Проектирование системы контроля и управления доступом на предприятии ...

Современные информационные технологии играют важнейшую роль в коммерции и бизнесе, но одной из наиболее серьезных проблем, препятствующих их повсеместному внедрению, является обеспечение защиты информации, в том числе защиты персональных данных граждан и сведений, составляющих коммерческую тайну –данные поставщиков, клиентов, сотрудников организации, используемые программные продукты и базы данных. Актуальность проблемы защиты коммерческих данных сегодня не вызывает сомнений. Доступ физических лиц к базам данных усиливают риск вторжения в сферу частной жизни и нарушения права на ее неприкосновенность. Защита коммерческих данных является одной из наиболее острых проблем в информатизации организаций коммерческой области. Одним из деятельных методов обеспечение безопасности коммерческих данных является разработка
Защита персональных данных, как части коммерческой информации, наряду с другими задачами, которые решает система разграничение доступа, в связи с требованиями Федерального закона №152 «О персональных данных», в последнее время затрагивает и интересы граждан, которым принадлежат персональные данные охраняемые законом. С одной стороны, с принятием закона, значительно вырос рынок услуг по обеспечению информационной безопасности, технических и программных средств защиты. С другой стороны, для операторов персональных данных наступили тяжелые времена. И чем более не проработаны вопросы защиты персональных данных в законе и подзаконных актах, тем сложнее их защитить.
В связи с этим, в качестве предметной области для работы задана область деятельности хозяйствующего субъекта ООО «Меридиан». Целью данной работы является разработка системы разграничения доступа в ООО «Меридиан».
В ходе работы будут решены следующие задачи:
1. Анализ информационной системы и циркулирующей в ней информации.
2. Анализ требований российского законодательства в области защиты конфиденциальной информации в коммерческих учреждениях.
3. Разработка комплексной системы защиты коммерческой информации, включающую разработку системы разграничения доступа, организационных мер, а так же инженерно-технических решений, направленных на повышение уровня информационной безопасности.
4. Разработка рекомендаций по внедрению системы разграничения доступом.
5. Оценка экономической эффективности предлагаемых решений.
Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы и приложения.
Первая глава посвящена анализу рассматриваемой информационной системы, составлению модели актуальных угроз. Во второй главе даны проектные решению по созданию системы разграничения доступа. Разработаны рекомендации по устранению угроз. В третьей главе рассматривается механизм внедрения системы защиты и выполненотехнико-экономическое обоснования целесообразности внедрения, разработанной системы разграничения доступа. 

СПИСОК СОКРАЩЕНИЙ 3
ВВЕДЕНИЕ 4
1 АНАЛИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ ХОЗЯЙСТВУЮЩЕГО СУБЪЕКТА КАК ОБЪЕКТА ЗАЩИТЫ 6
1.1 Анализ организационно-функциональной структуры предприятия 6
1.2 Анализ схемы локально вычислительной сети организации 9
1.3 Анализ информационных потоков организации 12
1.4 Разработка модели угроз и уязвимостей 16
Выводы 17
2 РАЗРАБОТКА СИСТЕМЫ КОНТРОЛЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ 19
2.1 Анализ нормативно-правовой базы защиты конфиденциальной информации в информационной системе и на автоматизированных рабочих
местах 19
2.2 Разработка комплекса правовых и организационных документов 24
2.3 Разработка комплекса технических мероприятий 24
2.4 Разработка комплекса программно-аппаратных мероприятий 32
Выводы 34
3 ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРЕДЛОЖЕННЫХ РЕШЕНИЙ 36
3.1 Выбор средств защиты информации 36
3.2 Рекомендации по внедрению и настройке защиты информации 39
3.3 Экономическое обоснование 50
Выводы 54
ЗАКЛЮЧЕНИЕ 55
СПИСОК ЛИТЕРАТУРЫ 58

В ходе выполнения дипломной работы были достигнуты все поставленные задачи:
1. Анализ информационной системы и циркулирующей в ней информации.
Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о клиентах, поставщиках товаров, отчетах о продажах и персональных данных сотрудников предприятия и клиентов. Такие данные являются персональными, контроль над обработкой таких данных осуществляется государством. В Российской Федерации существует законодательная база регулирующая область защиты конфиденциальной информации.
2. Анализ требований российского законодательства в области защиты конфиденциальной информации и персональных данныхв коммерческих учреждениях.
Не смотря на то, что законодательная база для защиты информации существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение информационной системы, рассматриваемой в дипломном проекте, в соответствие со всеми требованиями является основной задачей для компании. Обработка конфиденциальной информации является необходимым обеспечением правильного функционирования всех бизнес процессов компании ООО «Меридиан». Соответствие требованиям особо актуально ввиду обработки данных,касающегося персональных данных клиентов, поставщиков, и сотрудников.
Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Для устранения списка угроз необходимо создание комплексной системы защиты, а именно решения по обеспечению комплексной безопасности конфиденциальной информации при ее обращении в информационной системе ООО «Меридиан».
3. Разработка рекомендаций по изменению структуры информационной системы.
На первом этапе было были выделены бизнес-процессы, организации, на основании которых сформированы информационные активы предприятия. Затем составлено все множество уязвимостей и угроз для информационных активов. После этого было проведено сужения круга информационных активов нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе которой, с использованием руководящих документов ФТЭК, составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети.
4. Разработка системы разграничения доступом.
В первом разделе была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требованиям государственных нормативных регуляторов.
5. Разработка рекомендаций по внедрению системы защиты персональных данных.
В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты информационной системы персональных данных. Для чего были выбраны необходимые мероприятия. Так же были даны рекомендации по применению комплексной системы защиты информации ООО «Меридиан». Оценена сумма совокупного владения системой. Для рассматриваемой системы были выбраны следующие технические средства:
– система защиты информации SecretNet 6.5;
– аппаратно-программный комплекс шифрования «Континент»;
– сервер контроля доступа TrustAccess;
- антивирус SecurityStudioEndpointProtection .
 

1. Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с.
2. БачилоИ.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.
3. Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 с
4. БиячуевТ.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.
5. Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил.
6. БождайА.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.
7. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 с
8. ГайдамакинН.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.
9. Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.
10. Государственный стандарт Российской Федерации ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
11. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
12. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
13. ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
14. ДомаревВ.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИДДиа Софт, 2004. –992 с.
15. Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере; Форум - Москва, 2014. - 368 c.
16. Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации; Форум - Москва, 2011. - 256 c.
17. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.
18. Мельников, Виталий Викторович Защита информации в компьютерных системах; М.: Финансы и статистика; Электроинформ - Москва, 2010. - 368 c.
19. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)
20. Некраха А. В., Шевцова Г. А. Организация конфиденциального делопроизводства и защита информации; Академический Проект - , 2011. - 224 c.
21. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
22. Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.
23. Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
24. Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
25. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
26. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
27. Северин В. А. Комплексная защита информации на предприятии; Городец - Москва, 2013. - 368 c.
28. Спесивцев, А.В.; Вегнер, В.А.; Крутяков, А.Ю. Защита информации в персональных ЭВМ; М.: Радио и связь - Москва, 2012. - 192 c.
29. Судоплатов А.П., Пекарев СВ. Безопасность предприниматель-ской деятельности: Практическое пособие. VI.: 2001.
30. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г.
31. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.12.2013) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.02.2014).
32. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) "О персональных данных"
33. Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 28.12.2013)