Пояснительная записка к ВКР (1209213)
Текст из файла
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»
(ДВГУПС)
Кафедра: «Информационные технологии и системы»
| К ЗАЩИТЕ ДОПУСТИТЬ Заведующий кафедрой доцент, к.п.н. ___________________ М.А Попов., «___» ___________ 2017 г. |
РАЗРАБОТКА МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ПО ОПРЕДЕЛЕНИЮ ПАРАМЕТРОВ НАСТРОЙКИ ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Пояснительная записка к выпускной квалификационной работе
ВКР 10.03.01 24Б ПЗ
Студент гр. 24б (подпись) Е.Н. Дерябина
(дата)
Руководитель (подпись) Е.В. Рак
доцент (дата)
Нормоконтроль (подпись) В.И. Шестухина
доцент, к.п.н., доцент (дата)
Хабаровск – 2017
Abstract
Regulatory and legal acts in the field of information protection, methodological and regulatory documents of the Federal Security Service of Russia, as well as national standards in the field of information protection, determine the requirements and measures to protect information, which are 80% realized through technical means of information protection.
In addition, it is not uncommon for attempts to simplify administration that incorrect tuning solutions are formed, entailing contradictions with the safety rules. In this case, the simplification of administration borders on the attempt to implement a simple solution, which directly concerns the issue of effective use of technical means of protection and compliance with the requirements of the laws of the Russian Federation in the field of information security.
The regulation of determining the settings and installation of information protection hardware will reduce the financial costs of deploying and administering technical information protection tools, facilitate implementation, and accelerate the training of employees who configure and maintain technical protection equipment.
Оглавление
1 Система безопасности информации. Принципы создания системы защиты 6
1.1 Защищенность информации в информационной системе 6
1.2 Технические и программные методы защиты информации 11
2 Технические средства защиты информации 16
2.1 Особенности администрирования технических средств защиты информации 18
2.1.1 Система защиты электронный замок «Соболь» 18
2.1.2 Система защиты информации «Страж NT» 20
2.1.3 Программно-аппаратная система защиты информации «Secret Net» 22
2.1.4 Система «Dallas lock» 25
2.1.5 Система защиты информации от НСД «Аккорд» 28
2.2 Проблематика настройки параметров технических средств защиты информации 30
3 Разработка методических рекомендаций по определению параметров настройки технических средств защиты информации 35
3.1 Оценка эффективности предложенного решения 52
Заключение 54
Список использованных источников 56
Определения и сокращения 57
Введение
Не составляет труда дать обоснование тезису о том, что техническое средство защиты информации не может быть одновременно простым и эффективным. Поскольку простота может быть достигнута или за счет невыполнения требований к достаточности набора механизмов защиты, применительно к условиям практического использования технических средств защиты информации, или за счет невыполнения требований к корректности решения отдельных задач защиты информации. И то и другое делает использование технического средства защиты информации бесполезным.
Учитывая, что проблема применения эффективных технических средств, которые решают задачи защиты информации, является проблемой высокой научно-технической сложности, очевидными становятся и высокие требования к квалификации сотрудников, осуществляющих обслуживание технических средств защиты. От компетентности администратора безопасности напрямую зависит эффективность настроек, а, следовательно, и функционирования технических средств защиты информации.
Помимо этого и ошибки настройки технических средств защиты информации могут повлечь успешное завершение атак на защищаемые ресурсы. Определение параметров технического средства защиты информации для его наибольшей эффективности в общем случае является непростой задачей. Из этого следует, что удобство администрирования, которое достигается за счет интерфейса настройки механизмов защиты, детально продуманного производителем средства защиты, а так же информированность администратора безопасности обо всех организационно-распорядительных документах организации, регламентирующих правила доступа, относятся к вопросу эффективности применения технических средств защиты информации.
Нормативно-правовые акты в области защиты информации, методические и нормативно-технические документы ФСТЭК и ФСБ России, а так же национальные стандарты в сфере защиты информации определяют требования и меры по защите информации, которые на 80% реализуются с помощью технических средств защиты информации.
В настоящее время настройка технических средств защиты информации не редко происходит по наитию администратора безопасности.
Кроме того, не редко при попытках упростить администрирование формируются некорректные решения настройки, влекущие за собой противоречия с правилами безопасности. В данном случае упрощение администрирования граничит с попыткой реализации простого решения, что непосредственно касается вопроса эффективного использования технических средств защиты и выполнения требований законов Российской Федерации в области защиты информации.
Исходя из этого выстраивается ряд задач, а именно:
– рассмотреть основы нормативных документов в области реализации мер защиты информации;
– провести анализ механизмов настройки существующих технических средств защиты информации;
– определить методы формирования параметров настройки технических средств защиты информации;
– разработать методические рекомендации для стандартизации определения параметров установки и настройки средств защиты информации.
Регламентация определения параметров настройки и установки технических средств защиты информации позволит сократить финансовые затраты на развертывание и администрирование технических средств защиты информации, облегчит внедрение, ускорит процесс обучения сотрудников, осуществляющих настройку и обслуживание технических средств защиты.
Разработанные методические рекомендации в практическом применении могут служить приложением к техническому проекту на создание системы защиты информации.
1 Система безопасности информации. Принципы создания системы защиты
-
Защищенность информации в информационной системе
Защищенность информационной системы – состояние системы обработки информации, при котором обеспечивается конфиденциальность, целостность, доступность и достоверность обрабатываемых в ней данных. Информационная система защищается с целью устранения случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам или пользователям информации и поддерживающей инфраструктуры. При реализации системы безопасности информации обеспечивается исключение возможности просмотра, изменения или уничтожения данных злоумышленниками, а так же устранение утечки данных через каналы побочных электромагнитных излучений и наводок при передаче между средствами вычислительной техники, которыми производится обработка защищаемой информации.
Для обеспечения защищенности информации на предприятии реализуется система информационной безопасности, на которую возлагается ряд функций, таких как:
– защита данных при их передаче по каналам связи;
– обеспечение защиты при хранении информации на различных носителях;
– восстановление информации после сбоев в информационной системе, создание резервных копий и т.д.
Создание и сопровождение системы безопасности информации предполагает последовательный и комплексный подход к защите. Благодаря сочетанию организационных и технических мер достигается сохранение системы защиты информации на предприятии в максимально эффективном состоянии, при котором происходит непрерывный контроль событий и состояний системы, способных влиять на параметры ее безопасности.
Процедуры применения организационных мер и технических средств по защите информации в информационной системе регламентируются нормативными документами в области защиты информации. На территории Российской Федерации нормативно – правовыми актами в области информационной безопасности являются акты федерального законодательства (Конституция Российской Федерации, постановления Правительства Российской Федерации, указы Президента Российской Федерации), методические документы государственных органов Российской Федерации (приказы ФСБ, руководящие документы ФСТЭК, доктрина информационной безопасности Российской Федерации), а так же стандарты информационной безопасности (национальные стандарты Российской Федерации, методические рекомендации, рекомендации по стандартизации).
В Федеральном законе от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» производится разделение информации на две категории:
– общедоступную информацию, доступ такой информации не ограничен законодательством;
– информация ограниченного доступа, данная информация определяется федеральными законами с целью защиты основ конституционного строя, здоровья, нравственности, прав и законных интересов других лиц.
Правительство Российской Федерации для операторов систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти, определило обязанность обеспечить:
– защиту информации от изменения, блокирования доступа к ней, уничтожения;
– постоянный контроль возможности доступа к информационной системе;
– для информационных систем общего пользования срок восстановления информации, измененной или уничтоженной в результате НСД, не должен составлять больше восьми часов;
– использование средств защиты, прошедших оценку соответствия, в том числе и сертификацию для установленных случаев, в порядке, который устанавливает законодательство Российской Федерации.
Таким образом, операторы государственных и муниципальных информационных систем обязаны для выполнения требований применять организационные мероприятия, направленные на обеспечение безопасности своих информационных ресурсов.
Организационные меры, регламентирующие функционирование информационной системы и системы защиты информации, содержат задокументированные правила и принципы, строго определяющие процесс работы информационной системы и обработки в ней информации различных видов. В состав организационных мероприятий зачастую включены действия по отбору персонала, обладающего достаточной квалификацией и знаниями для разработки, подготовки, администрирования и эксплуатации информационной системы и системы защиты информации.
Перечень мероприятий, направленных на обеспечение безопасности систем общего пользования изложен в приказе ФСБ России №416 и ФСТЭК России №484 от 31 августа 2010 года «Об утверждении требований о защите информации, содержащихся в информационных системах общего пользования» определяет следующие действия при формировании системы безопасности информации:
– обозначить границы, в которых будет реализовываться управление информационной безопасностью объекта (контролируемая зона);
– определить актуальные угрозы безопасности информации, на их основе разработать модель угроз;
– определить класс защищаемой информационной системы и, в соответствии с моделью угроз, разработать систему защиты информации;
– в соответствии с разработанным проектом системы защиты информации определить состав организационных и технических мер, применение которых необходимо для реализации разработанной политики безопасности;
– произвести тестирование установленных средств защиты информации, с формированием заключений о готовности их к вводу в эксплуатацию;
– в соответствии с технической и эксплуатационной документацией производится ввод в эксплуатацию и эксплуатация используемых средств защиты информации;
– обучение правилам работы с применяемыми средствами защиты информации сотрудников оператора, чьи должностные обязанности включают в себя обработку защищаемой информации;
– ведение аудита использованных средств защиты информации, а так же документации к ним;
– контроль соблюдения разработанной политики безопасности, документирование событий нарушения безопасности и методов их устранения.
При планировании системы защиты информации необходим системный подход, с учетом всех специфик работы организации. Существует ряд требований, которым должна отвечать система защиты информации, для своей максимальной эффективности. Процесс защиты информации в информационной системе должен быть:
– централизованным. Процесс управления системой защиты информации в информационной системе всегда имеет централизованный характер, несмотря на то, что структура системы защиты соответствует структуре объекта защиты;
– плановым. Для реализации взаимодействия всех подразделений организации для служб и отделов, участвующих в обработке защищаемой информации, разрабатываются планы защиты информации, в соответствии с компетенциями структурного подразделения и с учетом общей цели организации;
– конкретным и целенаправленным. Обеспечивается защита только конкретных информационных ресурсов, защита которых определена как обязательная или утрата которых может нанести ущерб организации;
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
