Основы информационной безопасности для организации ООО «СКБ Контур»

Автор работы: Пользователь скрыл имя, 15 Сентября 2011 в 21:50, реферат

Описание работы

Информационная эра привела к существенным изменениям в способе выполнения некоторых обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.

Содержание работы

Введение 3

1. Основные характеристики организации и специфика её информационной системы 5

1. Основная цель реферата 13

2. Классификация, специфика и краткий анализ основных угроз информационной системе организации 14

3. Формулировка основных задач СИБ организации и средства их возможной реализации 16

4. Средства разграничения доступа к глобальным сетям, данным и программам 18

5. Средства идентификации и аутентификации пользователей информационной системы организации 20

6.1. Microsoft Active Directory 21

6.2. Novell eDirectory 23

6.3 Аппаратные системы контроля и управления доступом 25

6.4 Биометрическая идентификация 28

6. Обоснование необходимости использования ЭЦП и предложения по её внедрению и применению в информационном процессе организации 30

7. Предложения по структуре СИБ и размещению её элементов в ЛВС АПКУ организации. Схема ЛВС организации с предлагаемыми элементами СИБ 33

8. Основные экономические характеристики СИБ и предложения по этапности её внедрения 36

9. Выводы, предложения и рекомендации по дальнейшему развитию и совершенствованию СИБ 38

10. Список реферированных источников 40

Файлы: 1 файл

курсач СИБмой.docx

— 1.77 Мб (Скачать файл)

  Надежные  промышленные технологии биометрической идентификации должны быть созданы  в недалеком будущем, Gartner Group ожидает их появление не ранее, чем через 10 лет. 

  1. Обоснование необходимости использования  ЭЦП и предложения  по её внедрению и  применению в информационном процессе организации

       Для подписания электронных документов или любых данных, предоставленных  в цифровой (электронной) форме, используется так называемая электронная цифровая подпись. Электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного  электронного документа от подделки и позволяющий идентифицировать владельца сертификата ключа  подписи, а также установить отсутствие искажения.

       Электронная цифровая подпись формируется с  помощью закрытого ключа, который  может храниться на дискете, в  системном реестре, на смарт-картах и т. д. ).1сктронная цифровая подпись может быть проверена с помощью открытого ключа, парного тому закрытому ключу, с помощью которого формировалась эта ЭЦП. Таким образом, зная открытый ключ пользователя, можно с точностью установить, подписывал ли он данный документ.

       Широкому  распространению средств ЭЦП  препятствует и отсутствие необходимой  инфраструктуры в виде удостоверяющих центров (УЦ) и центров сертификации.

       По  мнению многих экспертов, популяризация  ЭЦП в значительной мере сдерживается и таким субъективным фактором, как  психология пользователей. Например, многие руководители промышленных предприятий  и управленческих структур изначально скептически относятся к переходу на использование электронной подписи, и причиной этого является проблема отчуждаемости ЭЦП от ее владельца. В самом деле, подделать можно  и обычную подпись, причем настолько  искусно, что отличить ее от настоящей  позволит только тщательная графологическая  экспертиза, но вот «украсть» ее нельзя в принципе. С электронным  аналогом подписи подобное возможно, по крайней мере, в отношении брелока  или смарт-карты, на которой хранится секретный ключ. Как показывает практика, проблема отчуждаемости электронных  средств от их владельцев возникает  всякий раз, когда речь заходит о  технологических инновациях в сфере  персонифицированных средств (исключением, пожалуй, можно считать лишь область  биометрии).

      Невысокие темпы внедрения систем, поддерживающих сервисы ЭЦП, могут быть объяснены  следующими сдерживающими факторами:

    • переход на безбумажную технологию продвигается медленно, в том числе из-за недоверия к надежности информационных систем и систем защиты информации;
    • обилие прикладных информационных систем, не содержащих встроенную поддержку ЭЦП и других средств защиты;
    • внедрение ЭЦП по приказу «сверху» без заинтересованности «снизу»;
    • отсутствие отдельного бюджета на системы защиты;
    • отсутствие подготовленных кадровых ресурсов, способных выстроить процесс внедрения и эксплуатации, включая поддержку необходимых регламентов работы;
    • отсутствие корневого национального сертификата.

       Темпы внедрения ЭЦП могли быть гораздо  выше. Одной из непременных составляющих создания систем с поддержкой ЭЦП  должна стать система доверительных  отношений между информационными  ресурсами, содержащими конфиденциальности, так и во всей иерархической структуре  органов власти (так называемая доверенная среда). 
 

         Таблица 3. Некоторые криптографические алгоритмы, разработанные и применяемые

в России, США  и Европе

1 .Алгоритмы  являющиеся национальным стандартом  США.

2.Алгоритмы являющиеся  собственностью RSA Data Security, Inc. (США).

З.Алгоритм Дж. Месси - собственность Ascom-Tech AG (Швейцария).

4.Срок  действия патента на алгоритм  Диффи-Хеллмана (Diffie-Hellman) США истек 29 марта 1997 года.

5.Алгоритм Клауса  Шнора (Klaus Schnorr. Германия).

6.Алгоритм, разработанный  Давидом Шомом (David Chaum) - DigiCach BV (Нидерланды).

7.Алгоритмы,  являющиеся государственным стандартом  РФ.

8.Алгоритмы,  являющиеся собственностью "ЛАН"  Крипто (Россия).

  1. Предложения по структуре СИБ  и размещению её элементов  в ЛВС  АПКУ организации. Схема ЛВС организации  с предлагаемыми  элементами СИБ

    Основываясь на критериях, которые выбирают эксперты (в данном случае ими являются квалифицированные  сотрудники «СКБ Контур») и составленной таблице различных средств информационной защиты и их характеристик (Приложение 4) можно предложить следующий комплекс системы информационной безопасности:

   
Полное  наименование средства Фирма-

производител  ь

Количество Цена Общая стоимость Единица

измерения

цены

Firewall Kaspersky Internet Security 7.0 "Лаборатория  Касперского" 1 3900 3900 рубли
Kaspersky Anti-Virus "Лаборатория  Касперского" 32 980 31360 рубли
CS IMAGEmanager Cisco Systems 1 86251 86251 рубли
Secret Disk 4 Lite Aladdin 32 2499 79968 рубли
eToken NG-FLASH/64K/4GB Aladdin 32 4200 134400 рубли
Процессорная  карта eToken PRO/SC Aladdin 32 650 20800 рубли
Электронный ключ eToken PRO/64K cert Aladdin 32 1,62 51,84 рубли
IIASP HL Max Aladdin 1 5490 5490 рубли
IBM Tivoli Storage Manager IBM 1 4271,1 5 4271,15 рубли
USB-ключи для защиты программ и данных от копирования, нелегального использования и несанкционированног о распространения HASP HL Net250 Alladin 64 5,49 352 рубли
Цифровой  конверт "Веста" Лан "Крипто" 4 1936 7744 рубли
Итого:       366843,99 рубли

Характеристика  СИБ для «СКБ Контур» 

№ п/п
    Наименования   показателей
Классы  защищённости
 
 
6
5 4
 
1. Дискреционный принцип контроля доступа. + - -
2. Мандатный принцип  контроля доступа. - + -
3. Очистка памяти. - - +
4. Изоляция модулей. - - +
5. Маркировка  документов. - + -
6. Защита ввода  и вывода на отчуждаемый физический носитель данных.   +  
7. Сопоставление пользователя с устройством. + - -
8. Идентификация и аутентификация. + - -
9. Гарантии проектирования. + - -
10. Регистрация. - - +
11. Целостность комплекса  средств защиты. (КСЗ - СИБ). - - +
12. Тестирование. - - +
13. Руководство пользователя   - +
14. Руководство по комплексу средств защиты. - - +
15. Тестовая документация. - + -
16. Конструкторская (проектная) документация. +   -
 

 

  1. Основные  экономические характеристики СИБ и предложения  по этапности её внедрения

       Таким образом общая стоимость комплекса  средств защиты информации составила  366843,99 рублей. Безусловно, это необходимый минимум средств, в котором нуждается компания, для того чтобы обеспечить информационную безопасность.

       Вариант такого комплекса относительно недорог  и удобен тем, что систему возможно внедрить единовременно.

Рекомендательный  этап. Выполняется комплекс работ, связанный с размещением элементов СИБ в узлах ЛВС, анализом полученных результатов. Основные внимание уделяется тестированию СИБ с использованием комплекса многофункциональных тестов, обеспечивающих предотвращение проникновения программных злоупотреблений, а также снижения потенциальной опасности потери ресурсов.

       Разрабатывается комплекс методических и инструктивных  материалов, описывающих реализацию СИБ, содержащий следующие разделы:

  • ПОЛИТИКА - описание конечных целей защиты и подготовки персонала, а также мер, направленных на достижение целей защиты и обеспечивающих адекватную защиту (требования к защите и ее стоимость должны соответствовать ценности обрабатываемой информации);
  • ТЕКУЩЕЕ СОСТОЯНИЕ - описание статуса объектов, субъектов и механизмов защиты в момент составления плана;
  • РЕКОМЕНДАЦИИ - описание основных шагов для достижения целей защиты, обеспечивающих достижение целей политики безопасности, способов и механизмов ее реализации в конкретной системе;
  • ОТВЕТСТВЕННОСТЬ - список лиц, ответственных за функционирвание средств защиты, а также зон ответственности;
  • РАСПИСАНИЕ - описание порядка работы механизмов СИБ, включая меры контроля.

- ПЕРЕСМОТР  - описание положений плана, которые  периодически подвергаются пересмотру, а также содержание конкретных  организационно-технических мероприятий.

     Ввод  СИБ в эксплуатацию. В рамках заключительного этапа реализуется комплекс работ по обучению персонала, внедрению механизмов защиты и их тестированию на основе информации о новых угрозах и каналах утечки информации, модификации информационных и коммуникационных технологий. 

Информация о работе Основы информационной безопасности для организации ООО «СКБ Контур»