Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

федеральное государственное бюджетное образовательное учреждение

высшего образования

«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПУТЕЙ СООБЩЕНИЯ»

Кафедра «Финансы и бухгалтерский учет»

К ЗАЩИТЕ ДОПУСТИТЬ

Заведующий кафедрой

«Финансы и бухгалтерский учет»

____М.А. Немчанинова

«____»________20___г.

РАЗРАБОТКА МЕРОПРИЯТИЙ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ КОМПАНИИ «ПРОФИТ»

Паспорт выпускной квалификационной работы

ВКР 38.03.05. ПЗ – 34И

Студент гр. 34И		В.Д. Клементьев
Руководитель старший преподаватель		С.А. Приходько
Нормоконтроль старший преподаватель		О.И. Карус

Хабаровск – 2017

Содержание

Введение 4

1 Теоретические основы информационной безопасности 6

1.1 Предназначение и цели систем информационной безопасности 6

1.2 Причины потери информации и способы их ликвидации 8

1.3 Негативные воздействия на информацию 9

1.4 Программные средства поддержки в компьютерных системах. 10

1.5 Планирование мероприятий по защите информации на предприятии. 11

2 Анализ состояния информационной системы в компании «ПрофИТ» 23

2.1 Общая характеристика компании 23

2.2 Анализ текущего состояния информационной системы в компании 26

3 Разработка мероприятий по повышению уровня ИБ в компании 28

3.1 Предлагаемые мероприятия по информационной безопасности 28

3.2 Внедрение программно-аппаратного средства защиты информации 47

3.3 Использование шифрованных протоколов 48

3.4 Использование виртуальных частных сетей 49

3.5 Внедрение ЭЦП в компании 51

3.6 Создание закрытой переговорной комнаты 52

Заключение 54

Список используемых источников 55

Приложение А. Общая стоимость разработанных мероприятий по обеспечению информационной безопасности в компании «ПрофИТ» 60

Приложение Б. Графический материал…………………………………………...61

Доклад.

Актуальность данной темы заключается в:

• развитии информационных технологий;

• Информационных процессах, которые происходят повсеместно в мире;

• задачах эффективной обработки и передачи информации, (эта задача является важнейшей, для обеспечения безопасности информации).

Целью выпускной квалификационной работы является разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности в компании ООО «ПрофИТ».

Достижение цели выпускной квалификационной работы потребовало решения следующих задач:

• Анализ информационных уязвимостей в компании «ПрофИТ»;

• Разработка мероприятий по обеспечению информационной безопасности в компании «ПрофИТ»;

• Внедрение комплекса мероприятий по обеспечению информационной безопасности в компании «ПрофИТ».

Предметом исследования выпускной квалификационной работы являлась система защиты информационной безопасности в компании «ПрофИТ».

Для достижения поставленной цели и решаемых в связи с ней задач, работа разделена на 3 главы:

В первой главе рассматриваются теоретические основы информационной безопасности

Во второй анализ текущего состояния компании и её информационной системы

В третьей разработка мероприятий по повышению уровня информационной безопасности в компании

1. Теоретические основы информационной безопасности

Информационная безопасность ( ИБ ) - это некоторые мероприятия и средства по созданию условий для сохранности некоторой информации, которая находится в информационной системе, передается, обрабатывается, хранится и предоставляется системой.

В настоящее время существует ряд обязательных для исполнения на территории Российской Федерации документов, описывающих требования к защите информации. В том числе это:

• Федеральный закон № 152-ФЗ «О персональных данных»;

• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Кроме этого, существует «Доктрина информационной безопасности Российской Федерации» и ряд других документов и стандартов, но они либо не являются обязательными, либо относятся только к определенным организациям.

Федеральный закон № 152-ФЗ «О персональных данных»

Согласно закону, операторами персональных данных являются все физические и юридические лица, вне зависимости от формы собственности, размера и рода деятельности.

В области антивирусной защиты исполнение требований Федерального закона номер 152-ФЗ и подзаконных актов подразумевает:

• внедрения антивирусной защиты на всех серверах и рабочих станциях, где осуществляется обработка персональных данных;

• обеспечения необходимого уровня доступа только к нужным ресурсам;

• защиты каналов доступа в Интернет;

• использования централизованно управляемой защиты.

Все это подразумевает:

• использование на рабочих станциях и файловых серверах централизованно управляемой комплексной защиты, включающей средства защиты от вирусов, а также офисный контроль;

• централизованно управляемую антивирусную защиту почтовых серверов и интернет-шлюзов.

Рисунок 1.1 - Причины утраты информации

Информация может быть потеряна из-за внутренних и внешних причин

К внешним причинам относят некоторые действия злоумышленников и вирусные воздействия. Внешнее воздействие вызывается попыткой стороннего лица к получению доступа к секретной информации. Причин таких попыток может быть множество. Вирусы, которые находятся на ПК, могут быть причиной: незапланированного распространения информации по сети; уничтожения данных с ПК; некоторого изменения информации; форматирования жесткого диска.

Внутренние причины – это причины влияния на информацию ПО, работников и аппаратного обеспечения. Причины потери информации из-за ненадежности паролей, объясняется их относительной простотой и недостаточным количеством символов. Данная причина, должна исправляться системным администратором.

Рисунок 1.2 - Негативные воздействия на информацию

Ниже представлены типы негативных воздействий, которые как правило осуществляются с информацией, находящейся на персональных компьютерах и серверах (рисунок 1.3).

В общем, негативные воздействия разделяются, на три функционально-независимых, друг от друга группы. Воздействия, которые входят к первой группе, относятся к несанкционированному доступу. Они подразумевают, доступ к информации, в обход полномочий, закрытости и публичности данной информации со стороны злоумышленников.

Рисунок 1.3 - Негативные воздействия на информацию

Разрушение носителей информации происходит из-за устаревания оборудования, некачественной работы, видоизменения условий производства на критические и тому подобное. К носителю информации, в данном случае относится: жесткий диск, стример, CD диск, DVD диск, МО диск и какое-либо другое устройство хранения.

Третий тип внешних воздействий, связан с вирусными программами, которые изменяют, передают и удаляют информацию с персонального компьютера. На третьем рисунке показано, что все типы негативных воздействий между собой связаны, иначе говоря, одни типы имеют свойство приводить к появлению других.

2 Анализ текущего состояния компании

«Профит» предоставляет следующие виды услуг:

• IT-аутсорсинг – абонентское обслуживание компьютерной техники, серверов и организационной техники.

• Проектирование и монтаж кабельных сетей

• Видеонаблюдение от проектирования, закупки и монтажа, до сопровождения и настройки оборудования, программного обеспечения и серверов

• IP- телефония

• Сопровождение программ 1С

• Создание сайта и его последующее продвижение

Головной офис компании, имеет в своем распоряжении 20 персональных компьютеров и четыре сервера следующих типов: сервер базы данных, web-сервер, файловый сервер и почтовый сервер.

Проведя мониторинг способов передачи информации в компании и общий анализ информационной безопасности, был выявлен ряд недостатков:

• отсутствие контроля в серверных помещениях.

• отсутствие контроля доступа к информации, находящейся на персональных компьютерах компании.

• отсутствие использования защитных протоколов, при передаче данных.

• удаленная работа осуществляется посредством общей сети.

• в офисном помещении слабая защита от несанкционированного доступа (НСД).

• отсутствие переговорной комнаты в головном офисе компании (важно при личной встрече с клиентами и рабочих совещаний с работниками)

3 Разработка мероприятий по повышению уровня информационной безопасности в компании.

Исходя из этих недостатков и были разработаны следующие мероприятия:

• Внедрение программно-аппаратного средства защиты информации

• Использование шифрованных протоколов, для более безопасного обмена данными и защиты информации, оставляемой клиентами на сайте.

• Использование виртуальных частных сетей, при удаленной работе с конфиденциальной информацией.

• Внедрение ЭЦП в компании для подтверждения подлинности пересылаемой документации.

• Создание закрытой переговорной комнаты в головном офисе компании для проведения совещаний и личных встреч с клиентами.

ПАК «Росомаха» - это аппаратно-программное средство защиты компьютера от несанкционированного доступа.

ПАК «Росомаха» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Возможности ПАК "Росомаха": 

• Идентификация и аутентификация пользователей по электронным идентификаторам iButton, а также USB-идентификаторам iKey 2032 и eToken Pro; 

• Регистрация попыток доступа к ПЭВМ;

• Запрет загрузки ОС с внешних носителей (FDD, CD-ROM, ZIP, LPT, SCSI-порты) на аппаратном уровне; 

• Контроль целостности операционной системы (ОС), прикладного программного обеспечения и файлов пользователя до загрузки ОС; 

• Поддерживаются самые распространенные версии ОС Windows (95, 98, NT 4.0, 2000, XP, Server 2000/2003, Vista, 7, 8, 10), а также МСВС 3.0 и Linux XP; 

• Программное обеспечение комплекса функционирует в среде 32- и 64-разрядных операционных систем; 

• Совместим с СКЗИ «КриптоПро CSP»; 

• Платы для шин PCI и PCI-Express; 

• Встроенный аппаратный датчик случайных чисел.

Для того, чтобы обеспечить безопасность данных в компании и полный контроль доступом к персональным компьютерам и серверному помещению, программно-аппаратный комплекс «Росомаха» необходимо поставить на все устройства в данной компании. А именно 20 персональных компьютеров должны быть обеспеченны данным продуктом.

Использование шифрованных протоколов, для более безопасного обмена данными и защиты информации, оставляемой клиентами на сайте.

Для того, чтобы гарантировать безопасное соединение с сайтом компании и безопасность обмена информацией на сайте, компании необходимо приобрести SSL-сертификат.

SSL-сертификат, это своего рода, цифровая подпись сайта. Он гарантирует безопасное соединение между сервером и браузером пользователя. При его использовании информация между сайтом и браузером передается в закодированном виде и расшифровать ее можно только с помощью специального ключа, являющегося частью сертификата.
Даже если имя сайта введено в браузере верно, злоумышленники могут подменить его целиком или частями (например, перехватив трафик в публичных сетях — метро, кафе или бизнес-центрах). Таким образом мошенники могут получить доступ к данным клиента, разместить на вашем сайте свои баннеры или формы оплаты. SSL-сертификаты исключают возможность подобной подмены — просмотрев сертификат, пользователь может убедиться, что на домене размещен именно тот сайт, который там должен быть, а не его дубликат. Кроме того, SSL-сертификат позволяет пользователю проверить, кто является владельцем сайта. Это значит, что пользователь может удостовериться, что он зашел на сайт нужной ему организации, а не на сайт ее двойника. Еще одна важная функция SSL-сертификатов - шифрование интернет-соединения. Зашифрованное соединение необходимо для предотвращения возможного хищения конфиденциальных данных при их передаче в Сети.

Использование виртуальных частных сетей, при удаленной работе с конфиденциальной информацией.

Один из самых популярных и надежных VPN сервисов, является сервис Private Internet Access. PIA обеспечивает не только шифрование трафика, но и анонимность вкупе с отвязкой от регионального расположения. Есть возможность выбора выходного сервера из списка почти в 1000 штук (в 10 разных странах). PIA не хранит логи, не запрещает никакие протоколы и IP-адреса, и не хранит у себя информации о действиях пользователей. Также они поддерживают несколько методов авторизации и практически все операционные системы (мобильные и десктопные).