ДИПЛОМНАЯ РОБОТА
Разработка эффективных систем защиты информации в автоматизированных системах
Содержание
РЕФЕРАТ
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
ВВЕДЕНИЕ
1. АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
1.1 Общие понятия и определения в области проектирования защищенных автоматизированных систем
1.2 Классификация автоматизированных систем
1.2.1 Особенности АС класса 1
1.2.2 Особенности АС класса 2 и 3
1.2.3 Системы информационной безопасности
1.3 Порядок создания комплексной системы защиты информации
1.3.1 Анализ структуры автоматизированной информационной системы
1.3.2 Определение технического решения
1.3.3 Реализация и эксплуатация КСЗИ
Выводы по разделу 1
2. ОБОСНОВАНИЕ НАПРАВЛЕНИЙ СОЗДАНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
2.1 Оценка необходимости защиты информации от НСД
2.2 Требования к защите информации от НСД в АС
2.2.1 Требования к защите конфиденциальной информации
2.2.2 Требования к защите секретной информации
2.3 Основные принципы защитных мероприятий от НСД в АС
2.4 Математический анализ эффективности защитных мероприятий
Выводы по разделу 2
3. РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
3.1 Общие принципы оценки эффективности защитных мероприятий
3.2 Подход к оценке эффективности защитных мероприятий
Выводы по разделу 3
4. ВЫБОР ПУТЕЙ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
4.1 Выбор контролируемых параметров по максимальным значениям (с учетом защиты канала)
4.2 Выбор контролируемых параметров по заданному коэффициенту готовности
4.3 Выбор контролируемых параметров по максимальному значению вероятности безотказной работы после проведения диагностики
4.4 Оценка оптимального времени между проведением функциональных проверок информационного канала
Выводы по разделу 4
5. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ИСПОЛЬЗОВАНИЮ УСТРОЙСТВ, МЕТОДОВ И МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
5.1 Организационные мероприятия
5.1.1 Рекомендации по категорированию информации в информационной системе предприятия
5.1.2 Рекомендации по категорированию пользователей информационной системы предприятия
5.2 Инженерно-технические мероприятия
5.2.1 Рекомендации по устранению несанкционированного использования диктофона
5.2.2 Рекомендации по защите информации постановкой помех
5.3 Рекомендации по защите информации, обрабатываемой в автоматизированных системах
Выводы по разделу 5
ОХРАНА ТРУДА
Методы защиты от электромагнитных полей
Электробезопасность
ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ
ВЫВОДЫ И РЕКОМЕНДАЦИИ
СПИСОК ИСТОЧНИКОВ
ПРИЛОЖЕНИЕ А. Основные инструкции и правила для пользователей и обслуживающего персонала
А.1 Инструкция пользователя по соблюдению режима информационной безопасности
А.1.1 Общие требования
А.1.2 Работа в автоматизированной информационной системе
А.2 Инструкция по безопасному уничтожению информации и оборудования
А.3 Правила парольной защиты
А.4 Правила защиты от вредоносного программного обеспечения
А.5 Правила осуществления удаленного доступа
А.6 Правила осуществления локального доступа
ПРИЛОЖЕНИЕ Б. Рекомендуемые современные средства поиска от утечки и защиты информации в помещениях
Комплекс контроля радиоэлектронной обстановки и выявления средств несанкционированного съема информации ТОР
Анализатор проводных коммуникаций LBD-50
Комплекс виброакустической защиты объектов информатизации 1-й категории БАРОН
Телефонный модуль для комплексной защиты телефонной линии от прослушивания ПРОКРУСТ-2000
Система защиты информации Secret Net 4.0
Пояснювальна записка до випускної кваліфікаційної роботи спеціаліста «Розробка ефективних систем захисту інформації в автоматизованих системах» складається з 117 стор., містить 11 малюнків, 7 таблиць, перелік посилань з 43 найменувань.
Об’єкт дослідження – комплексна система захисту інформації в автоматизованих системах.
Метод дослідження – системний аналіз методів та засобів захисту інформації від витоку.
В результаті виконання ВКР спеціаліста проаналізовано: нормативно-правову базу та сучасні підходи в галузі проектування комплексних систем захисту інформації, запропоновано підхід щодо оцінки ефективності проведення захисних заходів в автоматизованих системах, проведений математичний аналіз ефективності захисних заходів, запропоновані шляхи щодо покращення захисних заходів від НСД в автоматизованих системах. Розроблені рекомендації щодо методів організаційного та інженерно-технічного захисту інформації в автоматизованих системах
Результати виконаної ВКР спеціаліста рекомендується використовувати для досліджень, що проводяться студентами в навчальному процесі та для обґрунтування системи захисту інформаційної системи на підприємстві.
Ключові слова: АВТОМАТИЗОВАНА СИСТЕМА, ІНФОРМАЦІЙНА БЕЗПЕКА, КОМПЛЕКСНА СИСТЕМА.
ABSTRACT
Explanatory message to final qualifying work of specialist «Development of the effective systems of priv in CASS» consists of 117 р., contains 11 pictures, 7 tables, list of references from 43 names.
A research object is the complex system of priv in CASS.
A research method is an analysis of the systems of methods and facilities of priv from a source.
As a result of implementation of final qualifying work of specialist is analyzed: normatively legal base and modern approaches in industry of planning of the complex systems of priv, offered approach in relation to the estimation of efficiency of lead through of protective measures in CASS, the mathematical analysis of efficiency of protective measures is conducted, offered ways in relation to the improvement of protective measures from NSD in CASS. The developed recommendations are in relation to the methods of organizational and technical priv in CASS
The results of executed final qualifying work of specialist it is recommended to draw on for researches which are conducted students in an educational process and for the ground of the system of defense of the informative system on an enterprise.
Keywords: CAS, INFORMATIVE SAFETY, COMPLEX SYSTEM.
АИС (АС) – Автоматизированная информационная система
ВТСС – Вспомогательные технические средства и системы
ГСССЗИ – Государственная служба специальной связи и защиты информации
ЗМ – Защитные мероприятия
ЗП – Защищаемое помещение
ИТС – Информационно-телекоммуникационная система
КЗ – Контролируемая зона
КСЗИ – Комплексная система защиты информации
НСД – Несанкционированный доступ
ОТСС – Основные технические средства и системы
СВТ – Средства вычислительной техники
СИБ – Системы информационной безопасности
СЗИ – Системы защиты информации
ТЗ – Техническое задание
ТРП – Техническо-рабочий проект
ЭВМ – Электронно0вычислительная машина
Информационная безопасность – сравнительно молодая, быстро развивающаяся область информационных технологий. Словосочетание информационная безопасность в разных контекстах может иметь различный смысл. Состояние защищенности национальных интересов в информационной сфере определяется совокупностью сбалансированных интересов личности, общества и государства.
Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Вместе с тем, защита информации – это комплекс мероприятий направленных на обеспечение информационной безопасности.
С методологической точки зрения правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Говоря о системах безопасности, нужно отметить, что они должны не только и не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять и делегировать их полномочия в совместном решении задач, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации и устранять их последствия, гибко адаптируя структуру в условиях отказов, частичной потери или длительного блокирования ресурсов.
Не стоит, однако, забывать об экономической целесообразности применения тех или иных мер обеспечения безопасности информации, которые всегда должны быть адекватны существующим угрозам.
Параллельно с развитием средств вычислительной техники и появлением все новых способов нарушения безопасности информации развивались и совершенствовались средства защиты. Необходимо отметить, что более старые виды атак никуда не исчезают, а новые только ухудшают ситуацию. Существующие сегодня подходы к обеспечению защиты информации несколько отличаются от существовавших на начальном этапе. Главное отличие современных концепций в том, что сегодня не говорят о каком-то одном универсальном средстве защиты, а речь идет о КСЗИ, включающей в себя: