

Таблица 1. Сведения информационного характера

 

№	Информация	Формы предоставления
1	Персональные данные	Договора, контракты
2	Сведения о фирме	Лицензия, сертификаты
3	Сведения бухгалтерии	Бухгалтерский и финансовый отчеты.
4	Сведения склада	Отчеты о реализации, наличии  и хранении
5	Сведения о контрагентах	Договора, контракты
6	Сведений о товаре	Товарные накладные, акты
7	Пароли сотрудников	Имя пользователя и пароль
8	Сведения о доставке	Товарно-транспортная накладная

 

 

3. Доступ к информации и информационным ресурсам: описываются права доступа, предоставляемые к данным.

 

Таблица 2. Политика доступа к сведениям бухгалтерского и финансового отчет

№	Наименование	Доступ
1	Руководитель организации	Чтение
2	Главный бухгалтер	Запись
3	Зам.главного бухгалтера	Запись
4	Кладовщик	Чтение
5	Начальник склада	Чтение
6	Администратор	Полный

 

Таблица 3. Политика доступа к сведениям склада

№	Наименование	Доступ
1	Руководитель организации	Чтение
2	Главный бухгалтер	Чтение
3	Зам.главного бухгалтера	Чтение
4	Кладовщик	Запись
5	Начальник склада	Запись
6	Администратор	Полный

 

Программа имеет необходимые средства администрирования. Система «1С Бухгалтерия», система складского учёта «1С Склад».

Включает средства, позволяющие администратору:

• вести список пользователей системы;
• назначать пользователям пароль на вход в систему;
• назначать пользователям права на доступ к информации, обрабатываемой системой;
• формировать индивидуальные пользовательские интерфейсы, включающие меню и панели инструментов;
• просматривать список работающих пользователей;
• получать историю работы пользователей.

Таким образом, для каждого пользователя (учетного работника) в рамках единой конфигурации можно ограничить доступ к информации, содержащейся в информационной базе системы, и отслеживать каждый шаг работы пользователя в системе.

 

4. Анализ рисков: оценивается вероятность реализации угроз.

 

Таблица 4. Угрозы и потери.

№	Наименование  угрозы	Величина риска	Возможные потери
1	Утечка конфиденциальной информации	10 %	Ознакомлением с ней третьих лиц, что ведет к потери клиентов, убыткам фирмы
2	Искажения документов	10%	Модификации, убыток фирме
3	Сбои и отказы аппаратуры	9%	Потеря данных
4	Помехи на линиях связи от воздействия внешней среды	3%	Прерывание с собеседником, медленная работа почты
5	Нарушение информационного обслуживания	5%	Отсутствие у  пользователя своевременных данных, необходимых для принятия решения,  может вызвать его нерациональные  действия.
6	Ошибочное использование информационных ресурсов	5%	Данная угроза чаще всего является следствием ошибок в программном обеспечении АИТ
7	Использование программных ловушек	10%	Потеря данных
8	Несанкционированное использование информационных ресурсов	8%	Утечка информации
9	Удаление из программы  данных	7%	Потеря данных

 

 

Уровень защищённости, который необходимо обеспечивать в дальнейшем. Исходя из этого уровня производится разделения составленного на предыдущих этапах списка угроз на те, что имею уровень больший или равный выбранному уровню, и на те, что имеют уровень меньший выбранному. Угрозы с меньшим уровнем отсеиваются и остаётся таблица с угрозами, которые необходимо контролировать.

В нашем случае, все что ниже 5% требует защиты информации. Но наиболее уязвимыми являются те уровни, которые выше 5%.

 

 

Диаграмма 1.График анализа рисков

 

Таблица 6. Угроз

№	Наименование  угрозы
1	Утечка конфиденциальной информации
2	Искажения документов
3	Сбои и отказы аппаратуры
7	Использование программных ловушек
8	Несанкционированное использование информационных ресурсов
9	Удаление из программы  данных

 

 

5. Техническая защита информационных ресурсов: описываются технические методы и средства защиты информации

 

5.1. Методы инженерно-технической защиты информации

Инженерно-техническая защита (ИТЗ) — это совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты конфиденциальной информации. По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:

• физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;
• аппаратные средства. Сюда входят приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. Основная задача аппаратных средств — обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;
• программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и пере дачи) данных;
• криптографические средства — это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.