ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к курсовому проекту
на тему: Исследование способов комплексной защиты информации в АСУ
Ростов-на-Дону
2007
Задание на курсовую работу
студенту группы
фамилия, имя, отчество полностью
Тема работы: Способ и устройство обнаружения аномалий в сетях
1. Исходные данные: Регламентирующие документы Гостехкомиссии РФ по обеспечению информационной безопасности
1.1 Руководящий документ «Программное обеспечение средств защиты информации классификация по уровню контроля отсутствия недекларированных возможностей».
1.2 РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
2. Содержание расчетно-пояснительной записки (перечень вопросов, подлежащих разработке)
2.1 Лицензирование, сертификация
2.2 Нормативные документы по защите информации
2.3 проектирование АС в защищенном исполнении
2.4 внедрение АС в защищенном исполнении
2.5 эксплуатация АС в защищенном исполнении
2.6 Оценка угроз для информационных потоков в АСУ
2.7Методы защиты информационных потов в АСУ
3. Консультанты по работе (указанием относящихся к ним разделов работы)
4. Срок сдачи студентом законченной работы
5. Дата выдачи задания
Руководитель
(подпись)
Задание принял к исполнению
Студент
(подпись)
Содержание
Введение
Специальные исследования
1. Лицензирование, сертификация и аттестация
1.1 Лицензирование
Нормативные документы по защите информации
Вопросы проектирования, внедрения и эксплуатации АС в защищенном исполнении eSafe Protect - комплексная безопасность при работе в Интернет
Безопасное подключение к Internet в торговой компании «Смарт-Трейд
Выводы
Список используемой литературы
Специальные исследования
Специальные исследования - это работы, которые проводятся на объекте эксплуатации технических средств обработки информации с целью определения соответствия принятой системы защиты информации требованиям стандартов и других нормативных документов, а также для выработки соответствующих рекомендаций по доведению системы защиты до требуемого уровня.
Специальные исследования могут предшествовать аттестации объекта или совмещаться с нею.
Специальным исследованиям подвергаются ОТСС ВТСС и выделенные помещения (ВП). Объем, в котором производятся, специследования определяется соответствующими руководящими документами, на основании которых разрабатываются, утверждаются и согласовываются методики специальных исследований. По результатам проведенных спец.исследований оформляются соответствующие протоколы измерении. Итоговым документом по результатам специи следовании является Предписание на эксплуатацию техническою средства (выделенного помещения), в котором указываются требования по обеспечению защищенности технического средства обработки информации (выделенного помещения) в процессе его эксплуатации.
Информация давно перестала быть просто необходимым для производства вспомогательным ресурсом или побочным проявлением всякого рода деятельности. Она приобрела ощутимый стоимостный вес, который четко определяется реальной прибылью, получаемой при ее использовании, или размерами ущерба, с разной степенью вероятности наносимого владельцу информации. Однако создание индустрии переработки информации порождает целый ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях. Данная проблема вошла в обиход под названием проблемы защиты информации.
Говоря о защите информации, вводят следующую классификацию тайн по шести категориям: государственная тайна, коммерческая тайна, банковская тайна, профессиональная тайна, служебная тайна, персональные данные. В докладе речь пойдет о защите информации, содержащих сведения категории коммерческая тайна.
В данном случае режим защиты устанавливается собственником информационных ресурсов.
Зачем надо защищаться?
Ответов на этот вопрос может быть множество, в зависимости от структуры и целей компании. Для одних первой задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т.д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить внимание на ее целостности. Например, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений. Для третьих компаний на первое место поднимается задача обеспечения доступности и безотказной работы информационных систем. Например для провайдера Internet-услуг.
Расставить такого рода приоритеты можно только по результатам анализа деятельности компании.
Обычно, когда речь заходит о безопасности компании, ее руководство часто недооценивает важность информационной безопасности. Основной упор делается на физическую безопасность (пропускной режим, охрану, систему видеонаблюдения и т.д.). Однако, за последние годы ситуация существенно изменилась. Для того, чтобы проникнуть в тайны компании, достаточно проникнуть в информационную систему или вывести из строя какой-либо узел корпоративной сети. Все это приведет к огромному ущербу. Причем не только к прямому ущербу, но и к косвенному. И так:
Защита информации - это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.
Деятельность в области защиты информации подлежит лицензированию. Постановлением Правительства РФ № 333 от 15.04.1995г утверждено Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Действует также Положение о государственном лицензировании деятельности в области защиты информации, утвержденное Решениями ГТК и ФАПСИ. Настоящие Положения устанавливают основные принципы, организационную структуру системы государственного лицензирования деятельности юридических лиц - предприятий независимо от их организационно-правовой формы по защите информации, циркулирующей в технических средствах и помещениях, а также порядок контроля за деятельностью предприятий, получивших лицензию. Деятельность системы лицензирования организуют государственные органы по лицензированию, которыми являются ГТК и ФАПСИ. Каждая из этих организаций осущ ествляет лицензирование по определенным видам деятельности в области защиты информации.
П Е Р Е Ч Е Н Ь
ВИДОВ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИХ ЛИЦЕНЗИРОВАНИЮ ГОСТЕХКОМИССИЕЙ РОССИИ
1. Сертификация, сертификационные испытания защищенных ТСОИ, технических средств защиты информации
2. Аттестация систем информатизации, автоматизированных систем управления
3. Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации
4. Проведение специсследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ
5. Проектирование объектов в защищенном исполнении
6. Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне
П Е Р Е Ч Е Н Ь
ВИДОВ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИХ ЛИЦЕНЗИРОВАНИЮ ФАПСИ
1. Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт шифровальных средств
2. Эксплуатация негосударственными предприятиями шифровальных средств
3. Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт систем и комплексов телекоммуникаций
4. Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне
К предприятиям-заявителям на право получения лицензии предъявляются требования по:
· Уровню квалификации специалистов;
· Наличию и качеству измерительной базы;
· Наличию и качеству произвводственных помещений;
· Наличию РСО и обеспечению охраны мат.ценностей и секретов заказчика.
П О Л О Ж Е Н И Е
о сертификации средств защиты информации по требованиям безопасности информации
1. Положение устанавливает, основные принципы, организационную структуру системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств защиты по требованиям безопасности информации
2. Целями создания системы сертификации являются: обеспечение реализации требований государственной системы защиты информации; создание условий для качественного и эффективного обеспечения потребителей сертифицированными средствами защиты информации; обеспечение национальной безопасности в сфере информатизации; содействие формированию рынка защищенных информационных технологий и средств их обеспечения; формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современных требований по защите информации, поддержка проектов и программ информатизации.
3. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается Гостехкомиссией России и согласовывается с Межведомственной комиссией по защите государственной тайны. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.