Клементьев ВКР (Разработка мероприятий по информационной безопасности для компании ПрофИТ)
Описание файла
Файл "Клементьев ВКР" внутри архива находится в следующих папках: Разработка мероприятий по информационной безопасности для компании ПрофИТ, Klementyev V.D. Документ из архива "Разработка мероприятий по информационной безопасности для компании ПрофИТ", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Клементьев ВКР"
Текст из документа "Клементьев ВКР"
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
федеральное государственное бюджетное образовательное учреждение
высшего образования
«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ПУТЕЙ СООБЩЕНИЯ»
Кафедра «Финансы и бухгалтерский учет»
К ЗАЩИТЕ ДОПУСТИТЬ
Заведующий кафедрой
«Финансы и бухгалтерский учет»
____М.А. Немчанинова
«____»________20___г.
РАЗРАБОТКА МЕРОПРИЯТИЙ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ КОМПАНИИ «ПРОФИТ»
(На примере компании ООО «ПрофИТ»)
Выпускная квалификационная работа
ВКР 38.03.05. ПЗ – 34И
| Студент гр. 34И | В.Д. Клементьев | |
| Руководитель старший преподаватель | С.А. Приходько | |
| Нормоконтроль старший преподаватель | О.И. Карус | |
Хабаровск – 2017
Annotation
Graduation qualification work on the topic "Development of measures for information security in the company " ProfIT ". The work consists of 3 sections. The volume of the thesis is 59 pages. There are 4 drawings and 5 tables.
The first section of the WRC "Theoretical Foundations of Information Security" discloses the main definitions related to information and information security, the purposes and objectives of information security systems, the causes of information loss, the negative impact on information as a result of threats and software support and security in computer Systems. Also, the issue of software tools for support and security in computer systems was raised.
In the second part of the WRC "analysis of the information system in the company" Profit "was given a general description of the company, the state of the information system, identified vulnerabilities in the information security system.
In the third section, "Developing measures to improve the level of information security in the company," a number of measures are provided to ensure a higher level of information security in the company, by implementing software and hardware information protection tools, using encrypted protocols, implementing an electronic digital signature in the company to work with documentation. It is also proposed to create a meeting room for meetings and personal meetings with clients.
When writing the final qualifying work, normative and legal documents were used, as well as 50 literary sources.
Содержание
Введение 4
1 Теоретические основы информационной безопасности 6
1.1 Предназначение и цели систем информационной безопасности 6
1.2 Причины потери информации и способы их ликвидации 8
1.3 Негативные воздействия на информацию 9
1.4 Программные средства поддержки в компьютерных системах. 10
1.5 Планирование мероприятий по защите информации на предприятии. 11
2 Анализ состояния информационной системы в компании «ПрофИТ» 23
2.1 Общая характеристика компании 23
2.2 Анализ текущего состояния информационной системы в компании 26
3 Разработка мероприятий по повышению уровня ИБ в компании 28
3.1 Предлагаемые мероприятия по информационной безопасности 28
3.2 Внедрение программно-аппаратного средства защиты информации 47
3.3 Использование шифрованных протоколов 48
3.4 Использование виртуальных частных сетей 49
3.5 Внедрение ЭЦП в компании 51
3.6 Создание закрытой переговорной комнаты 52
Заключение 54
Список используемых источников 55
Приложение А. Общая стоимость разработанных мероприятий по обеспечению информационной безопасности в компании «ПрофИТ» 60
Приложение Б. Графический материал…………………………………………...61
Введение
На современном этапе развития мы наблюдаем стремительно растущую роль информационной сферы в жизни общества. Становясь системообразующим фактором, информационная среда всё активнее оказывает воздействие на безопасность.
Понятие «информационная безопасность» сформировалось, когда люди стали пользоваться средствами информационных коммуникаций. На современном этапе сохранность конфиденциальности получаемой и передаваемой информации – это жизненно важный аспект.
Актуальность заключается в росте проблем по обеспечению информационной безопасности. Информационные процессы, происходящие повсеместно в мире, выдвигают на первый план, наряду с задачами эффективного обработки и передача информации, важнейшую задачу обеспечения безопасности информации. Это объясняется особой значимостью для развития государства его информационных ресурсов, ростом стоимости информации в условиях рынка, ее высокой уязвимостью и нередко значительным ущербом в результате ее несанкционированного использования. Последствия от несанкционированного получения информации имеют самый разнообразный масштаб: от безобидных до потерь в больших размерах и банкротств компаний.
С целью повышения и усиления мер, принимаемых для обеспечения безопасности информационных ресурсов в организации, необходимо, чтобы руководитель лично отвечал за последствия утечки информации. А уже после него тот сотрудник, который был назначен руководством обеспечивать информационную безопасность [20].
Для того, чтобы обеспечить защиту информации, необходимо:
-
обращать внимание на слабые и особо уязвимые места в системе, на предполагаемые объекты и направления атак со стороны нарушителей, пути доступа к информации;
-
в комплексе использовать разнообразные средства защиты;
-
организовать непрерывный процесс защиты информации;
-
рационально соотносить затраты на защиту информации и предполагаемый ущерб от её потери;
-
обеспечить уровень варьирования защищённости информации, так как на начальном этапе эксплуатации можно наблюдать как избыточный, так и недостаточный уровень защиты.
Применяемые средства защиты не должны требовать знания специальных языков, должны быть простыми в понимании и доступными в использовании, не должны нести лишних затрат на своё применение. [4]
Целью выпускной квалификационной работы является разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности в компании ООО «ПрофИТ».
Достижение цели выпускной квалификационной работы потребовало решения следующих задач:
-
анализ информационных уязвимостей в компании «ПрофИТ»;
-
разработка мероприятий по обеспечению информационной безопасности в компании «ПрофИТ»;
-
внедрение комплекса мероприятий по обеспечению информационной безопасности в компании «ПрофИТ».
Предметом исследования выпускной квалификационной работы являлась система защиты информационной безопасности в компании «ПрофИТ».
Значимость дипломного исследования состоит в реализации комплексного подхода при разработке мероприятии в области информационной безопасности.
1 Теоретические основы информационной безопасности
1.1 Предназначение и цели систем информационной безопасности
Информационная безопасность ( ИБ ) - это некоторые мероприятия и средства по созданию условий для сохранности некоторой информации, которая находится в информационной системе, передается, обрабатывается, хранится и предоставляется системой [5].
В настоящее время существует ряд обязательных для исполнения на территории Российской Федерации документов, описывающих требования к защите информации. В том числе это:
-
Федеральный закон № 152-ФЗ «О персональных данных»;
-
Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Кроме этого, существует «Доктрина информационной безопасности Российской Федерации» и ряд других документов и стандартов, но они либо не являются обязательными, либо относятся только к определенным организациям.
Федеральный закон № 152-ФЗ «О персональных данных»
Согласно закону, операторами персональных данных являются все физические и юридические лица, вне зависимости от формы собственности, размера и рода деятельности [16].
В области антивирусной защиты исполнение требований Федерального закона номер 152-ФЗ и подзаконных актов подразумевает:
-
внедрения антивирусной защиты на всех серверах и рабочих станциях, где осуществляется обработка персональных данных;
-
обеспечения необходимого уровня доступа только к нужным ресурсам;
-
защиты каналов доступа в Интернет;
-
использования централизованно управляемой защиты.
Все это подразумевает:
-
использование на рабочих станциях и файловых серверах централизованно управляемой комплексной защиты, включающей средства защиты от вирусов, а также офисный контроль;
-
централизованно управляемую антивирусную защиту почтовых серверов и интернет-шлюзов [30].
Предназначение системы информационной безопасности состоит в обеспечении надежных и безопасных: систем доступа к информации, систем хранения и передачи информации, способов действий с информацией, правил доступа к информации и управление этим доступом, методов восстановления информации и способов её резервирования [49].
Цели систем информационной безопасности вызываются её назначением и заключаются в: предоставлении надежного, безопасного и устойчивого сохранения и обмена информации в электронном виде, размещенной в различных носителях; предоставлении надежного доступа к электронной информации; локализации и управлении доступа к информации, с которой взаимодействуют работники; создании условий для безопасности взаимодействия с информацией; создание процедур по резервированию информации; реализации процедур по восстановлению информации в аварийной ситуации; обеспечение информационной безопасности на заданных уровнях ( рисунок 1.1 ) [30].
Рисунок 1.1 - Задачи информационной безопасности
1.2 Причины потери информации и способы их ликвидации
Информация бывает потеряна из-за различных причин. Ниже представлены причины утраты информации, которая хранится на ПК или серверах и двигающейся в сети. Данные причины разделяются на несколько групп, как правило на внутренние и внешние, внешние возникают, из-за внешнего воздействия на информацию.
Рисунок 1.2 - Классификация причин утраты информации, размещенной на персональных компьютерах
К внешним причинам так же относят, некоторые действия злоумышленников и вирусные воздействия. Внешнее воздействие вызывается попыткой стороннего лица к получению доступа к секретной информации. Причин таких попыток может быть множество. Вирусы, которые находятся на ПК, могут быть причиной: незапланированного распространения информации по сети; уничтожения данных с ПК; некоторого изменения информации; форматирования жесткого диска [7].
Внутренние причины – это причины влияния на информацию ПО, работников и аппаратного обеспечения. Причины потери информации из-за ненадежности паролей, объясняется их относительной простотой и недостаточным количеством символов. Данная причина, должна исправляться системным администратором [7].
Постоянное обновление антивирусных баз, обеспечивает некоторую, хоть и не полную защиту от действий вирусов. Применение нелицензированного ПО на компьютере может стать причиной появления открытых системных портов, ущерба в системной информации, некорректного использования ОС, конфликтов между приложениями и зависания системы [42].
Действия работников часто становятся причиной утраты какой-либо ценной информации. К примеру, персональный компьютер нужно блокировать на тот период времени, когда работник не присутствует на своем рабочем месте, иначе, любое постороннее лицо может получить доступ к данным с этого компьютера.
В плане аппаратного обеспечения, несанкционированный доступ к персональному компьютеру, как правило, осуществляется если он не опломбирован.
1.3 Негативные воздействия на информацию
Ниже представлены типы негативных воздействий, которые как правило осуществляются с информацией, находящейся на персональных компьютерах и серверах (рисунок 1.3).
В общем, негативные воздействия разделяются, на три функционально-независимых, друг от друга группы. Воздействия, которые входят к первой группе, относятся к несанкционированному доступу. Они подразумевают, доступ к информации, в обход полномочий, закрытости и публичности данной информации со стороны злоумышленников.
Рисунок 1.3 - Негативные воздействия на информацию
Разрушение носителей информации происходит из-за устаревания оборудования, некачественной работы, видоизменения условий производства на критические и тому подобное. К носителю информации, в данном случае относится: жесткий диск, стример, CD диск, DVD диск, МО диск и какое-либо другое устройство хранения.
Третий тип внешних воздействий, связан с вирусными программами, которые изменяют, передают и удаляют информацию с персонального компьютера. На третьем рисунке показано, что все типы негативных воздействий между собой связаны, иначе говоря, одни типы имеют свойство приводить к появлению других [46].
1.4 Программные средства поддержки в компьютерных системах.
Следуя ходу запуска, первое средство защиты, это пароль на вход в BIOS. (Basic Input/Output system). Пароль, используемый перед запуском системы, также остается в BIOS. Следующий уровень защиты информации, это пароль, используемый, при загрузке операционной системы. Чтобы определить «силу» пароля, следует использовать специальное программное обеспечение по этому вопросу.
