Методы и средства защиты информационной среды на предприятии
Автор работы: Пользователь скрыл имя, 01 Июля 2015 в 13:04, курсовая работа
Описание работы
На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.
Содержание работы
Введение
Глава I. Теоретическая часть работы по теме «Методы и средства защиты информационной среды на предприятии. Безопасность в Windows Server 2003». 1.1. Государственная политика информационной безопасности 1.2. Организационная защита 1.3. Инженерно-техническая защита
Глава II. Практическая часть работы по теме « Безопасность в Windows Server 2003».
Основная профессиональная
образовательная программа по специальности 090305 «Информационная
безопасность автоматизированных систем»
Форма обучения очнаяо
Руководитель преподаватель
спец. дисциплин Агаян А.А.
Заведующий отделением: Васильева И.Ю.
г. Москва, 2015
Оглавление
Введение
Глава I. Теоретическая
часть работы по теме «Методы и средства
защиты информационной среды на предприятии.
Безопасность в Windows Server 2003».
1.1. Государственная политика
информационной безопасности
1.2. Организационная защита
1.3. Инженерно-техническая
защита
Глава II. Практическая
часть работы по теме « Безопасность
в Windows Server 2003».
Заключение
Введение
На рынке защиты информации
предлагается много отдельных инженерно-технических,
программно-аппаратных, криптографических
средств защиты информации. В литературе
по защите информации можно найти описание
методов и средств на их основе, теоретических
моделей защиты. Однако для того, чтобы
создать на предприятии условия эффективной
защиты информации, необходимо объединить
отдельные средства защиты в систему.
При этом надо помнить, что главным элементом
этой системы является человек. Причем
человек является ключевым элементом
системы и вместе с тем самым трудно формализуемым
и потенциально слабым ее звеном.
Создание системы защиты информации
(СЗИ) не является главной задачей предприятия,
как, например, производство продукции
и получение прибыли. Поэтому создаваемая
СЗИ не должна приводить к ощутимым трудностям
в работе предприятия, а создание СЗИ должно
быть экономически оправданным. Тем не
менее она должна обеспечивать защиту
важных информационных ресурсов предприятия
от всех реальных угроз.
Глава I
1.1 Государственная
политика информационной безопасности
Правовая защита информации как
ресурса признана на международном,
государственном уровне и определяется
межгосударственными договорами, конвенциями,
декларациями и реализуется патентами,
авторским правом и лицензиями
на их защиту. На государственном
уровне правовая защита регулируется
государственными и ведомственными
актами.
Это законы, постановления правительства
и указы президента, нормативные
акты и стандарты, которыми регламентируются
правила использования и обработки
информации ограниченного доступа,
а также вводятся меры ответственности
за нарушения этих правил.
В нашей стране такими правилами
(актами, нормами) являются Конституция,
законы Российской Федерации, гражданское,
административное, уголовное право,
изложенные в соответствующих
кодексах. Что касается ведомственных
нормативных актов, то они определяются
приказами, руководствами, положениями
и инструкциями, издаваемыми ведомствами,
организациями и предприятиями,
действующими в рамках определенных
структур.
Основными законодательными
актами, регулирующими вопросы информационной
безопасности предприятия, являются:
§ Закон Российской Федерации
"Об информации, информатизации и защите
информации";
§ Закон Российской Федерации
"О коммерческой тайне".
1.2 Организационная
защита
Организационная защита - это
регламентация производственной деятельности
и взаимоотношений исполнителей на нормативно-правовой
основе, исключающей или существенно затрудняющей
неправомерное овладение конфиденциальной
информацией и проявление внутренних
и внешних угроз.
Организационная защита обеспечивает:
• охрану, режим, работу
с кадрами, с документами;
• использование технических
средств безопасности и информационно-аналитическую
деятельность по выявлению внутренних
и внешних угроз производственной деятельности.
Организационные мероприятия
играют существенную роль в создании надежного
механизма защиты информации, т.к. возможности
несанкционированного использования
конфиденциальных сведений в значительной
мере обусловливаются не техническими
аспектами, а злоумышленными действиями,
нерадивостью, небрежностью и халатностью
пользователей или персонала защиты. Влияния
этих аспектов практически невозможно
избежать с помощью технических средств.
Для этого необходима совокупность организационно-правовых
и организационно-технических мероприятий,
которые исключали бы (или, по крайней
мере, сводили бы к минимуму) возможность
возникновения опасности конфиденциальной
информации.
К основным организационным
мероприятиям можно отнести организацию
режима и охраны. Их цель - исключение возможности
тайного проникновения на территорию
и в помещения посторонних лиц; обеспечение
удобства контроля прохода и перемещения
сотрудников и посетителей; создание отдельных
производственных зон по типу конфиденциальных
работ с самостоятельными системами доступа;
контроль и соблюдение временного режима
труда и пребывания на территории персонала
фирмы;
Организация и подержание надежного
пропускного режима и контроля сотрудников
и посетителей и др.;
Организацию работы с сотрудниками,
которая предусматривает подбор и расстановку
персонала, включая ознакомление с сотрудниками,
их изучение, обучение правилам работы
с конфиденциальной информацией, ознакомление
с мерами ответственности за нарушение
правил защиты информации и др.;
Организацию работы с документами,
включая организацию разработки и использования
документов и носителей конфиденциальной
информации, их учет, исполнение, возврат,
хранение и уничтожение;
Организацию использования
технических средств сбора, обработки,
накопления и хранения конфиденциальной
информации;
Организацию работ по анализу
внутренних и внешних угроз конфиденциальной
информации и выработке мер по обеспечению
ее защиты;
Организацию работы по проведению
систематического контроля за работой
персонала с конфиденциальной информацией,
порядком учета, хранения и уничтожения
документов и технических носителей.
В
каждом конкретном случае организационные
мероприятия носят специфические
для данной организации форму
и содержание, направленные на
обеспечение безопасности информации
в конкретных условиях.
Специфической
областью организационных мер
является организация защиты
ПЭВМ, информационных систем и
сетей, которая определяет порядок
и схему функционирования основных
ее подсистем, использование устройств
и ресурсов, взаимоотношения пользователей
между собой в соответствии
с нормативно-правовыми требованиями
и правилами.
Защита
информации на основе организационных
мер играет большую роль в
обеспечении надежности и эффективности,
т.к. несанкционированный доступ
и утечка информации чаще всего
обусловлены злоумышленными действиями
или небрежностью пользователей
либо персонала.
Эти факторы практически невозможно
исключить или локализовать с
помощью аппаратных и программных
средств, криптографии и физических
средств защиты. Поэтому совокупность
организационных, организационно-правовых
и организационно-технических мероприятий,
применяемых совместно с техническими
методами, имеют целью исключить,
уменьшить или полностью устранить
потери при действии различных
нарушающих факторов.
Организационные средства защиты
ПЭВМ и информационных сетей
применяются:
• При проектировании,
строительстве и оборудовании помещений,
узлов сети и других объектов информационной
системы, исключающих влияние стихийных
бедствий, возможность недозволенного
проникновения в помещения и др.;
• При подборе
и подготовке персонала. В этом случае
предусматриваются проверка принимаемых
на работу, создание условий, при которых
персонал был бы заинтересован в сохранности
данных, обучение правилам работы с закрытой
информацией, ознакомление с мерами ответственности
за нарушение правил защиты и др.;
• При хранении и использовании
документов и других носителей (маркировка,
регистрация, определение правил выдачи
и возвращения, ведение документации и
др.);
• При соблюдении надежного
пропускного режима к техническим средствам,
к ПЭВМ и информационным системам при
сменной работе (выделение ответственных
за защиту информации в сменах, контроль
за работой персонала, ведение (возможно
и автоматизированное) журналов работы,
уничтожение в установленном порядке
закрытых производственных документов);
• При подготовке
и контроле работы пользователей.
1.3. Инженерно-техническая
защита
Инженерно-техническая защита
- это совокупность специальных органов,
технических средств и мероприятий по
их использованию в интересах защиты конфиденциальной
информации.
Поскольку совокупность целей,
задач, объектов защиты и проводимых мероприятий
очень разнородна и многообразна, необходимо
систематизировать эту совокупность,
введя классификацию средств по виду,
ориентации и другим характеристикам.
Многообразие классификационных
характеристик позволяет рассматривать
инженерно-технические средства по объектам
воздействия, характеру мероприятий, способам
реализации, масштабу охвата, классу средств
злоумышленников, которым оказывается
противодействие со стороны службы безопасности.
По функциональному назначению средства
инженерно-технической защиты классифицируются
на следующие группы:
• Физические
средства, включающие различные средства
и сооружения, препятствующие физическому
проникновению (или доступу) злоумышленников
на объекты защиты и к материальным носителям
конфиденциальной информации (рис. 2.5)
и осуществляющие защиту персонала, материальных
средств и финансов и информации от противоправных
воздействий;
• Аппаратные
средства - приборы, устройства, приспособления
и другие технические решения, используемые
в интересах защиты информации. В практике
деятельности предприятиянаходит широкое
применение самая различная аппаратура,
начиная с телефонного аппарата до совершенных
автоматизированных систем, обеспечивающих
производственную деятельность.
Основная задача аппаратных средств
- обеспечение стойкой защиты
информации от разглашения, утечки
и несанкционированного доступа
через технические средства, применяемые
в производственной деятельности;