Методы и средства защиты информационной среды на предприятии

 

Государственное  бюджетное профессиональное образовательное учреждение 

Колледж связи № 54

 

 

КУРСОВАЯ  РАБОТА

По теме  «Методы и средства защиты информационной среды на предприятии. Безопасность в Windows Server 2003»

 

Выполнена студентом Капрановым Никитой Михайловичем  

гр. 12ЗИ0БС1

 

Основная профессиональная образовательная программа по специальности 090305 «Информационная безопасность автоматизированных систем»

Форма обучения очнаяо

Руководитель преподаватель спец. дисциплин Агаян А.А.

Заведующий отделением: Васильева И.Ю.                                            

 

г. Москва, 2015

 

 

Оглавление

                                                   

Введение

 

Глава I.  Теоретическая часть   работы по теме  «Методы и средства защиты информационной среды на предприятии. Безопасность в Windows Server 2003».

1.1. Государственная политика информационной безопасности

1.2.  Организационная защита

1.3. Инженерно-техническая  защита 

 

Глава II. Практическая часть  работы  по теме  « Безопасность в Windows Server 2003».

 

Заключение

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.

 

 

 

 

 

 

 

 

 

 

           Глава I

1.1 Государственная политика информационной безопасности

 

         Правовая защита информации как  ресурса признана на международном, государственном уровне и определяется  межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями  на их защиту. На государственном  уровне правовая защита регулируется  государственными и ведомственными  актами.

          Это законы, постановления правительства  и указы президента, нормативные  акты и стандарты, которыми регламентируются  правила использования и обработки  информации ограниченного доступа, а также вводятся меры ответственности  за нарушения этих правил.

           В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих  кодексах. Что касается ведомственных  нормативных актов, то они определяются  приказами, руководствами, положениями  и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных  структур.

• Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:

• § Гражданский кодекс РФ ст.139;

• § Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183;

• § Закон Российской Федерации "Об информации, информатизации и защите информации";

• § Закон Российской Федерации "О коммерческой тайне".

        

 

 

 

1.2 Организационная защита

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

•  охрану, режим, работу с кадрами, с документами;

• использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз производственной деятельности.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере,  сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

 К основным организационным мероприятиям можно отнести  организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы;

Организация и подержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

Организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

Организацию работы с документами, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

Организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

Организацию работ по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

Организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

        В  каждом конкретном случае организационные  мероприятия носят специфические  для данной организации форму  и содержание, направленные на  обеспечение безопасности информации  в конкретных условиях.

        Специфической  областью организационных мер  является организация защиты  ПЭВМ, информационных систем и  сетей, которая определяет порядок  и схему функционирования основных  ее подсистем, использование устройств  и ресурсов, взаимоотношения пользователей  между собой в соответствии  с нормативно-правовыми требованиями  и правилами.

        Защита  информации на основе организационных  мер играет большую роль в  обеспечении надежности и эффективности, т.к. несанкционированный доступ  и утечка информации чаще всего  обусловлены злоумышленными действиями  или небрежностью пользователей  либо персонала.

         Эти факторы практически невозможно  исключить или локализовать с  помощью аппаратных и программных  средств, криптографии и физических  средств защиты. Поэтому совокупность  организационных, организационно-правовых  и организационно-технических мероприятий, применяемых совместно с техническими  методами, имеют целью исключить, уменьшить или полностью устранить  потери при действии различных  нарушающих факторов.

          Организационные средства защиты  ПЭВМ и информационных сетей  применяются:

•    При проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;

•     При подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;

•  При хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);

•  При соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);

•      При подготовке и контроле работы пользователей.

 

1.3. Инженерно-техническая защита

Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Поскольку совокупность целей, задач, объектов защиты и проводимых мероприятий очень разнородна и многообразна, необходимо систематизировать эту совокупность, введя классификацию средств по виду, ориентации и другим характеристикам.

Многообразие классификационных характеристик позволяет рассматривать инженерно-технические средства по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны службы безопасности. По функциональному назначению средства инженерно-технической защиты классифицируются на следующие группы:

•  Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации (рис. 2.5) и осуществляющие защиту персонала, материальных средств и финансов и информации от противоправных воздействий;

•  Аппаратные средства - приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятиянаходит широкое применение самая различная аппаратура, начиная с телефонного аппарата до совершенных автоматизированных систем, обеспечивающих производственную деятельность.

           

 

 

         Основная задача аппаратных средств - обеспечение стойкой защиты  информации от разглашения, утечки  и несанкционированного доступа  через технические средства, применяемые  в производственной деятельности;