Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти

Министерство  образования и науки Российской Федерации

 

 

Факультет Компьютерных технологий и информационных систем

Кафедра Организации  и технологии защиты информации

Специальность 090103 «Организация и  технология защиты информации»

 

 

 

 

ДИПЛОМНАЯ РАБОТА

 

на тему: «Комплексное обеспечение информационной безопасности в территориальном органе исполнительной власти»

 

 

 

                             

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                                      Иркутск 2008

                                                                                            АННОТАЦИЯ

 

    Дипломная работа на тему "Комплексное обеспечение информационной безопасности в Федеральном территориальном органе исполнительной власти" состоит из трёх глав и приложений. Объем работы 64 страницы. В работе имеется две таблицы.

  В первой главе "Анализ комплексной системы защиты информации в Управлении" проводится общий анализ комплексной системы защиты информации (КСЗИ) Управления, изложена характеристика и объекты защиты Управления, рассмотрена политика информационной безопасности.

   Во второй главе " Понятие комплексной системы защиты информации и принципы её функционирования" изложены и тщательно рассмотрены направления КСЗИ, а также основные этапы и принципы построения КСЗИ.

   В третьей главе "Анализ и рекомендации по улучшению КСЗИ" содержится описание программной реализации, рекомендации, предложения по улучшению и более эффективному функционированию КСЗИ и совершенствованию работы службы безопасности.

 

    Работа выполнена на базе Управления Россвязьохранкультуры по Иркутской области и УОБАО (Усть-Ордынский Бурятский автономный округ). При написании работы использованы законодательные акты, учебная и учебно-методическая литература, материалы данного учреждения.

 

                                           СОДЕРЖАНИЕ

Введение…………………………………………………………………………4

ГЛАВА 1. АНАЛИЗ КСЗИ В УПРАВЛЕНИИ РОССВЯЗЬОХРАНКУЛЬТУРЫ

1.1 Характеристика Управления  и объектов его защиты………………….…..7

1.2 Анализ системы защиты информации в Управлении…………………….13

1.2.1 Функции отдела контроля по обеспечению безопасности……………..16

1.2.2 Инженерно- техническая защита Управления…………………………..18

ГЛАВА 2. ПОНЯТИЕ  КСЗИ И ПРИНЦИПЫ ЕЁ ФУНКЦИОНИРОВАНИЯ

2.1 Направления комплексной системы защиты информации……………….20

2.2 Принципы построения комплексной системы защиты информации.........38

2.3 Основные этапы построения КСЗИ……………………….………………..42

ГЛАВА 3. АНАЛИЗ И РЕКОМЕНДАЦИИ ПО УЛУЧШЕНИЮ КСЗИ.

3.1 Сравнение и анализ КСЗИ Управления Россвязьохранкультуры

      по Иркутской области и УОБАО с теоретической базой………………...53

         Сравнение правового направления……………………………………...53

          Сравнение  организационного направления…………………………….54

          Сравнение инженерно-технического  направления…………………….55

2. Разработка рекомендаций по совершенствованию работы СБ………….56

Заключение………………………………………………………………………62

Список литературы……………………………………………………………...64

Приложения

 

 

 

                                                       

 

 

 

 

                                                         Введение

 

    Во  всём  мире  информация  как  результат  научно-технической  и коммерческой   деятельности  представляется  очень  дорогостоящим товаром.  Поэтому  проблема защиты информации является актуальной как  для  государственных,  так  и  для  коммерческих  структур. Информационная  безопасность выступает важным составным элементом системы   безопасности,   и   от   её  состояния  будет  зависеть безопасность организации в целом.

    Проблемы и задачи крупных компаний сегодня стали сравнимы с проблемами и задачами целых государств. Как и государства, они сотрудничают и воюют. Но войны здесь носят название информационных: кто обладает информацией, владеет если не миром, то финансовыми потоками.

    Как ни странно, сегодня не многие руководители предприятий и организаций осознают насущную необходимость в организации на предприятии комплексной системы защиты информации для обеспечения его информационной безопасностью. Из числа тех, кто осознает такую необходимость, есть те, которые не знают, что следует предпринять, чтобы сохранить те или иные сведения в тайне, с выгодой реализовать их, не понести убытки от их утечки или утраты. Многие идут только по пути оснащения предприятия техническими средствами защиты, полностью игнорируя организационно-правовые методы, в частности создание нормативно-правовой базы, принятие и строгое соблюдение которой позволит предприятию сохранить и использовать с выгодой свои секреты.

Известно, что только «комплексная система может гарантировать достижение максимальной эффективности защиты информации, т.к. системность обеспечивает необходимые составляющие защиты и устанавливает между ними логическую и технологическую связь, а комплексность, требующая полноты этих составляющих, всеохватности защиты, обеспечивает ее надежность» [4]. Сущность защитных мероприятий сводится к перекрытию возможных каналов утечки защищаемой информации, которые появляются в силу объективно складывающихся условий ее распространения и возникающей у конкурентов заинтересованности в ее получении.

    Изучение  и анализ современных методологических подходов к обеспечению информационной безопасности показывает актуальность применения именно комплексных систем защиты информации (КСЗИ), соединяющих в себе локальные системы защиты информации в единое целое. Каждая из таких локальных подсистем может представлять то или иное направление защиты: организационное, правовое, инженерно-техническое, программное, криптографическое, но основная роль системы характеризуется как объединительная.

Именно комплексной  системе защиты информации уделяется  пристальное внимание и в изучении, и в применении на практике. Комплексная  система защиты информации рассматривается  как «совокупность средств, методов  и мероприятий, технического, организационного, правового, программного и криптографического характера, используемых во взаимодействии и на регулярной основе органами, обеспечивающими в соответствии с нормативными документами защиту информации на объекте, и направленных на достижение основных целей защиты информации» [8].

    КСЗИ  технологически должна строится  таким образом, чтобы сами процессы  защиты информации на объекте  носили регулярный характер и  охватывали все этапы функционирования  объекта, начиная от создания  и заканчивая ликвидацией, а  кроме того, обеспечивали защиту носителей информации во всех компонентах её сбора, хранения, обработки и передачи при всех режимах функционирования объекта.

    Для нормального  функционирования предприятия или  организации необходим не только  комплекс защитных мер и мероприятий, но и необходим постоянный приток информации, который в дальнейшем реализуется в производственные процессы. Информационные ресурсы не только оптимизируют работу персонала, но и становятся необходимым фактором успешного функционирования.

Цель дипломной работы – анализ комплексной системы защиты информации в Федеральном территориальном органе исполнительной власти.

Для достижения поставленной цели необходимо выделить и решить следующие задачи:

1. изучить этапы построения комплексной системы защиты информации;
2. проанализировать систему защиты информации в территориальном органе исполнительной власти;
3. разработать рекомендации по улучшению и дальнейшему усовершенствованию КСЗИ.

 

 

 

                         

 

 

 

 

 

 

 

 

 

 

 

 

 

                             ГЛАВА 1. АНАЛИЗ КСЗИ В УПРАВЛЕНИИ

1.1 Характеристика Управления Россвязьохранкультуры по Иркутской области и УОБАО и объектов его защиты

 

Управление Россвязьохранкультуры по Иркутской области является государственным органом, находящимся в подчинении Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Россвязьохранкультура).

Полное наименование - Управление Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Иркутской области и УОБАО. Сокращенное наименование - Управление Россвязьохранкультуры по Иркутской области и УОБАО.

Управление при осуществлении  своей деятельности руководствуется  Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, международными договорами Российской Федерации, правовыми актами Россвязьохранкультуры по вопросам, отнесенным к компетенции Россвязьохранкультуры, а также Положением об Управлении  Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Иркутской области и УОБАО. Гражданско-процессуальное, Трудовое, финансовое право, Административное законодательство в области связи, налоговое, Арбитражно-процессуальное право, Экологическое законодательство.

Управление осуществляет свою деятельность во взаимодействии с другими территориальными органами федеральных органов исполнительной власти на территории Иркутской области, органами исполнительной власти Иркутской области, органами местного самоуправления, общественными объединениями и иными организациями.

Управление является межрегиональным органом Россвязьохранкультуры в 2-х субъектах Российской Федерации и осуществляет возложенные на него полномочия на территории Иркутской области и Усть-Ордынского бурятского автономного округа (далее - территория деятельности) на основании Положения  об Управлении  Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по Иркутской области.

По осуществлению деятельности по государственному надзору и контролю в сфере связи, учреждение выполняет  следующие основные задачи:

• Организация и осуществление государственного контроля и надзора за деятельностью юридических лиц, индивидуальных предпринимателей и физических лиц в сфере информационных технологий и связи.
• Организация и осуществление государственного надзора и контроля над соблюдением организациями федеральной почтовой связи порядка фиксирования, хранения и представления информации о денежных операциях, подлежащих в соответствии с законодательством Российской Федерации обязательному контролю, а также организации ими внутреннего контроля;
• Рассмотрение обращений операторов связи по вопросам присоединения сетей электросвязи и взаимодействия операторов связи;
• Организация и осуществление инспекционного контроля деятельности органов по сертификации, испытательных лабораторий (центров);
• Участие в работе приемочных комиссий по приемке сетей (сооружений) связи в эксплуатацию, в том числе технических средств, обеспечивающих оперативно-розыскную деятельность в сети связи оператора связи;
• Выявление, предупреждение и пресечение административных правонарушений, а также осуществление производства по делам об административных правонарушениях, которые отнесены Законодательством Российской Федерации к компетенции Россвязьохранкультуры и его должностных лиц;
• Выявление, предупреждение и пресечение нарушений юридическими лицами, индивидуальными предпринимателями и физическими лицами обязательных требований в сфере информационных технологий и связи;
• Организация и осуществление регистрационной и разрешительной деятельности, связанной с осуществлением полномочий Россвязьохранкультуры;
• Осуществление иных задач в установленной сфере деятельности, если такие задачи предусмотрены федеральными законами, нормативными правовыми актами Президента Российской Федерации, или Правительства Российской Федерации.

Руководитель Управления и его заместители по должности  являются старшими государственными инспекторами Российской Федерации по надзору за связью и информатизацией. Федеральные государственные гражданские служащие Управления, в обязанности которых входит осуществление государственного надзора за деятельностью в области связи, по должности являются государственными инспекторами Российской Федерации по надзору за связью и информатизацией.

Структурными подразделениями  Управления являются отделы.

В штатное расписание отделов включаются должности федеральной  государственной гражданской службы, предусмотренные Реестром должностей государственной гражданской службы Российской Федерации, а также могут включаться должности, не являющиеся должностями федеральной государственной гражданской службы.

Управление является юридическим лицом, имеет печать с изображением Государственного герба Российской Федерации и со своим наименованием, иные печати, штампы и бланки установленного образца, счета, открываемые в соответствии с законодательством Российской Федерации. Финансирование расходов на содержание Управления осуществляется за счет средств, предусмотренных в федеральном бюджете. В конце года начальники всех подразделений Управления предоставляют в планово - финансовый отдел примерные расходы их отделов на будущий год.

 В Управлении для более эффективного противодействия угрозам и создания условий безопасной и стабильной работы создана система комплексной защиты информации и обеспечено ее правильное функционирование.

   Обязательными направлениями  обеспечения безопасности должны  быть:

• жизнь, здоровье персонала и посетителей;
• здание, оборудование, имущество и ценности;
• информация во всех ее видах.

   В дальнейшем объектом  будем называть любую территорию - помещение, здание, в которых  находятся и работают люди, используется  оборудование и хранятся материальные ценности, а также циркулирует (обрабатывается) служебная информация. Под термином "безопасность объекта" будет пониматься его стабильная плановая деятельность, независимая от различных угроз.

    Угроза безопасности  объекта - это событие, действие, процесс или явление, которое посредством воздействия на людей, материальные ценности и информацию может привести к нанесению ущерба управлению, остановке его деятельности.

    Для того, чтобы построить  эффективную систему защиты, необходимо провести анализ защищаемого объекта с точки зрения возможных угроз его деятельности.

   С точки зрения обеспечения  безопасности необходимо защищать:

• персонал;
• посетителей;
• имущество;
• ценности;

●   оборудование;

• всю хранимую, обрабатываемую либо используемую информацию в   различных видах.

    Все эти объекты защиты  могут быть подвержены действиям  угроз, источники которых находятся  как снаружи объекта, вне здания  управления и его территории, так и внутри его.

    Информационные ресурсы, являющиеся собственностью государства, находящиеся в ведении Управления Россвязьнадзора по Иркутской области в соответствии с его компетенцией, подлежат учету и защите.

    Режим защиты конфиденциальной информации устанавливается руководителем Управления.

    Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен учреждению.

   Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнито-оптической и иной основе.

  

   Управление осуществляет свою деятельность во взаимодействии с другими территориальными органами федеральных органов исполнительной власти на территории Иркутской области, соответственно в нем содержатся наиболее важные информационные активы. Под информационными активами организации понимается часть нематериальных активов, включающих в себя ценные информационные ресурсы, в которых реализованы знания, умения и навыки персонала, полученные и реализованные с использованием современных информационных технологий [8].:

 

●   информация содержащая сведения, отнесенные к государственной тайне, ограниченного распространения и конфиденциальную информацию, представленные в виде документов на бумажных носителях, документированных информационных массивов и баз данных (производственные отчеты, включающие обобщенные технические,  экономические и    финансовые показатели Управления, информация об управленческой деятельности, планы по обеспечению непрерывного функционирования информационного обеспечения, информация раскрывающая уязвимость сооружений и устройств в центральном управлении или в филиалах структурных подразделений, базы персональных данных сотрудников, базы данных клиентов, алгоритмы работ систем защиты);

●   средства и системы информатизации  различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, средства и системы связи и передачи данных, средства приема, передачи и обработки информации, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;

● технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует).

    Для нормального  функционирования необходим не  только комплекс защитных мер  и мероприятий но и необходим  постоянный приток информации, который  в дальнейшем реализуется в  производственные процессы. Информационные  активы не только оптимизируют  работу персонала но и становятся необходимым фактором успешного функционирования Управления.

 

 

1.2 Анализ системы защиты информации в Управлении   Россвязьохранкультуры по Иркутской области и УОБАО

 

    Защита информации строится в соответствии с требованиями  ФЗ «О Государственной тайне» от 22 августа 2004г. № 122 ФЗ "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ ГК РФ, ТК РФ, и других федеральных законов РФ, а также в соответствии с локальными нормативными актами, регламентирующими защиту информации Управления   Россвязьохранкультуры по Иркутской области и УОБАО.

     В соответствии с основными положениями Доктрины информационной безопасности Российской Федерации обеспечение необходимого уровня безопасности государственных информационных систем и ресурсов, их целостности и конфиденциальности основано на применении единых требований защиты информации от несанкционированного доступа.

    В Управлении Федеральной службы по надзору в сфере связи по Иркутской области, которая является важной частью государственной системы, основными направлениями повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федерального органа государственной власти являются:

● обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференцирования ее уровня в  федеральном органе государственной власти;

● разработка модели угроз информационной безопасности; 
● определение технических требований и критериев определения критических объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработку мер по их защите и средств надзора за соблюдением соответствующих требований; 
● обеспечение эффективного мониторинга состояния информационной безопасности; 
●  совершенствование нормативной правовой и методической базы в области защиты государственных информационных систем и ресурсов,

развитие средств защиты информации, систем обеспечения безопасности электронного документооборота, системы  контроля действий государственных служащих по работе с информацией, развитие и совершенствование защищенных средств обработки информации общего применения.

В систему защиты информации входят следующие средства и методы, используемые в защите объекта:

Выделим несколько групп средств и методов, используемых в системе защиты государственного  объекта:

1. Организационно-правовые.

2. Инженерно-технические.

3. Информационно-технологические.

4. Оперативно-технические.

5. Моральное-психологические.

6. Специальные.

 

                      Организационно-правовые средства

    Организационно-правовые средства и методы регламентируют весь технологический цикл работы управления, от методики подбора кадров и приема их на работу,  до положений о функциональных обязанностях любого сотрудника, знание ответственности, установленной законодательством. Каждая инструкция или норматив должны прямо или косвенно учитывать вопросы безопасности и влиять на работоспособность и эффективность системы комплексной защиты.

 

                       

                         Инженерно-технические средства

    Инженерно-технические средства и методы - это аппаратура и коммуникации, приспособления, конструкции, а также порядок их использования для обнаружения угроз объекту, создания преград на пути их распространения и для ликвидации угроз. Инженерно-технические средства и методы составляют основу, фундамент комплексной системы защиты; их качество и надежность во многом определяют уровень безопасности.

 

               Информационно-технологические средства

    Информационно-технологические средства и методы относятся к сфере защиты электронной информационной сети.

    Средства и методы этой группы защиты предусматривают классификацию циркулирующей в компьютерной сети информацию на: конфиденциальную информацию, критическую информацию, отсутствие или порча которой сделает невозможной повседневную работу управления в целом.

    Безопасность информации невозможно обеспечить отдельно, без защиты всей компьютерной техники, коммуникаций и применяющихся программ. В связи с этим все технические средства обработки информации, программное обеспечение и базы данных объединяют в понятие ресурс, безопасность которого будет зависеть от таких характеристик, как:

а) конфиденциальность - способность  ресурса быть доступным только пользователям управления, имеющим на это разрешение и недоступным всем остальным;

б) целостность - способность ресурса  быть полным, неизменным и работоспособным  во все необходимые периоды работы пользователей;

в) доступность - способность ресурса быть в нужном для пользователя месте, в нужное для него время и в нужной форме.

                               Оперативно-технические средства

    Оперативно-технические средства и методы предназначены для скрытого, конспиративного контроля за действиями людей и за информацией, оказывающие существенное влияние на безопасность управления, его персонала.

 

                      Морально-психологические средства

     К таким мероприятиям относят:

1. Проведение периодических инструктивных  совещаний с персоналом по различным аспектам безопасности, разбор имевших место происшествий, аварий, нарушений инструкций.

2. Обязательное ознакомление всего  персонала "под расписку" с  основными, текущими и персональными  приказами и распоряжениями руководства  как по нарушениям в отношении системы защиты, так и по фактам предотвращения ущерба и поддержания должного уровня безопасности сотрудниками.

 

                          Специальные средства и методы

     Специальные средства и методы используются для получения, сбора и анализа информации о субъектах, представляющих источник опасности.

    Эффективность системы комплексной защиты информации управления может быть обеспечена путем рационального сочетания всех рассмотренных функций, средств и методов. Они должны объединяться в единый, целостный механизм защиты.  При этом необходимо периодически проверять качество и надежность всей системы защиты.

    Следует учитывать и то обстоятельство, что на каждом участке системы защиты задействован человек. Следовательно, важнейшим фактором, способствующим обеспечению безопасности, является личная заинтересованность персонала в надежном функционировании защиты.

             1.2.1 Функции отдела контроля по обеспечению безопасности

       

    Отдел выполняет следующие функции:

● Организует работу по выполнению решений, приказов и распоряжений руководства Учреждения по обеспечению безопасности его деятельности и по обеспечению режима ГТ.

● Определяет единство действий и организует защиту, безопасность, сохранность материальных ценностей в обычных и чрезвычайных условиях.

● Разрабатывает, обновляет и дополняет инструкции, положения и иные локальные нормативные акты по деятельности Службы режима.

● Осуществляет систематический анализ состояния физической защищенности  объектов, закрытых территорий и территорий ограниченного  доступа с целью выработки рекомендаций руководству предприятия о необходимости совершенствования системы режима.

● Организует и обеспечивает систему контролируемого доступа и   специального пропускного режима в зданиях и помещениях предприятия.

●  Организует, обеспечивает и контролирует выполнение требований внутри объектного  режима.

●  Определяет систему режима и участвует в ее организации и обеспечении работы выделенных помещений и объектов.