Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Abstract

The aim of this work is to create an information security policy with the Inspectorate of the Federal Tax Service for Industrial district of Khabarovsk, which is presented in the form of rules and procedures to protect the information in the information system. In addition, the instructions to ensure information security for officials of the organization have been developed taking into account requirements developed policies and regulations. The documents produced to help staff in the performance of their duties.

In the first part of this work were described by the concept of information security and information security policy, the steps for creating an information security policy within the organization.

The second part contains a description of the methodology development of rules and procedures for the implementation of information security measures in the information system. Also presents the characteristics of the information system.

Содержание

Введение 4

1 Роль, место и значение политики информационной безопасности в организации…………………………………………………………………………………. 6

2 Методика разработки правил и процедур по реализации мер защиты информации в информационной системе, определенных ФСТЭК России и обязательных для исполнения 21

2.1 Параметры и характеристики автоматизированной информационной системы Федеральной налоговой службы России «Налог-3» 21

2.2 Описание методики 23

2.2.1 Меры по идентификации и аутентификации субъектов доступа и объектов доступа 26

2.2.2 Меры по управлению доступом субъектов доступа к объектам доступа …………….……………………………………………………………………30

2.2.3 Меры по ограничению программной среды 38

2.2.4 Меры по защите машинных носителей информации 40

2.2.5 Меры по регистрации событий безопасности 42

2.2.6 Меры по антивирусной защите 45

2.2.7 Меры по обнаружению (предотвращению) вторжений 45

2.2.8 Меры по контролю (анализу) защищенности информации 46

2.2.9 Меры по обеспечению целостности информационной системы и информации 46

2.2.10 Меры по обеспечению доступности информации 47

2.2.11 Меры по защите среды виртуализации 47

2.2.12 Меры по защите технических средств 47

2.2.13 Меры по защите информационной системы, ее средств, систем связи и передачи данных 48

Заключение 49

Список используемых источников 50

Приложение А 52

Введение

Информация все больше наполняет жизнь современного человека, который шаг за шагом вступает в информационную цивилизацию. На данный момент не многие могут усомниться в главенствующей роли информации в теории связи и коммуникации, в теории управления, теории искусственного интеллекта. А термины «информационный процесс», «эпоха информации», «глобальная информационная революция», все чаще можно встретить в средствах массовой информации, а не только в научно-технических материалах, как это было раньше. Все это подтверждает наступление новой эры, где объективным началом и основанием стала информация. Начиная с 90-х годов прошлого века, научный и технический прогресс сопровождается все более сложным и обширным анализом всевозможных свойств информации.

В настоящее время информационное пространство стремительно прогрессирует, организовываются новые системы передачи информации, совершенствуются сети мобильной связи, телевидение и другие части информационной инфраструктуры, предоставляющие возможность для обмена информацией внутри страны, а также с зарубежными источниками информации. Возрастает число пользователей сети Интернет. Органы государственной власти создали официальные интернет - представительства. Вышесказанное позволяет непрерывно увеличивать возможности граждан по воплощению их прав на получение и передачу информации, что обеспечивает совершенствование личности и общества, а также развитие государственного механизма.

Массовая информатизация современного общества стала причиной роста актуальности знаний нравственно-этических норм и правовых основ применения средств новых информационных технологий в будничной работе. Наглядно демонстрирует потребность в защите информации и обеспечении информационной безопасности возрастающее количество разнообразных сообщений о компьютерных взломах, компьютерном пиратстве и о новых атаках компьютерных вирусов. С учетом вышесказанного могу с уверенностью сказать, что выбранная тема выпускной квалификационной работы является актуальной.

Что же такое защита информации? Защита информации, в широком смысле, представляет собой комплекс правовых, организационных и технических мер, направленных на предотвращение угроз информационной безопасности и устранение их последствий. Сущность защиты информации состоит в выявлении, устранении или нейтрализации негативных источников, причин и условий воздействия на информацию. Эти источники составляют угрозу безопасности информации.

Защита информации в информационной системе осуществляется с помощью организационных и технических мер защиты информации, реализуемых в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы. Эти меры прописаны в Приказе ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", зарегистрированном Минюстом России 31.05.2013 под номером 28608 [1]. Стоит отметить, что построение эффективной системы защиты информации организации подразумевает не просто выполнение таких мер, а устранение нюансов по реализации этих мер посредством разработки правил и процедур защиты информации в информационной системе конкретной организации, где меры интерпретируются для данной организации.

1 Роль, место и значение политики информационной безопасности в организации

Информация стала независимым ресурсом любой деятельности, и поэтому, как и любой ресурс, она нуждается в защите и обеспечении ее сохранности, целостности и безопасности. Информация может быть представлена в различных формах: храниться на бумаге или в электронном виде, передаваться по почте, факсу, телефону или любым другим способом, демонстрироваться на пленке или же выражена устно.

С каждым годом информационные технологии все больше развиваются и проникают во все сферы деятельности человека. В связи с эти проблемы информационной безопасности становятся всё более и более актуальными – и одновременно более сложными. Постоянно развиваются технологии обработки информации, при этом меняются и практические методы обеспечения информационной безопасности.

Информационная безопасность защищает информацию от многочисленных угроз для обеспечения непрерывности бизнеса, уменьшения риска бизнеса, осуществления потенциальных возможностей бизнеса и получения максимальной отдачи от инвестиций.

Информационная безопасность реализуется через создание соответствующего набора мер и средств контроля и управления, которые выражаются процессами, процедурами, политиками, организационными структурами, настройками средств, как аппаратных, так и программных. После создания и реализации меры и средства контроля и управления должны подвергаться мониторингу и анализу и, при необходимости, совершенствоваться, для обеспечения уверенности в том, что цели бизнеса выполняются и достигнута определенная степень безопасности [4].

Так что же такое информационная безопасность? Под информационной безопасностью будем понимать защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, связанных с причинением ущерба пользователям или владельцам информации [7].

Целью информационной безопасности является безопасность ценности системы, ее защита и гарантия точности и целостности информации и минимизация разрушений, возникающих при модификации или уничтожении информации.

Выделяются три основные составляющие информационной безопасности [10]:

• доступность (способность системы предоставлять своевременный беспрепятственный доступ авторизированных пользователей к информации);

• целостность (главное из свойств информации, характеризует ее устойчивость при случайном или преднамеренном удалении или несанкционированном изменении);

• конфиденциальность (свойство информации быть известной и доступной, только правомочным субъектам системы (пользователям, программам, процессам)).

Иногда выделяют и другие не всегда обязательные составляющие информационной безопасности:

• достоверность – свойство соответствия предусмотренному поведению или результату;

• неотказуемость – невозможность отказа от авторства;

• подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий;

• аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Необходимость информационной безопасности

Информация, информационные процессы, сети и системы являются ценными деловыми активами. Исследование, реализация, поддержка и совершенствование информационной безопасности играют большую роль для сохранения доходов, конкурентоспособности, денежного оборота, соблюдения законов и норм.

Информационные системы и сети организаций, да и сами организации, подвержены большому количеству разнообразных атак: шпионаж, саботаж, мошенничество, а также пожар, наводнение и другие стихийные бедствия. Все большую популярность получают источники ущерба организации, например компьютерное хакерство, вредоносный код и атаки типа отказа в обслуживании, становясь все более изощренными и опасными.

Как в государственном, так и в частном секторах бизнеса информационная безопасность способствует использованию, например, «электронного правительства» или «электронного бизнеса» и способствует снижению соответствующих рисков. Дополнительные трудности при управлении доступом к информации создает взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов. Стремление использовать распределенную обработку данных снижает эффективность централизованного контроля.

Один из нюансов обеспечения информационной безопасности – при проектировании большинства информационных систем проблемы, связанные с безопасностью, попросту не учитывались. С помощью технических средств можно обеспечить уровень безопасности с рядом ограничений и, следовательно, поддерживать его нужно надлежащими процессами и управлением. Выбор требуемых мер и средств контроля и управления требует детального планирования. Менеджмент информационной безопасности требует участия всех сотрудников организации. Помимо этого, может появиться необходимость участия поставщиков, акционеров, клиентов, представителей третьей стороны. Также может возникнуть необходимость в консультациях специалистов сторонних организаций.

Требования к информационной безопасности

Каждой организации необходимо установить требования к информационной безопасности. Выделяют три главных источника требований безопасности. Один из источников формируется из оценки рисков организации с учетом стратегии организации и цели бизнеса. С помощью оценки рисков определяются угрозы активам организации, после этого оцениваются уязвимости, вероятности возникновения угроз и возможные последствия. Законодательные, правовые, договорные и нормативные требования выступают вторым источником. Этим требованиям должны удовлетворять, как сама организация, так и ее партнеры, подрядчики и поставщики услуг, а также их среда общения. Еще один источник – определенный набор принципов, требований и целей бизнеса для обработки информации, разработанный для поддержки деятельности организации.

Формирование режима информационной безопасности является комплексной проблемой. Меры по ее решению можно разделить на четыре уровня [12]:

• законодательный (законы, нормативные акты, стандарты и т.п.);

• административный (действия общего характера, предпринимаемые руководством организации);

• процедурный (конкретные меры безопасности, имеющие дело с людьми);

• программно-технический (конкретные технические меры).

Оценка и обработка рисков информационной безопасности

Требования безопасности определяются посредством регулярной оценки рисков. Затраты на меры и средства контроля и управления должны быть сопоставимы с предполагаемым ущербом для бизнеса при отказе от обеспечения безопасности.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР