Принципы создания информационной системы службы безопасности предприятия

Содержание:

  1. Обследование существующей инфраструктуры и определение исходных данных для проектирования системы ИБ:
  2. Офицерский состав и функции
  3. Ключевые цели информационной безопасности на предприятии
  4. Предпроектное обследование информационной безопасности отдела бухгалтерии ООО магазин «Стиль»
  5. Разработка концепции ИС
  6. Общее направление информационной безопасности
  7. Анализ рисков
  8. Оценка риска безопасности
  9. Определение и требования информационной безопасности
  10. Проектирование системы информационной безопасности отдела бухгалтерии ООО магазин «Стиль»
  11. Подсистема обнаружения сетевых атак
  12. Заключение
Предмет: Экономика
Тип работы: Курсовая
Язык: Русский
Дата добавления: 01.01.2019

 

 

 

 

  • Данный тип работы не является научным трудом, не является готовой работой!
  • Данный тип работы представляет собой готовый результат обработки, структурирования и форматирования собранной информации, предназначенной для использования в качестве источника материала при самостоятельной подготовки учебной работы.

Если вам тяжело разобраться в данной теме напишите мне в whatsapp разберём вашу тему, согласуем сроки и я вам помогу!

 

По этой ссылке вы сможете узнать правила оформления курсовой работы по ГОСТу:

 

Правила оформления курсовой работы

 

Посмотрите похожие темы возможно они вам могут быть полезны:

 

Реформирование налоговой системы в России
Экономическая природа фирмы и цели её деятельности
Реальный сектор экономики РФ и проблема его развития
Антикризисная политика государства и модификация экономических циклов

 

Введение:

На современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно теряют свое первоначальное значение. Они были заменены новыми ресурсами, и единственный продукт под названием информация не уменьшился, но со временем растет. Сегодняшняя информация является важным ресурсом для научного, технического и социально-экономического развития мирового сообщества. Чем лучше информация вводится в национальную экономику и специальные приложения, чем выше уровень жизни людей, тем больше экономический, оборонный и политический потенциал страны.

Предпринимательство тесно связано с получением, хранением, хранением, обработкой и использованием различных информационных потоков. Целостность современного мира как сообщества во многом обеспечивается интенсивным обменом информацией. Приостановление глобального информационного потока даже на короткий период времени может привести к кризисам, а также срыву межгосударственных экономических отношений.Сегодня децентрализованная сеть хорошо сложившихся сложных информационных и компьютерных сетей может играть ту же роль в общественной жизни, что и комбинация электрификации, телефона, радио и телевидения того времени. Ярким примером этого стало развитие глобального интернета. Уже принято говорить о новом витке общественного развития - информационном обществе.

Поэтому в новой и очень конкурентной рыночной ситуации возникает много проблем, связанных не только с безопасностью коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и с безопасностью отдельных лиц и корпораций, их собственности и отдельных лиц.

Учитывая известную поговорку «Конец оправдывает средства», информация представляет собой определенную цену. Поэтому тот факт, что злоумышленник получает информацию, дает ему определенный доход, ослабляя тем самым возможности конкурентов. Поэтому основной целью злоумышленника является получение информации о составе, состоянии и активности конфиденциальных информационных объектов (компании, продукта, проекта, рецепта, технологии и т. Д.) Для удовлетворения этой информационной потребности. Возможно, для личной выгоды и для внесения конкретных изменений в состав информации, циркулирующей по теме конфиденциальных интересов. Такие действия могут привести к неверной информации в определенных областях деятельности, учетных данных и результатов определенных задач. Более опасной целью является уничтожение информационных последовательностей и программных продуктов, хранящихся в документальной или магнитной форме. В связи с этим организация эффективной системы информационной безопасности приобретает все большее значение.

Информационная безопасность - это средство защиты информации от несанкционированного доступа, уничтожения, изменения, раскрытия и задержек в доступе. Информационная безопасность включает в себя защиту процесса создания данных и их ввода, обработки и вывода. Цель информационной безопасности - защитить ценность системы, защитить и гарантировать точность и целостность информации, а также минимизировать ущерб, который может возникнуть в случае изменения или уничтожения информации. Информационная безопасность должна учитывать все события, в которых информация создается, изменяется, предоставляется доступ или распространяется.

Обследование существующей инфраструктуры и определение исходных данных для проектирования системы ИБ:

Организационная структура

Полное фирменное наименование: Общество с ограниченной ответственностью «Шоп Стиль».

Краткое название: ООО "Стиль", магазин.

Государственное регистрационное агентство: Росстат, Территориальное агентство Омского государственного федерального статистического управления (Омскстат).

Дата государственной регистрации общества: 03.03.1999. Номер свидетельства о государственной регистрации: ОГРН-1046182528418.

Адрес места нахождения: 644010, Россия, Омская область, г. Омск, ул. Ленинградская, д. 1.

Юридический адрес: 644010, Россия, Омская область, г. Омск, ул. Ленинградская, д. 1.

Почтовый индекс: 644010, Россия, Омская область, Омск, ул. Ленинградская площадь 1.

Телефон: (3812) 58–07–79;

Руководство: Генеральный директор - Узко Баралиса Александровна.

ООО "Стиль Магазин" предлагает розничные продажи одежды и обуви. Основная цель организации как полностью коммерческого предприятия - получать прибыль от своей деятельности, как можно дольше оставаться на рынке и расширять свою деятельность и рынок.

Компания работает с различными поставщиками.

Заказывайте товары по телефону. Оплата товара поставщику осуществляется банковским переводом с инструкциями по оплате.

Процесс продажи выглядит следующим образом: Покупатель приобретает необходимые компоненты в розничном магазине через фирменный магазин компании. Расчеты производятся наличными через кассу. Все обслуживание клиентов осуществляется ритейлерами.

Бухгалтерские документы хранятся у бухгалтера, он также участвует в регулярной отчетности в налоговую инспекцию.

 

Офицерский состав и функции

Сотрудники компании:

  • Директор. Непосредственное управление процессами организации, безналичная оплата с поставщиками и клиентами, анализ прошлых продаж, прием заказов от менеджеров для заказа продуктов на основе аналитики и приложений, а также предоставление необходимых продуктов от поставщиков. Заказывайте и ищите возможности для расширения ассортимента;
  • Manager-Подать заявку директору на заказ товара у поставщика.
  • -Продавец-После совершения розничной продажи в торговом зале и продажи товаров, вы несете ответственность за указание количества продуктов, проданных в базе данных и хранения компонентов.
  • Системный администратор - Выполняет настройку и установку прибора, обрабатывает проблемы с программным обеспечением и компьютерным оборудованием, а также контролирует производительность компьютера и периферийных устройств.
  • Бухгалтерия магазина ООО "Стиль" отражает непрерывную, непрерывную, взаимосвязанную и документарную деятельность компании.

Принципы создания информационной системы службы безопасности предприятия

Функции этого отдела организации возлагаются на стороны (бухгалтеров), которые создают записи, необходимые для характеристики отдельных аспектов деятельности компании. Эти должностные лица несут ответственность не только за обеспечение безопасности и учет оборотных средств в ходе хозяйственной деятельности организации, но и за точное и своевременное выполнение хозяйственных операций.

Бухгалтеры заключают договоры полной ответственности в соответствии с законодательством Российской Федерации.

Конфигурация и назначение оборудования и программного обеспечения

Бухгалтерия LAN Shop Style LLC была создана с унифицированными концептуальными положениями, лежащими в основе построения современных компьютерных сетей связи. Основой таких положений являются в основном общие принципы построения и использования однородного активного сетевого оборудования.

Структура корпоративной сети LAN включает в себя несколько различных уровней иерархии. Бухгалтерская ЛВС представляет собой фрагмент корпоративной сети. Этот фрагмент сети состоит из нескольких сегментов, которые подключены к магистральным каналам более высокого уровня и имеют доступ к информационным ресурсам сети. Локальная сеть основана на стандарте Ethernet 10/100 Base-T.

Ethernet 10/100 Base-T подходит для различных операционных систем и сетевого оборудования. Используя этот стандарт, стабильная работа сети может быть реализована простым способом.

Чтобы построить сеть, вам нужно выбрать кабели. Качество сети во многом зависит от качества и характеристик. В этом случае использовался кабель неэкранированной витой пары категории 5.

При выборе сетевых компонентов вы должны соблюдать следующие общие требования:

Компьютеры должны быть достаточно быстрыми, чтобы все сетевые службы и приложения работали в реальном времени без заметных замедлений.

Жесткие диски компьютера должны быть максимально надежными, чтобы обеспечить безопасность и целостность хранимых данных.

- Сетевой принтер должен быть установлен в соответствии с местоположением пользователя, который его активно использует.

• Коммутатор, центральное устройство в этой сети, должен быть расположен в легко доступном месте, чтобы можно было легко подключать и отслеживать кабели.

Перечисленные требования определяют следующую конфигурацию сетевых компонентов: Все сетевые компьютеры и многофункциональные устройства (лазеры) на базе процессора IntelPentium4 были выбраны в качестве сетевых принтеров.

Поэтому с помощью ООО «Стиль» магазин бухгалтерского программного и аппаратного обеспечения решает следующие задачи:

  1. Настройка публичной базы данных с использованием бухгалтерской программы «1С: Бухгалтерия 7.7».
  2. Совместная обработка информации пользователями.
  3. Централизованное резервное копирование всех данных.
  4. Контроль доступа к данным.
  5. Совместное использование аппаратного и программного обеспечения.

Ключевые цели информационной безопасности на предприятии

Разработка целей и задач информационной безопасности, как и других видов деятельности, представляет собой важный начальный этап обеспечения информационной безопасности. Важность этого этапа часто недооценивается и ограничивается целями и задачами, подобными лозунгу. В то же время эксперты в области системного анализа считают, что успешное достижение и разрешение системного анализа в значительной степени зависит от ясности и специфики целей и постановки задач. В принципе, многие полезные усилия терпят неудачу из-за неопределенности и неоднозначности именно целей и задач, из которых ясно, кто, что и из каких ресурсов решает поставленную задачу. Нет.

Цели информационной безопасности определены ст. Статья 20 Закона Российской Федерации «Информация, информатизация и защита информации»:

Предотвращение утечки информации, краж, искажений и взлома.

Предотвращение угроз личной, социальной и национальной безопасности:

  • Предотвращать уничтожение, модификацию, копирование, блокировку информации и другое незаконное вмешательство в информационные ресурсы и информационные системы, а также предотвращение мошеннических действий, направленных на защиту правовой системы, являющейся предметом собственности.
  • Защита частной тайны, конституционные права граждан на сохранение конфиденциальности личных данных, доступных в информационных системах.
  • Сохранять конфиденциальность документально подтвержденной документально информации в соответствии с законом.
  • Обеспечение прав Целевого объекта на разработку, производство и применение информационных процессов и информационных систем, технологий и средств их обеспечения.

В целом, цель защиты информации определяется как обеспечение безопасности информации, в том числе государственных и других секретов. Однако такая постановка цели включает в себя неоднозначную концепцию информации и безопасности.

Основной целью информационной безопасности является обеспечение определенного уровня безопасности. Под определенным уровнем защиты информации понимается состояние защиты информации от угроз, которые обеспечивают приемлемый риск ее уничтожения, взлома или кражи. Кроме того, уничтожение информации означает не только физическое уничтожение, но и постоянный блок санкционированного доступа к информации. В общем случае, если информация заблокирована в результате сбоя блокировки или ключа безопасности, пароль компьютера будет забыт, загрузочный сектор жесткого диска или дискеты будет искажен, и другие факторы могут исказить информацию. К нему можно получить доступ любым способом, не будучи украденным или украденным. Поэтому блокировка информации не является прямой угрозой ее безопасности. Однако, если у вас нет доступа своевременно, пользователи теряют информацию, как если бы они ее потеряли.

Список конфиденциальной и коммерческой тайны информации

Торговые секреты являются формой защиты наиболее важной коммерческой информации и ограничения ее распространения. С юридической точки зрения коммерческие секреты компании являются защитой от недобросовестной конкуренции при осуществлении прав интеллектуальной собственности.

Список информации, составляющей коммерческую тайну компании:

1. Производство

1.1. Информация о структуре производства, производственных мощностях, типах и расстановке оборудования, инвентаризации сырья, материалов, комплектующих и готовой продукции.

2. Управление

2.1. Информация об оригинальной методике управления предприятием.

2.2. Информация о подготовке, принятии и реализации отдельных управленческих решений по коммерческим, организационным, производственным, научно-техническим и другим вопросам.

3. план

3.1. Информация о планах по расширению или сокращению производства различных видов продукции и их технико-экономических обоснований. 3.2. Информация об инвестициях, планах покупки и продажи. 4. Встреча

4.1. Информация о заседаниях корпоративного органа управления и факты о проведении, целях, темах и результатах заседаний 5. Финансы

5.1. Информация о балансе компании.

5.2. Информация, содержащаяся в фирменных книгах. 5.3. Информация о распределении корпоративных средств.

5.4. Информация о финансовых операциях компании.

5.5. Информация о состоянии банковского счета компании и выполненных операциях.

5.6. Информация об уровне доходов компании.

5,7. Информация о корпоративном долге.

5,8. Информация о состоянии кредитов предприятия (пассивы и активы). 6. Рынок

6.1. Информация об оригинальном методе исследования рынка, используемом компанией.

6.2. Информация о результатах исследования рынка. Включает оценку состояния и перспектив развития рыночных условий.

6.3. Информация о рыночной стратегии компании.

6.4. Информация об оригинальном методе продаж, используемом компанией.

6,5. Информация об эффективности коммерческой деятельности компании. 7. Партнер

7.1. Систематический для внутренних и международных клиентов, подрядчиков, поставщиков, потребителей, клиентов, партнеров, спонсоров, посредников, клиентов, других деловых партнеров компании и конкурентов, не включенных в открытый исходный код (каталоги, каталоги и т. Д.) информация.

8. Переговоры

8.1. Информация о подготовке и результатах переговоров с деловыми партнерами компании.

9. Контракт

9.1. Информация, которая устанавливает условия конфиденциальности в корпоративных договорах, контрактах, контрактах и ​​других обязательствах. 10. Цена

10.1. Информация о методе расчета, структуре, уровне цены товара, размере скидки.

11. Торги, аукцион

11.1. Информация о подготовке заявки или аукциона и ее результатах. 12.Наука и технологии

12.1. Информация о перспективных научных целях, задачах и программах.

12.2. Ключевые исследовательские идеи.

12.3. Точные значения структурных свойств создаваемого продукта и оптимальные параметры разработанного технического процесса (размер, объем, состав, пропорции компонентов, температура, давление, время и т. Д.).

12.4. Аналитические и графические зависимости, отражающие найденные закономерности и взаимосвязи.

12,5. Данные об условиях эксперимента и оборудовании, на котором они были выполнены.

12,6. Информация о материале, из которого изготовлены отдельные детали.

12,7. Информация о дизайне продукта, технических, художественных и технических особенностях решения. Это имеет положительный экономический эффект.

12,8. Информация о том, как подделать товарный знак.

12,9. Информация о состоянии программного обеспечения и программного обеспечения. 13. Технология

13,1. Информация об особенностях используемых и разработанных технологий и подробностях их применения.

14. Безопасность

14.1. Информация о процедурах организации и статусе защиты коммерческой тайны.

14.2. Информация, которая является коммерческой тайной компании-партнера и передается на конфиденциальной основе.

Правильная организация конфиденциальных дел на предприятии является неотъемлемой частью комплексной информационной безопасности и имеет решающее значение для достижения цели ее защиты. Как известно, специалисты в области информационной безопасности утверждают, что около 80% конфиденциальной информации документируется. Поэтому проблема управления конфиденциальными документами на предприятии, несомненно, будет играть важную роль в достижении финансового успеха.

Поэтому эта информация или содержащий ее документ подразделяется на секретную и конфиденциальную. Кроме того, секретные документы могут быть классифицированы как «секретные», «совершенно секретные» или «особо важные». Чувствительные документы с печатью, такие как «коммерческая тайна» и «банковская тайна». В настоящее время существует более 30 видов конфиденциальной информации (и, как результат, потенциально штампованные документы) Это не создает позитивной атмосферы с точки зрения безопасности. Ожидается, что в будущем это сократит количество типов конфиденциальной информации.

А ресурсы T магазина стиля LLC разделены на три группы.

1. Информация, являющаяся коммерческой тайной.

2. Конфиденциальная информация.

3. Обмен информацией.

Предпроектное обследование информационной безопасности отдела бухгалтерии ООО магазин «Стиль»

Информационная безопасность компьютерной сети

Классификация угроз информационной безопасности

Под угрозой информационной безопасности компьютерной сети (CS) понимается любое событие или действие, которое может вызвать изменение в функциональности CS, связанное с нарушением безопасности информации, обрабатываемой CS. Информационная уязвимость - это состояние, в котором создаются условия для реализации угрозы информационной безопасности.

Нападение на сотрудника полиции - это акт злоумышленника, обнаружившего и эксплуатирующего ту или иную уязвимость.

Другими словами, нападение на КС является угрозой безопасности информации в КС.

Проблемы, возникающие в связи с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа. - Перехват информации. - Сохраняется целостность информации, но нарушается ее конфиденциальность. -Изменить информацию. Исходное сообщение изменено или полностью заменено другим сообщением и отправлено адресату. -Информация автора альтернатив. Эта проблема может иметь серьезные последствия. Например, кто-то может отправить письмо от имени кого-то другого (этот тип мошенничества обычно называется спуфингом), или веб-сервер притворяется электронным магазином и принимает номера кредитных карт, Я не буду отправлять товар.

С точки зрения уязвимости особенности компьютерных сетей в основном связаны с существованием интенсивных информационных взаимодействий между географически рассредоточенными элементами и разнородными (разнородными) элементами.

 

Буквально все основные структурные и функциональные элементы КС уязвимы. Рабочие станции, серверы (хост-машины), шлюзовые мосты (шлюзы, коммутационные центры), каналы связи и т. Д.

Известно много разных угроз безопасности информации из разных источников. В литературе существует множество различных классификаций, и в качестве критериев разделения используются тип создаваемой опасности, степень злого умысла, источник угрозы и т. Д. Одна из самых простых классификаций показана на рисунке. 3.

Природные угрозы - это угрозы, создаваемые элементами КС и объективными физическими процессами, или последствиями стихийных бедствий, которые не зависят от человека.

Искусственные угрозы - это угрозы CS, вызванные деятельностью человека. Среди них можно выделить следующие, основанные на мотивации к действию:

Непреднамеренные (непреднамеренные, случайные) угрозы, вызванные ошибками в разработке КС и ее элементов, ошибками программного обеспечения, ошибками в действиях персонала и т. Д.

Преднамеренные (преднамеренные) угрозы, связанные с эгоистичными желаниями людей (злоумышленников).

Источник угроз, связанных с CS, может быть внешним или внутренним (компонентами самой CS являются ее оборудование, программы и персонал).

Анализ негативных последствий реализации угрозы требует существенной идентификации потенциальных источников угрозы и уязвимостей, которые способствуют их проявлению и реализации.

Угрозы классифицируются как возможный ущерб субъекту в нарушение цели. Ущерб может быть причинен любым субъектом (преступление, вина, халатность) и может иметь последствия, не связанные с предметом состояния. Существует не так много угроз. Обеспечивая конфиденциальность информации, это может привести к краже (копированию) информации и ее обработке, а также к ее потере (непреднамеренная потеря, утечка). При обеспечении целостности информации список угроз выглядит следующим образом: Изменение информации (искажение). Отказ в достоверности информации. Наложение ложной информации. Вы можете заблокировать информацию или уничтожить информацию и ее обработку, обеспечивая при этом доступность информации.

Все источники угрозы классифицируются по классам, определенным по типу носителя, и сгруппированы по местоположению (рис. 5а). Уязвимости классифицируются по классам по принадлежности к источнику уязвимости и классифицируются по группам и подгруппам по проявлениям (рис. 5б). Методы реализации могут быть разбиты на группы в соответствии со способом реализации (рисунок 5с). Следует отметить, что само понятие «метод» применимо только при рассмотрении реализации антропогенных угроз. В случае искусственных и спонтанных источников это понятие переводится в понятие «помещения».

Классификация вероятности реализации угрозы (атаки) представляет собой набор возможных вариантов действий источника угрозы с использованием определенного метода реализации с уязвимостями, которые приводят к предполагаемой реализации атаки. Цель атаки может не соответствовать цели реализации угрозы, и она может быть направлена ​​на получение промежуточных результатов, необходимых для дальнейшей реализации угрозы. В случае возникновения такого расхождения атака считается подготовкой к делегированию действий по реализации угрозы. Как «комитет по подготовке» к незаконной деятельности. Последствия атаки - это те, которые способствуют реализации угрозы и / или такой реализации.

Исходные данные для оценки и анализа угроз безопасности при работе в сети должны включать понимание направления деятельности, предполагаемых приоритетов для целей безопасности, задач, которые необходимо решить в сети, а также условий для расположения и работы сети. Результат опроса на предмет предполагаемых отношений.

Наиболее распространенные угрозы

Наиболее частыми и наиболее опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки обычных пользователей, операторов, системных администраторов и других лиц, обслуживающих компьютерные сети.

Такие ошибки могут фактически быть угрозами (неправильные данные или программные ошибки, которые вызывают сбой системы), или они могут создавать уязвимости, которые могут использовать киберпреступники (обычно административные ошибки) ). По некоторым данным, до 65% потерь являются результатом непреднамеренных ошибок.

Пожары и наводнения не вызывают такой большой неграмотности или халатности, как работа.

Очевидно, что наиболее фундаментальным способом решения непредвиденных ошибок является максимальная автоматизация и жесткий контроль.

Другие угрозы доступности могут быть классифицированы в соответствии с компонентом COP, на который нацелена угроза.

Ошибка пользователя;

Внутренняя ошибка сети.

Сбой поддержки инфраструктуры.

Следующие угрозы обычно рассматриваются пользователем:

Вы не хотите использовать информационные системы (в большинстве случаев для разработки новых функций по мере необходимости и при расхождениях между требованиями пользователя и фактическими функциями и техническими характеристиками);

Невозможность управлять системой из-за отсутствия надлежащей подготовки (недостаточная общая компьютерная грамотность, невозможность интерпретации диагностических сообщений, невозможность манипулирования документацией и т. Д.).

Отсутствие технической поддержки (неполная документация, отсутствие справочной информации и т. Д.) Делает систему непригодной для использования.

Основными причинами внутренних сбоев являются:

Отклонения от установленных правил эксплуатации (случайные или преднамеренные);

Прекращение нормальной работы системы из-за случайных или преднамеренных действий пользователя или обслуживающего персонала (например, превышение расчетного количества запросов, чрезмерное количество обрабатываемой информации).

Ошибка при (пере) настройке системы.

Программный и аппаратный сбой.

Повреждение данных;

Уничтожение или повреждение оборудования.

Мы рекомендуем вам рассмотреть следующие угрозы в отношении вспомогательной инфраструктуры:

Неисправность системы связи, электроснабжения, водо- и / или теплоснабжения, кондиционирования воздуха (случайное или преднамеренное);

Разрушение или повреждение здания;

Неспособность или нежелание обслуживающего персонала и / или пользователей выполнять свои обязанности (гражданские беспорядки, дорожно-транспортные происшествия, террористические акты или угрозы, забастовки и т. Д.).

Так называемые «обиженные» сотрудники - настоящие и прежние, очень опасные. Как правило, они пытаются навредить организации - например, «преступникам»

Руины оборудования.

Встраивать логические бомбы, которые в конечном итоге уничтожают программы и данные.

Удалить данные.

Даже слабый работник знаком с организационной практикой и может нанести значительный ущерб. Необходимо убедиться, что увольнение сотрудника аннулирует его доступ к информационным ресурсам (логическим и физическим).

Вредоносное

Одним из наиболее опасных способов проведения атаки является внедрение вредоносного программного обеспечения в атакуемую систему.

Различают следующие аспекты вредоносного ПО:

Вредоносные функции;

Метод распространения;

Внешняя презентация.

Части, которые выполняют разрушительные функции, предназначены для:

Внедрение других вредоносных программ.

Взять под контроль атакованную систему.

Агрессивное потребление ресурсов.

Модификация или уничтожение программ и / или данных.

Механизм распределения различает:

Вирус-код, способный распространяться (возможно, с модификациями), внедряясь в другие программы.

«Червь» -код, который заставляет копию распространяться и выполняться в сети независимо, то есть, не представляя ее другим программам (для активации вируса необходимо запустить зараженную программу) ,

Вирусы обычно распространяются локально внутри хозяина. Для передачи зараженных файлов требуется внешняя помощь, например, отправка зараженных файлов. Черви, с другой стороны, фокусируются в основном на сетевых путешествиях.

Это вредоносная функция, потому что сама вредоносная программа может вызвать агрессивное потребление ресурсов. Например, черви «истощают» пропускную способность сети и ресурсы почтовой системы.

Вредоносный код, который выглядит как функционально полезная программа, называется трояном. Например, обычная программа, зараженная вирусом, является трояном. Трояны изготавливаются вручную и могут быть переданы ничего не подозревающим пользователям в ряде привлекательных пакетов, обычно при доступе к файлообменным сетям, играм и развлекательным сайтам.

Разработка концепции ИС

Цели и задачи информационной безопасности

Режим информационной безопасности представляет собой набор средств для организации, программного обеспечения и оборудования и должен обеспечивать следующие параметры:

  • Доступность и согласованность информации.
  • Конфиденциальность информации.
  • Невозможно отказаться от совершенного действия.
  • Надежность электронных документов.

Цель информационной безопасности - обеспечить бесперебойную работу организации, поставить под угрозу безопасность и минимизировать последствия, сводя к минимуму ущерб от событий, угрожающих безопасности.

Бухгалтерский учет информационной безопасности магазина магазина «Стиль» в задачи входят:

  • Объективная оценка современного состояния информационной безопасности.
  • Защита прикладных информационных услуг и обеспечение надежных функций.
  • Обеспечивает безопасный доступ в Интернет с защитой от вирусных атак и спама.
  • Защита системы электронного документооборота.
  • Организация безопасного информационного взаимодействия с географически удаленными офисами и мобильными пользователями.
  • Обеспечение безопасного доступа к информационным системам организации.
  • Information Обеспечение согласованности и доступности информации.
  • Предотвращение ошибочных изменений данных и изменений.

Общее направление информационной безопасности

Проблема обеспечения необходимого уровня защиты информации является сложной задачей, которая включает в себя реализацию определенного набора научных, научных, технических и организационных мер и использование специальных инструментов и методов. Мало того, что создание интегрированной системы организационных мер требует использования специальных инструментов и методов для защиты информации.

В рамках комплексного подхода к внедрению бухгалтерской системы безопасности в стиле LLC можно выделить следующие общие направления:

  • Внедрить решения по безопасности сети с использованием компьютерной защиты информации.
  • Внедрение единой системы аутентификации (SSO).
  • Внедрение системы целостности, которая контролирует информационную систему.
  • Реализация решения для мониторинга и управления информационной безопасностью.
  • Внедрение системы, которая контролирует доступ к периферийным устройствам и приложениям.
  • Изменение информации и внедрение системы защиты от изменений.

Ключевые требования для интегрированной системы защиты информации: -Система защиты информации должна гарантировать, что информационная система выполняет свои основные функции без существенного ухудшения ее характеристик. • Система защиты должна быть экономически эффективной. Защита информации включает информацию во время ремонта и регулярного технического обслуживания во всех режимах технической обработки, для ее улучшения и развития в соответствии с условиями эксплуатации и конфигурациями, которые необходимо включить в систему защиты информации, установленными правилами Система защиты в соответствии с требованиями должна обеспечивать разделение доступа к конфиденциальной информации путем перенаправления нарушителей на ложную информацию. Обладает активными и пассивными защитными характеристиками. Системы защиты должны предусматривать учет и расследование случаев нарушения информационной безопасности. Использование систем защиты является сложным для пользователей, чтобы не вызывать психологическое сопротивление или желание обходиться без него. Не должен

Основные аспекты, которые необходимо решить в развитии информационной безопасности

Уязвимость данных бухгалтерской информационной системы компании обусловлена ​​длительным хранением больших объемов данных на магнитных носителях и одновременным доступом к ресурсам нескольких пользователей. При разработке системы информационной безопасности вы можете выявить следующие проблемы:

Today Сегодня нет единой теории безопасных систем.

Производители протекторов предоставляют отдельные компоненты в первую очередь для решения конкретных проблем, оставляя формирование систем безопасности и совместимость этих инструментов на усмотрение потребителя.

Для обеспечения надежной защиты необходимо решить все технические и организационные проблемы и создать соответствующую документацию.

Чтобы преодолеть вышеуказанные трудности, необходимо согласовать поведение всех участников обработки информации. Обеспечение информационной безопасности является серьезной задачей, поэтому, прежде всего, необходимо разработать концепцию информационной безопасности, место для оценки корпоративных интересов, принципы и методы обеспечения информационной безопасности, а также задачи для реализации. Надо быть

Основой ряда мер информационной безопасности должна быть стратегия информационной безопасности. Определите цели, стандарты, принципы и процедуры, необходимые для построения надежной системы защиты. Разработанная стратегия должна отражать степень защиты, поиск пробелов, расположение брандмауэра или прокси-сервера и т. Д. Кроме того, процедуры применения и методы должны быть четко определены для обеспечения надежной защиты.

Наиболее важной функцией общей стратегии информационной безопасности является изучение систем безопасности. Вы можете различить две основные области.

  • Анализ защитного снаряжения.
  • Установление факта вторжения.

На основе концепции информационной безопасности разработана стратегия информационной безопасности и архитектура системы информационной безопасности. Следующим шагом в обобщенном подходе к безопасности является определение политик. Содержание политики - наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой проблемы.

Анализ рисков

Оценка и анализ рисков

На этапе анализа рисков определяется потенциальная потеря из-за нарушения состояния информационной безопасности организации и разрабатываются характеристики (или компоненты) риска информационных ресурсов и технологий. Управление рисками - это процесс выявления и снижения рисков, которые могут повлиять на информационные системы.

В простейшем случае используется двухфакторная оценка. Вероятность аварии и серьезность возможных последствий. Общепринято, что чем выше риск, тем больше вероятность аварии и ее последствий.

Общая идея выражается следующим уравнением.

Риск = P Инцидент * Цена убытка.

Определите субъективную шкалу вероятности события.

А-события происходят редко.

B-события редки.

Вероятность события C за рассматриваемый период составляет около 0,5.

D-В большинстве случаев происходит событие.

Электронные события происходят почти наверняка.

Кроме того, используйте субъективную меру серьезности происшествия.

1. N (незначительное) - влияние можно игнорировать.

2. Инциденты Mi (Minor) -Minor: результаты легко устраняются, затраты на устранение результатов невелики, а влияние на информационные технологии незначительно.

3. Mo (Умеренный) - Умеренный результат: устранение результата не связано со значительными затратами, мало влияет на информационные технологии и не влияет на критические задачи.

4. S (Серьезный) - результат с серьезными последствиями: устранение последствий является дорогостоящим и оказывает значительное влияние на информационные технологии.

5. C (Критический) - инцидент препятствует решению критической задачи.

Для оценки риска определяется шкала из трех значений. 1. Низкий риск.

2. Средний риск.

3. Высокий риск.

Риск, связанный с конкретным событием, зависит от двух факторов и может быть определен следующим образом (таблица 8).

Индикаторы риска измеряются по шкале от 0 до 8 с использованием следующих определений уровня риска:

1-Там практически нет риска. Это теоретически возможная ситуация, когда происходит событие, но на практике это происходит редко, а потенциальный ущерб относительно невелик.

2- Риск очень маленький. Событие такого типа происходило нечасто. Кроме того, негативные последствия относительно невелики.

8-Высокий риск. События, скорее всего, произойдут, и последствия могут быть очень катастрофическими.

Следующими наиболее важными информационными группами являются информация по организационным и правовым вопросам (Группа 2), информация о торгово-экономических отношениях (Группа 3) и информация об управлении корпоративными активами (Группа 2). Раскрытие информации такого рода конкурентам нарушит планы компании и, следовательно, будет дорогостоящим. Вся остальная информация нуждается в защите, но нарушение ее безопасности может привести к получению результатов.

Оценка риска безопасности

Вам необходимо сравнить стоимость системы защиты информации, чтобы она соответствовала стоимости защищаемой информации и других информационных ресурсов, подверженных риску, и ущербу, который может быть нанесен вашей организации из-за сбоя системы защиты.

Для оценки риска необходимо систематически учитывать следующие аспекты:

  • а) Ущерб, который деятельность организации может вызвать серьезное нарушение информационной безопасности. Рассмотрим возможные последствия нарушения конфиденциальности, целостности и доступности информации.
  • б) реальная вероятность таких нарушений защиты в свете существующих угроз и мер контроля.

Бухгалтерские данные имеют первостепенное значение для деятельности любой организации, поскольку они формируют полную картину финансово-экономического положения компании. На основании финансовой отчетности выполняются такие важные функции, как планирование, управление операциями, прогнозирование и оценка состояния компании. Каждый день огромный поток первичных документов входит в процесс учета, обрабатывается бухгалтером и входит в информационную систему. Затем он генерирует финансовые отчеты о деятельности компании за текущий период на основе ключевых документов и отчетной информации за предыдущий период.

Стоимость повреждения и восстановления после повреждения, модификации или уничтожения информации напрямую зависит от времени, в течение которого данные были уничтожены, повреждены или изменены. Чем дольше период, тем больше ущерб и стоимость восстановления данных. Чтобы минимизировать ущерб и затраты на восстановление, вы должны сделать резервную копию вашей базы данных.

Исследование и систематизация угроз ИБ

Под угрозой понимается событие (воздействие). Это, если оно реализовано, приводит к нарушению целостности информации, ее потере или замене. Угрозы являются либо случайными, либо умышленными (намеренно созданными).

Обратите внимание, что в большинстве случаев ущерб не является результатом чужого злонамеренного намерения, а просто фундаментальной ошибкой пользователя в случайном разрушении или удалении критически важных для системы данных. В связи с этим, помимо контроля доступа, необходимым элементом информационной безопасности компьютерной сети является разграничение привилегий пользователя. Кроме того, вероятность ошибок обслуживающего персонала и пользователей сети может быть значительно снижена путем надлежащего обучения и, например, регулярного мониторинга действий администраторов сетевой безопасности.

Почти непредсказуемыми источниками информационных угроз являются аварии и стихийные бедствия. Однако даже в этих случаях вы можете использовать различные средства для хранения информации.

Самый надежный способ предотвратить потерю информации во время кратковременного отключения электроэнергии - это установить источник бесперебойного питания (ИБП). Такие устройства имеют разные технические и потребительские характеристики и могут питать всю локальную сеть или другой компьютер в течение периода времени, достаточного для восстановления напряжения питания или сохранения информации на магнитном носителе. Большинство ИБП также работают в качестве регуляторов напряжения, что является дополнительной защитой от скачков напряжения. Многие современные сетевые устройства (серверы, концентраторы, мосты и т. Д.) Имеют свои собственные резервные системы питания.

Наиболее распространенный основной метод защиты информации и оборудования от стихийных бедствий (пожаров, землетрясений, наводнений и т. Д.) - создание и хранение архивных копий данных, включая развертывание сетевых устройств, таких как серверы баз данных. Как правило, другие здания или, реже, специальные укрытия в другом районе города или в другом городе.

Особенностью компьютерной небрежности является то, что в принципе нет безошибочных программ. В области программирования такая надежность очень произвольна и иногда почти недостижима, если почти все технические проекты могут быть выполнены с очень высокой надежностью. И это касается не только отдельных программ, но и многих программных продуктов компаний, известных во всем мире.

По мнению экспертов по безопасности, недостатки программных продуктов Microsoft, связанные с обеспечением безопасности данных в Интернете, позволяют хакерам получать личные ключи для шифрования пользователей и действовать от их имени. Из-за недостатков некоторых программ Microsoft, таких как браузер InternetExplorer и пакет InternetInformationServer, ключи шифрования можно легко скопировать с жесткого диска компьютера, подключенного к World Wide Web.

Проблема заключается в том, что формат файла, используемый для защиты криптографического закрытого ключа, не был полностью разработан. Используя лазейку в системе защиты, вы можете использовать код вирусной программы, скрытый на веб-странице, для чтения содержимого жесткого диска пользователя, когда пользователь обращается к этой странице. Кроме того, недостаток интерфейса программного обеспечения шифрования, используемого многими инструментами Microsoft, позволяет считывать многие ключи с жесткого диска пользователя с помощью простого запроса. Если это будет легко достигнуто, это поставит под угрозу все другие инструменты шифрования, используемые на веб-страницах и в браузерах.

Уровень этих угроз значительно снижается благодаря повышению квалификации персонала и пользователей, а также надежности аппаратного, программного и аппаратного обеспечения.

Однако наиболее опасным источником информационных угроз является преднамеренное поведение злоумышленника. Сфера их незаконной деятельности очень широка, а последствия вмешательства в процесс взаимодействия между пользователями сети - раскрытие, подделка, незаконное копирование или уничтожение конфиденциальной информации.

Стандартные архитектурные принципы для строительного оборудования и программ позволяют профессионалам относительно легко получать доступ к информации на персональных компьютерах. Ввод кода для ограничения доступа к ПК не гарантирует абсолютную защиту информации.

Угрозы, преднамеренно созданные злоумышленником или группой людей (преднамеренные угрозы), часто являются сложными и могут иметь серьезные последствия и поэтому заслуживают более подробного анализа.

Как правило, существует три основных типа угроз безопасности. Угрозы раскрытия, целостности и отказа в обслуживании. Угроза раскрытия заключается в том, что информация становится известной тому, кто ее не знает. С точки зрения компьютерной безопасности угроза раскрытия всегда возникает при получении доступа к конфиденциальной информации, хранящейся в компьютерной системе или передаваемой из одной системы в другую.

Нарушения конфиденциальности (раскрытия) информации не ограничиваются несанкционированным чтением документов или электронных писем. Во-первых, он перехватывает и дешифрует сетевые пакеты (как вы знаете, информация о сети передается в пакетах) или анализ трафика.

Метод несанкционированного доступа (метод НРД) также представляет собой серию методов и процедур, но он предназначен для получения информации, которая защищена незаконными и незаконными методами, и воздействия на эту информацию (например, обмен, уничтожение и т. Д.) вы.Выявить каналы несанкционированного доступа

Существующие методы несанкционированного доступа к информации разнообразны: использование специальных технических устройств, использование недостатков компьютерной системы и получение конфиденциальной информации о защищенных данных.

Утечка информации техническими средствами может происходить по следующим причинам:

  • Effect Эффект микрофона элемента электронной схемы.
  • Магнитные компоненты в области электронных схем и устройств различного назначения и конструкции.

Низкочастотное и высокочастотное электромагнитное излучение;

  • Генерация паразитных генераторов усилителей различного назначения.
  • Помехи в цепи питания электронной системы.
  • Помехи в цепи заземления электронной системы.
  • Взаимные эффекты между проводами и линиями связи.
  • Высокочастотное наложение мощных электронных устройств и систем.
  • Каждый из этих каналов имеет структуру в зависимости от местоположения и условий исполнения.

Каналы утечки и методы несанкционированного доступа к конфиденциальным источникам информации объективно взаимосвязаны. Каждый канал соответствует определенному методу несанкционированного доступа.

В большинстве случаев телефонные линии используются в качестве проводных линий для передачи информации. Это связано с тем, что большинство компьютеров отправляют данные с помощью модема, подключенного к телефонной линии.

Распространенные способы прослушивания линии, соединяющей компьютер:

  • Прямое подключение к телефонной линии:
  • Контакты - последовательные или параллельные (напрямую к телефонной станции или где-то между телефоном и телефонной станцией);
  • Контактное (индуктивное) подключение к телефонным линиям.
  • Предположение о беспроводной ретрансляции («жучок») телефонной линии:
  • Включение последовательно.
  • Оценка состояния информационной безопасности ООО Шоп Стиль

Завершающим этапом предпроектного расследования является оценка состояния информационной безопасности организации.

Решение этой проблемы основано на анализе информации, полученной на этапе исследования информационных технологий.

Целью этого этапа является обеспечение того, чтобы уровень регулирования информационной безопасности и организационной и технической поддержки, подлежащей аудиту, был установлен Анализ соответствия стандартным требованиям и соответствующим требованиям компаний-заказчиков. Первая область также включает работы, выполненные в области анализа рисков, исследования оборудования (исследование элементов инфраструктуры компьютерной сети и корпоративных информационных систем на предмет уязвимости, исследование безопасности точек доступа в Интернете). Этот рабочий пакет также содержит анализ рабочего процесса. Этот анализ можно выделить как самостоятельное направление.

Рассмотрим инструментальный анализ безопасности AS, предназначенный для выявления и устранения системных и аппаратных уязвимостей.

Анализ оборудования - это почти всегда сбор информации о состоянии системы защиты сети с использованием специального программного обеспечения и специальных методов. В контексте системы защиты сети понимаются только эти параметры и настройки, и их использование может помочь злоумышленнику проникнуть в сеть и нанести вред предприятию. Процесс анализа устройства безопасности моделирует как можно больше таких сетевых атак, которые может выполнить злоумышленник.

Результатом является информация обо всех уязвимостях, их серьезности и методах устранения, а также информация о широко доступной информации о сети клиента (информация, доступная для потенциальных злоумышленников).

По завершении анализа оборудования будут выпущены рекомендации по обновлению системы защиты сети. Это устраняет опасные уязвимости и повышает уровень защиты IP от действий злоумышленника при минимальных затратах на защиту информации.

Информация, полученная в результате комплексной оценки, является отправной точкой для администраторов при принятии административных решений, которые повышают безопасность информационных ресурсов.

Определение классов безопасности системы и показателей безопасности от несанкционированного доступа.

Коммерческая тайна - это система, которая поддерживает конфиденциальность информации и позволяет владельцу увеличивать доход, избегать необоснованных затрат и позиционировать продукт, работу или услугу на рынке в существующих или потенциальных ситуациях. Так что вы можете пользоваться другими коммерческими преимуществами. Информация, защищенная компанией, не может быть классифицирована как коммерческая тайна. На основании этого может быть определен четвертый класс безопасности системы.

Определение и требования информационной безопасности

Бухгалтерские данные в различных форматах отчетов хранятся в течение длительного времени как в электронном, так и в бумажном формате. Информация о состоянии финансово-хозяйственной деятельности компании в текущем периоде может быть получена только с той же информацией, что и в предыдущем периоде, поэтому потеря, повреждение и изменение этой информации могут нанести значительный ущерб компании Есть Чтобы механизм учета работал должным образом в рамках информационной безопасности, должна быть обеспечена целостность и целостность базы данных, и информация в базе данных не должна быть потеряна или случайно изменена.

Все препятствия для базы данных - не просто моральный ущерб корпоративным сотрудникам и сетевым администраторам. С развитием технологии электронных платежей безбумажные рабочие процессы и значительные сбои в работе локальных сетей могут парализовать работу компании и привести к видимым потерям. В то же время защита данных для компьютерных сетей становится одной из самых серьезных проблем.

Имея эту информацию, вы должны убедиться, что все три стандарта безопасности соблюдены.

  • Конфиденциальность-информация должна быть доступна только людям в определенных кругах.
  • Целостность - гарантия существования информации в ее первоначальном виде.
  • Доступность - возможность для авторизованных пользователей получать информацию в нужное время.

Это связано с тем, что потеря, фальсификация или раскрытие информации из этих баз данных могут иметь серьезные последствия в виде потери, временного прерывания работы компании и т. Д.

Вам также необходимо обеспечить целостность и доступность данных, полученных от поставщиков компонентов: цены и список доступных продуктов. Отсутствие доступа к этой информации может остановить выполнение клиентом оптовых заказов и негативно повлиять на деловые операции.

Отчеты и платежные поручения, отправляемые через Интернет, должны обеспечивать целостность данных.

Требования к показателям для четвертого класса безопасности:

1. Дискреционные принципы контроля доступа.

Комплексные протекторы (KSZ) должны контролировать доступ к именованным объектам (файлам, программам, томам и т. Д.) Именованных объектов (пользователей). Для каждой пары средств компьютерной технологии (CBT) (субъект-объект) должно быть указано явное и однозначное перечисление типов разрешенного доступа (чтение, запись и т. Д.). Тип доступа, разрешенный для конкретного объекта (отдельного лица или группы лиц) к этому ресурсу CBT (объекту). Вы должны предоставить элементы управления, чтобы ограничить распространение прав доступа. Контроль доступа должен применяться к каждому объекту и каждому субъекту (отдельному лицу или группе эквивалентных лиц). Механизмы, которые реализуют дискреционные принципы управления доступом, должны обеспечивать возможность разрешенных изменений в правилах управления доступом (PDD), включая возможность разрешенных изменений в списке пользователей CBT и списке защищаемых объектов. Есть Право на изменение PRD должно быть предоставлено выбранному объекту (администрация, службы безопасности и т. Д.).

Кроме того, KSZ должен включать механизм реализации произвольного TDR как для явных действий пользователя, так и для скрытых действий. Это защищает объект от взлома (то есть от несанкционированного доступа с точки зрения конкретного TDR). «Явный» здесь означает действия, выполняемые с использованием системных инструментов (системные макросы, инструкции языка высокого уровня и т. Д.) И «скрытое» использование собственной программы для управления устройством. Средства другие действия, в том числе.

Дополнительное сквозное соединение в этом классе систем дополняет требуемое сквозное соединение.

2. Учетный принцип контроля доступа.

Для реализации этого принципа каждый субъект и метка таксономии каждого объекта должны сравниваться, чтобы отразить их положение в соответствующей иерархии. С помощью этих меток вы должны назначить уровни классификации (например, уровни уязвимости и категории конфиденциальности) субъектам и объектам, которые являются комбинацией иерархических и неиерархических категорий. Эти метки должны быть основой принципа делегирования контроля доступа.

При вводе новых данных в систему KSZ должен запросить и получить классификационный знак для этих данных от авторизованных пользователей. В случае разрешенной записи в список пользователей нового объекта, сравнение классификационного знака должно быть выполнено для него. Внешняя классификационная метка (предмета, объекта) должна точно соответствовать внутренней метке (в пределах KSZ).

KSZ должен реализовывать принцип делегирования контроля доступа для всех объектов, которые имеют явный и скрытый доступ от любого объекта.

- Субъект будет читать объект, только если иерархическая классификация на уровне классификации субъекта больше или равна иерархической классификации на уровне классификации субъекта, а неиерархические категории на уровне классификации субъекта включают все иерархические категории на уровне классификации субъекта. вы можете;

-Субъект включается в объект только в том случае, если уровень классификации субъекта в иерархической классификации не превышает уровень классификации объекта в вы пишете.

Обязательные реализации PRD должны включать варианты поддержки: Изменение уровней классификации объектов и объектов специально назначенными объектами.

CBT требует, чтобы вы реализовали менеджер доступа. Инструмент, который перехватывает контроль доступа в соответствии со всеми вызовами от субъекта к объекту и указанным принципам контроля доступа. В этом случае решение об авторизованном запросе на доступ необходимо принимать только в том случае, если оно одновременно обрабатывается как необязательными, так и обязательными PDD. Следовательно, необходимо контролировать не только один акт доступа, но и поток информации.

3. Очистить память.

KSZ должен запретить доступ к остаточной информации субъекта при первоначальном бронировании или при перераспределении внешней памяти. При перераспределении оперативной памяти KSZ необходимо ее очистить.

4. Изоляция модуля.

Если KSZ CBT имеет мультипрограммирование, необходимы программные и аппаратные механизмы для отделения программных модулей одного процесса (одного субъекта) от программных модулей другого процесса (другого субъекта). В основной памяти компьютера программы разных пользователей должны быть защищены друг от друга.

5. Маркировка документов.

Когда защищенная информация отображается в начале и в конце документа, нажимается штамп № 1 и его данные заполняются в соответствии с номером инструкции 0126-87.

6. Защита ввода / вывода для маргинальных физических носителей.

KSZ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные («помеченные»). При вводе с «тегированного» устройства (вывод на «тегированное» устройство) KSZ должен проверять соответствие между меткой (уровнем классификации) объекта ввода (вывода) и меткой устройства. При использовании «помеченных» каналов связи должно быть обеспечено такое же соответствие.

Изменения в назначении и расположении устройств и каналов необходимо выполнять только под контролем KSZ.

7. Сопоставьте пользователей с устройствами.

KSZ должен гарантировать вывод информации на устройство, запрошенное пользователем, как для случайно используемого устройства, так и для идентифицированного устройства (одна и та же маркировка).

Идентифицированный KSZ должен включать механизм, обеспечивающий соответствие авторизованных пользователей выделенным устройствам.

8. Идентификация и аутентификация.

KSZ требует, чтобы пользователь идентифицировал себя при доступе к запросу, и должен подтвердить подлинность идентификатора субъекта - для аутентификации. KSZ должен хранить данные, необходимые для идентификации и аутентификации, и гарантировать, что неавторизованные пользователи или пользователи не войдут в неаутентифицированный CBT во время аутентификации.

KSZ должен быть в состоянии надежно связать полученный идентификатор со всеми действиями этого пользователя.

9. Регистрация.

KSZ должен быть в состоянии записать следующее событие.

-Использование механизмов идентификации и аутентификации.

- Запросить доступ к защищенным ресурсам (открыть файлы, запускать программы и т. Д.).

-Создавать и уничтожать объекты.

-Действие по изменению PRD.

Следующая информация должна быть записана для каждого из этих событий:

-Дата и время.

-Сущность, которая выполняет записанное действие.

- Тип события (если запрос на доступ зарегистрирован, необходимо записать объект и тип доступа);

-Если событие прошло успешно (обработан ли запрос на доступ).

KSZ должен включать средства для выборочного понимания регистрационной информации.

Кроме того, должны быть предоставлены все попытки доступа, регистрация всех действий для операторов и выделенных пользователей (таких как администраторы безопасности).

10. Целостность КСЗ.

Четвертый класс безопасности, SVT, требует регулярного контроля целостности KSZ.

Программа KSZ должна быть запущена в другой части оперативной памяти.

11. Тестирование.

Вам нужно проверить с четвертым классом безопасности.

- Выполнение пассивных ответов (перехват запросов на доступ, правильное распознавание авторизованных и неавторизованных запросов в соответствии с дискреционными и обязательными правилами, правильное сопоставление меток субъекта и объекта, запрос меток для вновь вводимой информации) Механизмы контроля доступа, разрешенные изменения в передаче данных);

- Невозможность права собственности субъектами с новыми правами.

-Очистка оперативной и внешней памяти.

-Работа механизма, изолирующего процесс в оперативной памяти.

-Документация маркировка;

-Водная защита и вывод информации на водонепроницаемые физические носители, а также отображение пользователей на устройства.

-Идентификация и аутентификация и средства их защиты;

-Запретить несанкционированный доступ пользователей.

-Работа механизма, который контролирует целостность ОВД.

-Регистрация событий, средства защиты регистрационной информации и возможность авторизации этой информации.

12. Руководство пользователя.

Документация CBT должна включать краткое руководство для пользователей, включая инструкции по использованию KSZ и его пользовательского интерфейса.

13. Руководство KSZ.

Этот документ предназначен для администраторов безопасности и должен включать следующее:

-Описание контролируемых функций.

Руководящие принципы для поколения KSZ.

-Инструкции по запуску CBT, процедуры проверки точности запуска и процедуры использования инструмента регистрации.

14. Тестовая документация.

CBT и полученные результаты испытаний и описания испытаний должны быть предоставлены.

Модель потенциального злоумышленника

Потенциальные нарушения безопасности 2:

1) неквалифицированные (или враждебные) работники.

2) Злоумышленники вне организации.

Ни один из типов правонарушителей не защищен в течение дня. Вход на рабочее место для сотрудников бесплатный, а злоумышленники могут войти в систему через Интернет.

Наиболее вероятными нарушителями являются сотрудники компании. Нет необходимости преодолевать уровень защиты от посторонних. Даже непреднамеренное (возможно, неправильное) поведение сотрудника с высоким уровнем доступа к информации может серьезно повредить систему, замедлить ее, а иногда и полностью остановить работу компании. Есть даже.

Сотрудники редко очень квалифицируются как преднамеренные нарушители информационной безопасности. В большинстве случаев это будет на уровне начинающего взломщика или просто опытного пользователя ПК.

Хотя маловероятно, что попытки взлома из внешней среды через интернет-соединение теоретически возможны. В этом случае информация, хранящаяся на сервере, не является коммерческой тайной, поэтому потенциальные учетные данные потенциального злоумышленника не предполагаются.

Основной мотивацией для действий обоих типов правонарушителей могут быть попытки уничтожить компанию (для сотрудников) в качестве мести, для развлечения или по приказу конкурента (для внешних злоумышленников). Есть Порядок конкурентов маловероятен, но если бы эта угроза была реализована, конкуренты не наняли бы опытных экспертов. Преодоление физической защиты намного дешевле.

Проектирование системы информационной безопасности отдела бухгалтерии ООО магазин «Стиль»

Рекомендации по разработке концепции информационной безопасности магазина стиля ООО

Концепция информационной безопасности организации заключается в следующем:

  • Во-первых, существует нормативный документ для обеспечения информационной безопасности организации.
  • Во-вторых, это решение проблемы информационной безопасности организации.
  • -В-третьих, этот документ основан на российском законодательстве, моральных стандартах, принципах науки и техники и регулировании организационного потенциала.

Концепции информационной безопасности организации должны быть организованы в следующих разделах:

1. Введение

Эта концепция определяет систему взглядов организации по вопросам, которые обеспечивают информационную безопасность, представляет собой систематическое представление целей и задач защиты, а также принципов и методов достижения требуемого уровня информационной безопасности.

При создании системы безопасности для информационных ресурсов организации основываются на комплексном подходе, который доказал свою эффективность и достоверность.

 

Интегрированный подход направлен на создание безопасной среды обработки информации, которая объединяет различные меры против угроз. Это включает в себя правовые, моральные, этические, организационные, программные и технические методы обеспечения информационной безопасности.

Правовой основой для разработки данной концепции являются требования нормативно-правовых документов II, действующих в России.

Эта концепция является методологической основой для организации для разработки и реализации единой политики в области информационной безопасности (политики безопасности), принятия административных решений и предоставления практических средств для ее реализации. и развитие.

2. Общие положения

Этот раздел концепции дает название и правовую основу для этого документа. Нам необходимо уточнить, что означает слово «концепция» в этом документе и какова система мнений по вопросам безопасности.

Концепция должна учитывать текущее состояние и ближайшие перспективы развития систем информационной безопасности. Он также описывает, какие объекты в информационной системе могут быть расширены и какие методологические основы могут быть использованы. В конце этого раздела вам необходимо указать, какие принципы послужили основой для построения системы информационной безопасности.

3. Цель защиты

В этом разделе концепции должны быть показаны основные объекты, к которым стремится информационная безопасность в организации.

Информационные ресурсы с ограниченным доступом, которые составляют коммерческую, банковскую тайну и другие информационные ресурсы, подвержены случайным и мошенническим воздействиям и нарушениям безопасности, форматам и типам презентаций.

-Процессы обработки информации для сбора, обработки, хранения и передачи информации, информационных технологий, правил и процедур, разработчиков систем и пользователей-технологов и их обслуживающего персонала.

- Системы обработки и анализа информации, информационная инфраструктура, включая аппаратное и программное обеспечение для обработки, передачи и отображения, каналы обмена информацией и связи, системы и средства защиты информации, средства и средства, в которых находятся конфиденциальные компоненты AS

4. Основные угрозы

В этом разделе описываются модели потенциальных злоумышленников, обсуждаются различные возможности утечки информации по технологическим каналам, определяются намеренные действия различных людей и выполняются незаконные действия. Как правило, вы должны указывать доступные пути и угрозы информационной безопасности и ее источники.

5. Основные положения технической политики по обеспечению информации и безопасности

Реализация технических политик для обеспечения информационной безопасности в организации должна исходить из того факта, что невозможно обеспечить требуемый уровень безопасности одним или только одним способом, Необходим комплексный подход через координацию системы, и каждый разработанный элемент должен рассматриваться как часть единой системы в оптимальных пропорциях технических и организационных средств.

Вам необходимо перечислить основные направления технической политики и то, как они реализуются.

Формирование системы информационной безопасности также необходимо. В зависимости от выявленной угрозы режим защиты формируется как совокупность методов и средств защиты информации. Комплекс мер по созданию системы информационной безопасности включает организационные и правовые системы (нормативные документы), организационные и технические меры (сертификация рабочего места), программы и технические меры, атомные электростанции и их системы защиты. Должен быть включен ряд мер по контролю за функционированием, набор операционных мер, набор мер по предотвращению несанкционированного доступа и набор действий для выявления таких попыток.

6. Принципы построения интегрированной системы безопасности

Построение и эксплуатация системы информационной безопасности для атомной электростанции должны осуществляться в соответствии со следующими принципами.

• Законность: включает в себя реализацию мер защиты и развитие системы информационной безопасности организации в соответствии с действующим законодательством.

• Системный. Системный подход к построению системы информационной безопасности включает взаимосвязи, взаимодействия и изменяющиеся во времени элементы, условия и факторы, которые необходимы для понимания и решения проблемы обеспечения информационной безопасности. Все это включает в себя рассмотрение.

• Комплексное. Комплексное использование методов и мер для защиты компьютерных систем охватывает все критические (критические) каналы для реализации угроз и не включает слабые места на стыке отдельных компонентов. Включает в себя скоординированное использование разрозненных средств для создания согласованной системы безопасности.

• Непрерывность защиты: непрерывный и интенсивный процесс, включая принятие соответствующих мер на всех этапах жизненного цикла АЭС.

• Своевременность: включает в себя позитивный характер мер по обеспечению информационной безопасности.

• Непрерывность и улучшение: включает меры по защите информации и постоянное совершенствование мер.

• Разумная достаточность (экономическая целесообразность). Предполагается, что уровень затрат на обеспечение информационной безопасности соответствует стоимости информационных ресурсов и величине потенциального ущерба.

Персональная ответственность: распределение обязанностей по обеспечению безопасности информации и системы ее обработки каждому сотруднику в пределах их полномочий.

Принцип наименьших привилегий: это означает предоставление пользователям наименьшего количества доступа в соответствии с производственными потребностями.

• Взаимодействие и сотрудничество: создание позитивной атмосферы для команд департаментов.

• Гибкость системы защиты: защитное оборудование должно обладать определенной степенью гибкости, чтобы обеспечить возможность изменения уровня защиты.

• Открытость алгоритмов и механизмов защиты. Суть этого принципа заключается в том, что защита не должна предоставляться исключительно для обеспечения конфиденциальности функциональных алгоритмов структурной организации и ее подсистем. Знание алгоритмов системы защиты не должно позволять ее преодолевать (даже для автора), но это не означает, что информация о конкретной системе защиты должна быть общедоступной.

Простота использования защитного оборудования. Механизм защиты должен быть интуитивно понятным и простым в использовании без значительных трудозатрат.

• Научная обоснованность и техническая осуществимость. Информационные технологии, аппаратное и программное обеспечение, меры и меры защиты информации внедрены на новейшем уровне науки и техники и научно обоснованы для достижения заданного уровня информационной безопасности. Информация, которая должна соблюдаться и установленные стандарты и требования безопасности;

• Специализация и профессионализм: участие в разработке мер и реализации мер информационной безопасности осуществляется профессиональными организациями, имеющими право предоставлять услуги в этой области, и профессиональными организациями, имеющими государственную лицензию. Должны проводиться профессионально подготовленными специалистами;

• Обязательный контроль: включает в себя обязательное и своевременное обнаружение и пресечение попыток нарушить установленные правила безопасности.

7. Приоритетная деятельность

В этом разделе следует объяснить приоритетные действия, которые будут предприняты в ближайшем будущем для описания аппаратно-программного комплекса, обеспечивающего информационную безопасность организации.

Разработайте политику IS и выберите решение для защиты политики IS

Основой организационных мер по защите информации является политика безопасности. Его эффективность во многом зависит от успешности мер по обеспечению информационной безопасности.

Политика информационной безопасности - это набор документированных административных решений, предназначенных для защиты информационных ресурсов организации. Это позволяет администраторам организации эффективно управлять и поддерживать политики информационной безопасности.

Политики безопасности основаны на анализе рисков. Учитывая риски, выявленные в вашей организации, политика информационной безопасности вашей организации должна включать следующие семь разделов:

- "Введение". Необходимость политики безопасности на основе выявленных недостатков в информационной безопасности Style LLC.

- «Политические цели». Этот раздел документа Style LLC должен отражать цели этого документа (особенно политики паролей - создавать «надежные» пароли, защищать их и регулярно Чтобы установить стандарты для изменения).

- "Объем". В этом разделе должны быть описаны любые объекты или объекты Style LLC, которые должны соответствовать требованиям этой политики (например, «Эта политика применяется ко всем сотрудникам, которые имеют доступ к любым корпоративным информационным ресурсам». Будет сделано ").

- "политика". В этом разделе должны быть разъяснены сами требования информационной безопасности (например, политики паролей включают «создание пароля», «изменение пароля», «защита паролем», «использование пароля при разработке приложений», «» Использовать пароль для удаленного доступа ");

- "ответственность". Описаны штрафы за нарушение требований, указанных в предыдущем разделе.

-Вы можете отслеживать все изменения (дата, автор, сводка изменений), внесенные в документ «История изменений этой политики».

Такая структура позволяет кратко описать все ключевые моменты, относящиеся к предмету политики безопасности организации, без привязки к конкретному технологическому решению, продукту или производителю. В противном случае концепцию информационной безопасности необходимо будет изменить из-за изменения политической ситуации в компании, но этого не произойдет.

Кроме того, политика безопасности вашей организации должна определять обязанности тех, кто разрабатывает и внедряет программы безопасности. В этом смысле политика безопасности является основой ответственности человеческих ресурсов.

Уровень управления ИС

Уровни управления информационной безопасностью включают общие действия, предпринимаемые администраторами организации.

Основной целью мер государственного уровня является разработка рабочей программы в области информационной безопасности, обеспечение ее реализации, выделение необходимых ресурсов и мониторинг ситуации.

В основе программы лежит политика безопасности, которая отражает подход организации к защите информационных активов. Руководство компании должно осознать необходимость обеспечения безопасности и распределять критически важные ресурсы для этих целей, а также назначать людей для разработки, внедрения и обслуживания систем безопасности. В случае LLC Style важно создать службу информационной безопасности, состоящую из трех человек, которые отвечают за разработку, внедрение и совершенствование систем безопасности.

С практической точки зрения, мы рекомендуем вам рассмотреть вашу политику безопасности на трех уровнях детализации. Более высокий уровень содержит решения, которые влияют на всю организацию. Они очень распространены по своей природе и исходят от организационного руководства. Список решений на этом уровне включает в себя следующие элементы:

-Принятие решения о создании или пересмотре комплексной программы для обеспечения информационной безопасности, а также назначение лица, ответственного за продвижение программы.

-Разработка целей, которые организации ищут в области информационной безопасности, и определение общих направлений для достижения этих целей.

・ Обеспечить основу для соблюдения законов и правил.

• Разработать управленческие решения по этим вопросам, связанным с реализацией программ безопасности. Вы должны рассмотреть это на уровне всей организации.

Для политик верхнего уровня цели информационной безопасности организации указываются с точки зрения целостности, доступности и конфиденциальности. Foreground - это задача, которая уменьшает количество потери, повреждения и повреждения данных, потому что компания несет ответственность за ведение критически важной учетной базы данных.

Управление защищенными ресурсами и координация их использования, назначение специального персонала для защиты критических систем и взаимодействие с другими организациями, которые предоставляют или контролируют состояние безопасности, находятся на высоком уровне.

Политика высшего уровня имеет дело с тремя аспектами: соблюдение законодательства и правоприменительная дисциплина. Во-первых, организации должны соблюдать существующие законы. Во-вторых, вам нужно следить за поведением тех, кто отвечает за разработку программ безопасности. Наконец, необходимо обеспечить некоторую осмотрительность персонала, для чего необходимо разработать систему поощрений и наказаний.

Вообще говоря, минимальные вопросы необходимо поднять на более высокий уровень. Такие заявления рекомендуются, когда обещают значительную экономию средств или когда просто невозможно сделать это каким-либо иным способом.

Следующий раздел должен быть включен в документ, который характеризует политику безопасности вашей компании.

Предисловие, определяющее озабоченность высшего руководства в отношении информационной безопасности.

・ Организация. Включает описания подразделений, комиссий, групп и т. Д., Которые отвечают за работу в области информационной безопасности.

И классификация. Опишите материалы и информационные ресурсы, доступные в организации, и необходимый уровень защиты для них.

-Характеристики постоянных мер безопасности, применяемых к сотрудникам (описание работы с точки зрения информационной безопасности, организация обучения и переподготовки персонала, процедуры реагирования на нарушения системы безопасности и т. Д.)

• Раздел, посвященный вопросам физической защиты.

• Раздел управления, который описывает, как управлять компьютерами и компьютерными сетями.

Раздел, описывающий правила ограничения доступа к производственной информации.

• Раздел, описывающий разработку и обслуживание системы.

• Раздел с описанием мер, направленных на обеспечение непрерывной работы организации.

• Юридический раздел, который подтверждает, что политика безопасности соответствует действующим законам.

Меры защиты, необходимые для учета торговой компании, включают в себя:

-Поддержка правильной конфигурации ОС.

Создание, ведение и мониторинг журналов работы пользователей по IP с использованием встроенного механизма программы 1С: Бухгалтерия 7.7.

-Определение «пробелов» в системе защиты.

・ Тестирование защитного снаряжения.

-Пароль управления изменениями.

Уровень организации

Организационные средства защиты включают организационные, технические и юридические действия, предпринятые в процессе создания и эксплуатации ИС для обеспечения защиты информации. Организационные меры охватывают системы защиты на всех структурных элементах ИС и на всех этапах жизненного цикла. В то же время организационные меры играют двойную роль в механизмах защиты: с одной стороны, полностью или частично блокируя большинство каналов утечки информации, а с другой стороны, объединяя все средства, используемые в IP. Интегрированные механизмы защиты.

Меры безопасности организации основаны на информационной безопасности законодательных и нормативных документов. Они охватывают все основные способы хранения информационных ресурсов и должны включать:

Ограничить физический доступ к объектам IP и реализовать меры безопасности.

• Ограничить возможность перехвата информации из-за наличия физических полей.

• Ограничить доступ к информационным ресурсам и другим элементам IP путем установления правил контроля доступа, шифрования и закрытия каналов передачи данных, а также выявления и уничтожения «закладок».

• Создание печатных копий массивов данных, которые важны с точки зрения потерь.

Prevention Осуществлять профилактику и другие меры против проникновения вирусов.

Организационно-правовые меры защиты, необходимые для ведения бухгалтерского учета в ООО «Стиль», включают в себя:

-Организация и поддержание надежного контроля доступа и контроля посетителей.

-Надежная защита помещений и территорий компании.

・ Организация информационной безопасности. Назначение сотрудников по информационной безопасности, систематический мониторинг персонала, учетные процедуры, хранение и уничтожение документов.

Организационные мероприятия при работе с сотрудниками компании включают в себя:

・ Интервью во время работы.

• Ознакомьтесь с правилами и процедурами использования ИС на вашем предприятии.

• Обучение правилам работы с IP для поддержания целостности и точности данных.

・ Разговор с уволенным человеком.

В результате беседы при приеме на работу устанавливается удобство приема соответствующего вакантного кандидата.

Обучение сотрудников включает в себя не только приобретение и систематическое поддержание высокого уровня производственных навыков, но и психологическое обучение с глубоким убеждением в том, что промышленные (производственные) секреты и требования информационной безопасности должны быть соблюдены. вы. Систематическое обучение позволяет руководителям и сотрудникам защищать коммерческие интересы компании. Разговор с людьми, которые уходят, является основной целью предотвращения раскрытия или неправильного использования информации. Во время беседы каждый вышедший на пенсию сотрудник имеет твердую обязанность не раскрывать секреты компании, и эти обязательства, в принципе, поддерживаются подпиской о неразглашении, известной сотруднику. Нужно подчеркнуть.

Организационно-технические меры защиты включают следующие ключевые меры:

Резервное копирование (наличие в архиве всех основных компонентов операционной системы и программного обеспечения, копия таблицы распределения файлов на диске, ежедневное управление архивами изменяемых файлов).

Предотвращение (систематическая выгрузка содержимого активной части жесткого диска на дискеты, хранение компонентов программного обеспечения и пользовательских программ отдельно, хранение неиспользуемых программ в архивах)

Ревизии (проверка на вирусы вновь поступивших программ на дискеты и вирусы, систематическая проверка длины файлов, хранящихся на жестком диске, использование и постоянные проверки контрольных сумм при хранении и передаче программного обеспечения, жесткие Проверьте содержимое загрузочного сектора диска и используемого системного диска));

• Фильтрация (разбиение жесткого диска на логические диски с различными вариантами доступа с использованием резидентного программного обеспечения, которое контролирует файловую систему).

Все эти меры включают, в некоторой степени, использование различных инструментов защиты программного обеспечения. К ним относятся архиватор WinRar, программа резервного копирования для критических компонентов файловой системы, просмотр содержимого файлов и загрузочных секторов, вычисление контрольных сумм и фактических программ защиты. Резервное копирование данных ИС должно осуществляться с помощью встроенных инструментов программы 1С Бухгалтерия 7.7.

Технологический уровень информационной безопасности

Информационная безопасность инженерно-технического обеспечения при реализации необходимых технических мероприятий должна исключать:

- Несанкционированный доступ к оборудованию для обработки информации путем контроля доступа в бухгалтерию.

- Несанкционированное удаление носителей персоналом, вовлеченным в обработку данных, с помощью контроля выхода.

・ Неверный ввод данных в память, изменение или удаление информации, хранящейся в памяти.

Несанкционированное использование систем обработки информации и, как следствие, незаконное получение данных.

Доступ к системам обработки информации через самодельные устройства и незаконный сбор данных.

・ Возможность несанкционированной передачи данных через компьютерную сеть.

-Неуправляемый ввод данных в систему.

・ Несанкционированное чтение, изменение или удаление данных во время передачи или транспортировки носителей информации.

Инженерная защита использует следующие инструменты:

Физические средства;

・ Оборудование

・ Программное обеспечение.

Защита информации от большинства угроз основана на технических и технических мерах. Инженерная защита - это специальный орган, технические средства и набор средств, которые работают вместе для выполнения определенной задачи защиты информации.

Чтобы построить физическую систему безопасности, вам нужны следующие инструменты

Устройство сигнализации, которое обеспечивает попытки вторжения и обнаружения несанкционированных действий, а также оценки их опасности.

Системы связи, которые обеспечивают сбор, интеграцию и передачу тревожной информации и других данных (для этой цели подходят организации офисной телефонной станции).

Сотрудники службы безопасности, которые выполняют ежедневные программы безопасности, системное администрирование и использование в чрезвычайных ситуациях.

Инженерные мероприятия, необходимые для ведения бухгалтерского учета в ООО «Стиль», включают в себя:

-Защита акустических каналов.

・ Скрининг бухгалтерии.

Аппаратное обеспечение включает оборудование, устройства, приборы и другие технические решения, используемые для обеспечения безопасности. Бухгалтерский учет требует следующего:・ Поместите устройство, предназначенное для предотвращения несанкционированного переключения терминала в пользовательский терминал (блокировщик). ・ Обеспечьте идентификацию терминала (схема генерации идентификационного кода). ・ Обеспечьте идентификацию пользователя (индивидуальная магнитная карта).

Программные средства - это специальные программы, программные системы и системы защиты информации для информационных систем и средства обработки данных различного назначения.

Задачами защиты программного обеспечения являются:

Идентификация и аутентификация.

Контроль доступа

Integrity Обеспечение целостности и безопасности данных.

-Управление объектами взаимодействия.

-Регистрация и мониторинг.

Создание системы информационной безопасности

Разработка структуры системы

В соответствии с установленными требованиями, в бухгалтерском учете ООО «Стиль» система информационной безопасности должна включать в себя следующие подсистемы:

• Подсистема идентификации и аутентификации пользователя.

Подсистема защиты от вредоносного программного обеспечения.

• Подсистема резервного копирования и архивирования.

Subs Подсистема информационной безопасности в локальной сети.

Подсистема целостности данных.

-Системы регистрации и учета.

Подсистема обнаружения сетевых атак.

Подсистема идентификации и аутентификации пользователей

Предотвращение ущерба, связанного с потерей учетных данных, хранящихся на компьютере, является одной из наиболее важных задач для бухгалтерского учета компании. Во многих случаях основной причиной этих потерь, как известно, является корпоративный персонал. Чтобы предотвратить случайное или преднамеренное изменение, изменение, повреждение или уничтожение данных, каждый сотрудник должен иметь доступ только к компьютерам на своем рабочем месте.

Основным методом защиты информации считается внедрение средств так называемых AAA или 3A (аутентификация, авторизация, управление-аутентификация, авторизация, управление). Среди инструментов ААА важное место занимают аппаратные и программные системы для идентификации и аутентификации компьютеров (SIA).

С SIA сотрудники могут получить доступ к компьютеру или корпоративной сети только после прохождения процедур идентификации и аутентификации. Идентификация - это идентификация пользователя по уникальным или назначенным идентификационным атрибутам. Проверка личности пользователя, представленной пользователю, выполняется в процессе аутентификации.

Современные SIA в зависимости от типа используемой функции идентификации подразделяются на электронные, биометрические и комбинированные.

Бухгалтерский учет будет использовать систему идентификации и аутентификации Rutoken.

Rutoken RF - это USB-токен со встроенной радиочастотной меткой (RFID-метка). Он предназначен для пользователей для доступа к компьютерным информационным ресурсам и физического доступа к зданиям и сооружениям.

RUTOKEN RF сочетает в себе функции USB-токенов, смарт-карт и бесконтактных электронных пропусков.

-Сильная двухфакторная аутентификация и защита информационных ресурсов при доступе к компьютеру.

-Безопасное хранение ключей шифрования и цифровых сертификатов.

-Применения в системах контроля и управления доступом, систем учета времени и аудита перемещений сотрудников.

・ Используйте в форме электронного пути контрольной точки.

Электронный идентификатор RUTOKEN - это небольшое устройство, которое подключается к USB-порту компьютера. RUTOKEN похож на смарт-карту, но не требует использования дополнительного устройства (ридера).

RUTOKEN предназначен для аутентификации информации и пользователей, имеющих доступ к различным системам, и для безопасного хранения паролей, ключей шифрования и цифровых сертификатов. RUTOKEN решает проблему утверждения и совместного доступа к сети, контролирует доступ к защищенным информационным ресурсам, обеспечивает необходимый уровень безопасности при работе с электронной почтой, а также предоставляет пароли и ключи шифрования. Вы можете сохранить.

RUTOKEN внедряет файловую систему для организации и хранения данных в соответствии с ISO 7816. Этот токен поддерживает стандарты PS / CS и PKCS # 11. Это позволяет быстро включить поддержку RUTOKEN как в новые, так и в существующие приложения.

RUTOKEN используется для решения следующих задач:

сертификация

Замените защиту паролем при доступе к базам данных, VPN-сетям и ориентированным на безопасность приложениям для аппаратной и программной аутентификации.

Шифрование соединения при доступе к почтовому серверу, серверу баз данных, веб-серверу, файловому серверу и аутентификации с помощью удаленного управления.

Защита данных

Защита электронной почты (EDS, шифрование).

-Защита доступа к компьютеру (аутентификация пользователя при входе в операционную систему).

RUTOKEN выступает в качестве единого устройства идентификации для доступа пользователей к различным элементам корпоративной системы, с необходимыми элементами управления доступом, автоматическими цифровыми подписями созданных документов, аутентификацией при доступе к компьютерам и приложениям системы. Это обеспечивает.

Технические характеристики:

-На основе защищенного микроконтроллера.

Интерфейс USB (USB 1.1 / USB 2.0).

-8, 16, 32, 64, 128 КБ памяти EEPROM.

Двухфакторная аутентификация (когда RUTOKEN становится доступным и предоставляется PIN-код);

-Уникальный 32-битный серийный номер.

Стандартная поддержка:

o ISO / IEC 7816;

o ПК / ПК;

o ГОСТ 28147-89;

o Microsoft Crypto API и Microsoft Smartcard API.

o PKCS # 11 (v. 2.10+).

Брелок сочетает в себе бесконтактный путь для выхода из объекта и доступа к компьютерной сети. Чтобы покинуть объект, вы должны показать RF RUTOKEN, и если идентификатор отключен от USB-порта компьютера, сеанс пользователя будет автоматически заблокирован.

RUTOKEN RF использует пассивные радиочастотные метки EM-Marine, Indala, HID (рабочая частота 125 кГц). Это самые распространенные теги в современной России, и совместимые с ними считыватели установлены в большинстве существующих систем контроля и управления доступом.

Подсистема защиты от вредоносных программ

Согласно многочисленным исследованиям, наиболее распространенными и наиболее опасными информационными угрозами являются вирусы, трояны, шпионское ПО и другие вредоносные программы. Затем для его защиты используется антивирус. Кроме того, каждый компьютер, независимо от того, подключен ли он к Интернету или нет, должен быть оснащен этим средством безопасности.

Антивирус Касперского 2010 используется для защиты учетной информации Style LLC от вредоносного программного обеспечения.

Антивирус Касперского 2010 - это решение, которое в основном защищает ваш компьютер от вредоносных программ. Продукт включает в себя основные инструменты безопасности ПК. Мы рекомендуем использовать дополнительный брандмауэр для полной защиты вашего компьютера.

Общепризнанная антивирусная технология защищает ваш компьютер от новейших информационных угроз, в том числе:

Вирусы, трояны, черви, шпионские программы, рекламное ПО и т. Д.

Новые и быстро распространяющиеся неизвестные угрозы

Руткиты, буткиты и другие сложные угрозы

Незаконные методы удаленного управления ботнетами и компьютерами других пользователей.

Антивирус Касперского 2010 использует новейшие технологии защиты для обеспечения безопасности и стабильной работы вашего компьютера.

Усовершенствованная защита личных данных, в том числе усовершенствованная защищенная виртуальная клавиатура.

Система мгновенного обнаружения угроз, которая немедленно блокирует новые вредоносные программы

Warning Модуль проверки ссылок, предупреждающий о зараженных или опасных сайтах

Новое поколение проактивной защиты от неизвестных угроз

-Специальный игровой профиль для временного отключения обновлений, плановых проверок и уведомлений.

Возможности Антивируса Касперского 2010: Базовая защита:

Защита от вирусов, троянов и червей

Protection Защита от шпионского и рекламного ПО

  • ・ Сканирование файлов автоматически по требованию
  • ・ Подтверждение почтового сообщения (для почтового клиента)
  • ・ Проверьте интернет-трафик (в случае интернет-браузера)

Protection Защита интернет-пейджера (ICQ, MSN)

Профилактическая защита от новых вредоносных программ

Тестирование скриптов Java и Visual Basic Защита от угроз:

Поиск уязвимостей в ОС и установленном программном обеспечении

Анализ и устранение уязвимостей браузера Internet Explorer

Блокировать ссылки на зараженные сайты

Recognition Распознавание вирусов методом упаковки

Глобальный мониторинг угроз (Kaspersky Security Network)

Восстановление системы и данных:

Возможность установки программ на зараженные компьютеры

Function Функция самозащиты от отключения или остановки программы

Восстановите правильные настройки системы после удаления вредоносных программ.

Доступность инструментов для создания дисков аварийного восстановления Защитите конфиденциальные данные:

Блокировать ссылки на фишинговые сайты

Защита от всех типов клавиатурных шпионов Простота использования:

Автоматическая настройка программ во время установки

Готовые решения (для общих проблем)

Визуальное отображение результатов программы

Полезные диалоговые окна для пользователей, чтобы принимать обоснованные решения

Функция выбора простого (автоматического) режима работы и интерактивного режима работы

Technical 24/7 техническая поддержка

Автоматическое обновление базы данных.

Подсистема резервного копирования и архивирования

Одним из эффективных способов устранения последствий информационных и компьютерных катастроф, изменения информации и ее потери является правильная организация резервного копирования данных на вашем предприятии.

Лучшим решением для централизованного резервного копирования данных на рабочих станциях корпоративной сети является рабочая станция Acronis True Image 9.1. Это комплексный продукт для резервного копирования информации на рабочих станциях, которые являются частью локальной компьютерной сети компании. С помощью этой программы вы можете создать резервную копию:

1) Жесткий диск и его разделы, все данные, операционные системы и приложения, хранящиеся на них.

2) Самые важные файлы и папки для пользователя.

Поддержка как 64-разрядных, так и 32-разрядных версий Windows обеспечивает эффективную защиту данных на компьютерах разных поколений. В случае катастрофической программной или аппаратной ошибки рабочая станция Acronis True Image 9.1 позволяет выполнить полное восстановление системы или восстановить отдельные файлы и папки. Система может быть восстановлена ​​либо на старый компьютер, либо на новый компьютер или виртуальную машину с другим оборудованием.

С консоли управления Acronis, которая является частью рабочей станции Acronis True Image 9.1, вы можете удаленно управлять всеми компьютерами в сети. Установите агенты (приложения, необходимые для резервного копирования каждого компьютера), создайте резервные копии и восстановите данные. Централизованное управление облегчает работу администраторов и снижает общую стоимость обслуживания корпоративной сети.

Благодаря уникальной технологии Acronis Drive Snapshot рабочая станция Acronis True Image 9.1 выполняет резервное копирование данных без выключения или перезапуска рабочей станции. Это позволяет избежать перерывов в работе персонала.

Подсистема обнаружения сетевых атак

RealSecure Server Sensor - это программное решение, которое может обнаруживать все атаки (т. Е. Все уровни), направленные на определенные узлы сети. RealSecure Server Sensor обеспечивает возможность анализа безопасности и обнаружения уязвимостей на отслеживаемых хостах в дополнение к обнаружению атак.

RealSecure Server Sensor может отслеживать журналы операционной системы и журналы приложений, работающих в этих операционных системах. Кроме того, RealSecure Server Sensor может обнаруживать атаки на сети TCP / IP и SMB / NetBIOS, построенные на сетевых архитектурах, поддерживаемых управляемыми компьютерами.

Подсистема информационной безопасности локальной сети

Подсистема информационной безопасности локальной сети реализована с использованием программного обеспечения Secret Net. Система защиты информации Secret Net - это программно-аппаратный комплекс, предназначенный для обеспечения информационной безопасности локальных сетей.

Безопасность рабочей станции и сетевого сервера обеспечивается различными механизмами безопасности.

Строгая аутентификация:

  • Авторизованный выборочный контроль доступа,
  • Закрытая программная среда,
  • Protection Зашифрованная защита данных
  • Другие механизмы защиты.

Администраторам безопасности предоставляется единый инструмент управления для всех механизмов защиты. Это позволяет централизованно управлять и контролировать выполнение требований политики безопасности.

Вся информация о событиях в информационной системе, связанной с безопасностью, записывается в единый журнал. Администраторы безопасности могут быть немедленно проинформированы о попытках мошенничества пользователей.

Существуют инструменты для генерации отчетов, журналов предварительной обработки и управления операциями удаленной рабочей станции. Секретная сеть Компонент:

Система Secret Net состоит из трех компонентов.

Клиентская часть.

Сервер безопасности.

-Система управления.

Система Secret Net имеет архитектуру клиент-сервер, в которой секция сервера обеспечивает централизованное хранение и обработку данных системы безопасности, а секция клиента обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных. ,

Сервер безопасности устанавливается на выделенном компьютере или контроллере домена и предоставляет решение для следующих задач:

Поддерживает центральную базу данных системы безопасности (CDB), работает под управлением СУБД Oracle 8.0 Personal Edition и содержит информацию, необходимую для работы системы безопасности.

Собирает информацию о событиях в одном журнале регистрации от всех клиентов Secret Net и отправляет обработанную информацию в подсистему управления.

Взаимодействие с подсистемой управления и передача управляющих команд управления клиентской части системы управления безопасностью.

Подсистема управления Secret Net устанавливается на рабочем месте администратора безопасности и предоставляет следующие функции:

-Централизованное управление секретными сетевыми механизмами защиты клиентов.

Контроль всех событий, связанных с безопасностью информационной системы.

• Контролировать поведение сотрудников внутри ИС организации и быстро реагировать на факты и попытки несанкционированного доступа.

• Запланируйте начать процедуру копирования CDB и архивирования регистрационного журнала.

Благодаря схеме управления, реализованной в Secret Net, вы можете управлять информационной безопасностью с точки зрения реальной предметной области и строго разделять полномочия между администраторами сети и безопасности.

Подсистема целостности данных

Целостность информационной базы учета обеспечивается встроенным механизмом программы 1С Бухгалтерия 7.7. При удалении отмеченного объекта 1С Бухгалтерия 7.7 автоматически находит ссылку на удаленный объект. В диалоговом окне для удаления отмеченного объекта кнопка «Удалить» становится активной только после нажатия кнопки «Управление», чтобы найти ссылку на объект.

После мониторинга программа выводит сообщение о количестве объектов, которые нельзя удалить. Удаление этих объектов приведет к нарушению ссылочной целостности и приведет к несанкционированному манипулированию информационной базой (рисунок 11).

Информация о ссылке на этот объект отображается в диалоговом окне для удаления помеченного объекта (рисунок 12).

1С: При работе с корпоративной системой могут возникать различные необычные ситуации, такие как выключение компьютера, «зависание» операционной системы или неисправное оборудование. 1С: Такая ситуация, которая возникла при записи изменений в таблицы в информационной базе корпоративной системы, может привести к неверному состоянию информационной базы. Внешний вид некорректного состояния информационной базы меняется до тех пор, пока 1С: Предприятие не может быть запущено.

Процедура «Тестирование и исправление информационных баз» предназначена для диагностики информационных баз в форматах DBC и MS SQL Server 6.5 и устранения ошибок.

Подсистема регистрации и учета

Данная подсистема реализована с использованием встроенных инструментов системы 1С Бухгалтерия 7.7. Регистрация и учет осуществляются в специальном режиме мониторинга.

User Monitor - это дополнительный инструмент, предназначенный для управления системами 1С: Предприятия.

Используйте этот монитор для просмотра списка активных пользователей, то есть пользователей, которые в данный момент работают в информационной базе. Кроме того, вы можете использовать монитор для анализа журналов (истории пользователей) действий, выполненных пользователями за определенный период времени.

Чтобы вызвать основные функции пользовательского монитора в режиме запуска «Монитор», используйте пункты «Активный пользователь» и «Журнал» в столбце «Монитор» главного меню или соответствующие кнопки панели инструментов. Работа этих функций выполняется так же, как и режим запуска «1С: Предприятие». Архивация журнала

В дополнение к основным функциям (список активных пользователей и просмотр журналов), режим запуска «монитор» также предоставляет возможность архивировать журналы.

В режиме отображения журнала есть функция отображения событий текущего журнала и событий заархивированного периода. Кроме того, данные автоматически извлекаются из архива, если интервал, выбранный для просмотра, включает период, в течение которого события помещаются в архив. Конечно, при доступе к архивным данным требуется дополнительное время для извлечения необходимой информации.

Чтобы вызвать функцию архивирования журнала, выберите пункт меню «Архив журнала» в столбце «Монитор» главного меню или нажмите соответствующую кнопку на панели инструментов.

Режим архивации может быть вызван, только если никто не использует эту информационную базу в режиме запуска 1С: Предприятия.

Когда вызывается режим архивации, появляется диалоговое окно, в котором вы устанавливаете период архивирования данных в журнале регистрации. В верхней части диалогового окна отображаются даты начала и окончания текущего журнала.

Архивация всегда начинается с самого раннего события в текущем журнале. Фактически, первая граница периода архивирования всегда определяется началом текущего журнала. Диалог устанавливает окончательные границы периода архивирования.

Эталонные условия для проектирования систем защиты информации

1. Общие положения

1.1. Имя системы

Система информационной безопасности магазина стиля ООО.

1.2. Код работы

Код работы - «ИБОООмс-3».

1.3. Клиенты и подрядчики

1.3.1. Заказчик-ООО "Стиль", адрес: 644010, Россия, Омская область, г. Омск, ул. Ленинградская, д. 1.

1.3.2. Разработчик-Омский государственный технический университет, кафедра прикладной математики и информационных систем, адрес: Россия, 644050, г. Омск, пр. Мира 11, тел. 65-20-48.

1.4. Развитие инфраструктуры

Договор № ### на создание системы информационной безопасности ООО Стиль. Л, директор ООО «Стиль». Утверждено Узковой 1 апреля 2010 г.

1,5. предельный срок

1.5.1. Разработка и ввод в эксплуатацию ИБОООМС-3 будут проведены в срок. Начало работы - 1 апреля 2010 г. -Завершение работы-31 мая 2010 г.

1.6. Информация об источниках финансирования работ

1.6.1. Источник финансирования - ООО "Стиль".

1.6.2. Порядок финансирования определяется по номеру контракта ###.

1.6.3. Сумма кредита составляет 80000 рублей.

1.7. Порядок регистрации и представления результатов работы

Результат работы будет создан в порядке, указанном в договоре № ### от 1 апреля 2010 года. 1,8. Изменить процедуру 1.8.1. Текущие исходные условия (TOR) позволяют изменять и уточнять требования на основе решений клиента. 1.8.2. Изменения в этом ТЗ должны быть задокументированы в приложении или протоколе, подписанном заказчиком и подрядчиком. Приложение или протокол в этом случае является неотъемлемой частью данного технического задания.

2. Цель и задачи создания системы

2.1.1. Разрабатываемый NIB призван стать комплексным решением для задачи обеспечения информационной безопасности подразделения на основе последних требований, последних нормативных документов, технических требований и новых технологий и оборудования, которые отвечают требованиям агентств по мониторингу состояния. вы. Основной функцией системы информационной безопасности является обеспечение надлежащей защиты, целостности и конфиденциальности информационных ресурсов компании. Предметом защиты информации является ООО "Стиль".

2.2. Системные цели

Основными целями системы информационной безопасности являются обеспечение стабильного функционирования компании, предотвращение угроз безопасности, защита законных интересов компании от незаконных нарушений, кража финансовых ресурсов, раскрытие публичной информации, потеря и утечка информации. Искажение, разрушение, обеспечение нормального функционирования всех работников предприятия. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и обеспечение безопасности интересов клиентов.

3.Характеристики охраняемого объекта

Stil LLC - компания с распределенными коммерческими информационными ресурсами в защищенной корпоративной сети.

3.1. Защита для деятельности бухгалтерии.

3.2. Управление должно осуществляться в соответствии с техническими этапами процесса управления (планирование, учет, управление, анализ).

3.3. Информация об условиях эксплуатации ИБОООмс-3

Условия эксплуатации должны соответствовать гигиеническим требованиям терминалов видеодисплея, персональных электронных компьютеров и рабочих организаций. 4. Общие системные требования. 4.1. Структура системы и функциональные требования 4.1.1. ИБОООМС-3 структура и комплектующие

4.1.1.1. ИБОООмс-3 должен состоять из:

-Развернуть из CRM в бухгалтерию.

-Организационная поддержка.

-Регулирующая поддержка.

-Прикладное программное обеспечение (софт);

-Комплексные технические средства (КТС);

-Информационная поддержка (IO).

4.1.1.3. Программное обеспечение должно состоять из подсистем, поддерживающих класс безопасности 2А.

4.1.2. Требования к методам и мерам защиты связи

Для обмена информацией

4.1.2.1. Транспортные и сетевые уровни взаимодействия (в соответствии с 7-уровневой моделью OSI ГОСТ Р ИСО / МЭК 7498) требуют использования стандартизированного стека протоколов TCP / IP.

4.1.2.2. Каналы взаимодействия и физические уровни должны быть реализованы с использованием локальных сетей пользователей и Интернета. 4.1.3. Требования к режиму работы IBOOOMS

Работа SIB D в следующих режимах должна быть гарантирована:

-Нормальный режим (режим работы, который гарантирует, что пользователи выполняют свои функции).

• Сервисный режим (для обслуживания, перенастройки и пополнения новых компонентов).

Аварийный режим.

4.2. Количество и квалификация персонала системы и требования к режимам их работы

Персонал ИБОООМС-3 состоит из: -Из пользователей IBOOOMS-3. -Администратор ИБОООМС-3. 4,3. Требования к метрике назначения:

4.4. Требования к надежности:

4.4.1. Требования к надежности АИС UBP-2 установлены для следующих компонентов системы:

- подсистема;

-KTS.

4.4.2. СИБ Д должен быть спроектирован как продукт многократного использования с услугами многократного использования (ГОСТ 27.003-90).

4.4.3. Оценка надежности системы должна проводиться с использованием ключевых показателей надежности (ГОСТ 24.701-86 и ГОСТ 27.003-90). 4,5. Требования безопасности 4.5.1. Программное и аппаратное обеспечение ИБОООМС-3 должно быть защищено для персонала при эксплуатации, техническом обслуживании и ремонте с учетом требований ГОСТ 21552-84, ГОСТ 25861-83. 4.5.2. Электробезопасность должна соответствовать требованиям ГОСТ 12.1.030-81, ГОСТ 12.2.003, ГОСТ 12.2.007.0-75 и ГОСТ 12.2.007.13-2000. 4.5.3. Техническое оборудование должно соответствовать действующей системе национальных стандартов по охране труда и иметь сертификаты электрической и электромагнитной безопасности.

4,6. Эргономика и технические эстетические требования: <нет>

4,7. Требования к эксплуатации, обслуживанию, ремонту и хранению системного комплекта:

4.7.1. Операция ИБОООМС-3 должна выполняться в соответствии с эксплуатационной документацией и графиком технического обслуживания.

4.7.2. Услуга IBOOOMS-3 должна выполняться администратором информационной безопасности.

4.7.3. Вы имеете право использовать профессиональные услуги или устройства на объекте монтажа для обслуживания и ремонта оборудования.

4.8. Требования к эксплуатации: <нет>

4.9. Требования к защите информации от несанкционированного доступа:

4.9.1. IBOOOMS-3 должен соответствовать требованиям класса 2A «Требования к классификации и защите информации систем автоматизации» в соответствии с RD Национального технического комитета.

4.9.2. Помимо технических мер, вы должны применять организационные меры для защиты вашей информации.

4.9.3. IBOOOMS-3 должен обеспечивать средства аутентификации, авторизации, защиты целостности информации и защиты от атак. 4,10. Требования к информации об авариях

4.10.1. Необходимо обеспечить сохранность информации в случае аварии. 4.10.2. Вы должны предоставить способ резервного копирования вашей информации. Эксплуатационная документация должна включать правила, определяющие процедуры резервного копирования, восстановления данных и программного обеспечения.

4.11. Требования к чистоте патента: <нет>

4.12. Требования стандартизации и унификации: <нет> Требования к 5.Function

5.1. Подсистема контроля доступа:

Идентифицируйте и аутентифицируйте субъект доступа при входе в систему, используя как минимум шесть буквенно-цифровых условных идентификаторов (кодов) и паролей условных постоянных действий.

- Необходимо выполнять идентификацию по логическим адресам (номерам) терминалов, компьютеров, узлов компьютерных сетей, каналов связи и внешних компьютерных устройств.

- Необходимо идентифицировать программы, тома, каталоги, файлы, записи и поля записи по имени.

Информационные потоки должны управляться с использованием меток конфиденциальности. В то же время уровень конфиденциальности диска не должен быть ниже уровня конфиденциальности информации, записанной на диске.

5.2. Подсистема регистрации и учета:

Регистрация входа (выхода) для доступа к системе (из системы) должна быть выполнена. Выход из системы или выключение системы не происходит в тот момент, когда прибор выключен. Параметры регистрации указывают на следующее:

Дата и время (конец) записи для доступа (из системы) или загрузки (остановки) системы.

Результат попытки входа: успех или неудача (с несанкционированным доступом).

-Идентификатор субъекта (код или фамилия), представленный во время доступа.

Вы должны выполнить регистрацию для публикации печатного (графического) документа в печатном виде. Для публикации каждый лист (страница) документа должен быть автоматически помечен серийным номером AS и учетными данными (с указанием общего количества листов (страниц) на последнем листе документа). Параметры регистрации указывают на следующее:

Дата и время выдачи (доступ к подсистеме вывода).

Спецификация выдающего устройства [логическое имя (номер) внешнего устройства], схема (имя, тип, код, код) и уровень конфиденциальности документа.

Идентификатор субъекта доступа, который запросил документ.

Необходимо зарегистрировать запуск (завершение) программ и процессов (задач, заданий), предназначенных для обработки защищенных файлов. Параметры регистрации CRM должны указывать:

-Начать дату и время.

Название (идентификатор) программы (процесса, задачи);

- Идентификатор субъекта доступа, который запросил программу (процесс, задача).

Result Результат запуска (успех, сбой-недействительный)

Попытки получить доступ к программным средствам (программам, процессам, задачам, задачам) к защищенным файлам должны быть зарегистрированы. Параметры регистрации должны указывать:

• Дата и время попытки доступа к защищенному файлу. Отображение результатов: успех, неудача-неверно,

Идентификатор для доступа;

Спецификация защищенных файлов.

Необходимо попытаться зарегистрировать программный доступ к дополнительным объектам защищенного доступа, таким как ПК, сетевые узлы, линии связи (каналы), внешние устройства, программы, тома, каталоги, файлы, записи, поля записей и т. Д.

Параметры регистрации должны указывать:

-Попытки доступа к защищенным объектам и отображения результатов: успех, сбой-несанкционированный.

Идентификатор для доступа;

Спецификация защищаемого объекта [логическое имя (номер)];

Автоматический учет созданных защищенных файлов должен выполняться с использованием дополнительных меток, используемых подсистемой контроля доступа. Этикетки должны отражать уровень конфиденциальности объекта.

Некоторые виды учета (дублирования) защищенных носителей должны быть выполнены.

5.3. Криптографическая подсистема:

- Шифрование всей информации, записанной на общем (различном) носителе данных канала связи, и съемный носитель долгосрочной внешней памяти, зашифрованный для хранения вне авторизованного сеанса субъекта авторизованного доступа. Надо быть В этом случае необходимо выполнить автоматическое освобождение и очистку области внешней памяти, содержащей ранее незашифрованную информацию.

Доступ субъекта к операциям шифрования и ключам шифрования должен дополнительно контролироваться подсистемой контроля доступа.

5.4. Подсистема целостности:

- Необходимо обеспечить целостность программных средств НРД СЗИ, обработанную информацию и неизменность программной среды. В этом случае:

- Целостность системы защиты данных системы защиты данных проверяется при загрузке системы в соответствии с именем (идентификатором) компонента системы защиты данных.

- Целостность программной среды обеспечивается отсутствием инструментов разработки и отладки программ в AS.

- Обеспечить физическую безопасность CBT (устройства и носители данных), обеспечить постоянное присутствие территорий и зданий, где расположены атомные электростанции, использовать видеонаблюдение, использовать строгие системы контроля доступа Необходимо предоставить специальное оборудование;

- Предоставляется менеджер по защите информации (служба), который отвечает за поддержание, нормальное функционирование и мониторинг НРД СЗИ.

Если вы изменяете программную среду и персонал AS с помощью тестовой программы, которая имитирует попытку выгрузки -NZ, вам следует проводить регулярное тестирование функциональности SZI NSD.

-Средства восстановления SZI NSD должны быть доступны, поддерживая две копии программного обеспечения SZI NSD и предоставляя им регулярные обновления и мониторинг работоспособности.

-Вы должны использовать утвержденные защитные средства. 6. Требования к типу безопасности 6.1. Требования к информационному программному обеспечению: <нет>

6.2. Требования к программному обеспечению: <нет>

6.3. Требования к информационной поддержке: <нет>

6.4. Требования к языковой поддержке: <отсутствует>

6,5. Требования к программному обеспечению

6.5.1. Построение МКС требует использования новейших программных решений от крупных поставщиков информационной безопасности.

6.6. Технические требования:

ISS основана на передовых технологиях безопасности, способности работать с любой аппаратной платформой (Windows, Unix / Linux), масштабируемости и гибкой конфигурации используемых аппаратных и программных средств защиты, а также приложений и всей ИТ-инфраструктуры. Объекты должны быть всесторонне защищены.

6.7. Взвешивание требований к поддержке: <нет>

6.8. Требования к поддержке организации:

Ответственность за нарушение системы информационной безопасности должна быть определена.

7. Состав и содержание работ, связанных с созданием системы (разработкой).

7.1. Номер этапа и название:

1) Расследование: начало этапа - 1 апреля 2010 г., конец - 31 апреля 2010 г.

2) Создание модели NIB. Начало этапа: 1 мая 2010 г., конец 31 мая 2010 г.

8. Система контроля и порядок приемки:

Вы должны контролировать функциональность NIB.

-По мощности собственного блока защиты информации (администратор безопасности);

9. Требования к конфигурации работы и содержанию для подготовки объектов автоматизации к вводу в эксплуатацию: <нет>

10. Требования к документам:

10.1. Документы, разработанные при создании ИБОООМС-3, должны соответствовать требованиям ГОСТ 34.201-89.

10,2. Проектная документация системы информационной безопасности должна включать следующие документы информационной безопасности:

Руководство пользователя.

-СЗИ администратор управления.

-Тестовая и информативная документация.

-Дизайн (проект) документации.

11. Источник развития:

1. Эталонные условия для создания системы автоматизации. ГОСТ 34.602-89.

2. Тип документа, полнота и спецификация при создании системы автоматизации. ГОСТ 34.201-89.

3. Требования к содержанию документа. РД 50-34.698-90.

В современном мире информационные ресурсы стали одним из самых мощных средств экономического развития. Наличие нужной качественной информации в нужное время и в нужном месте является ключом к успеху в любом виде бизнеса. Исключительное владение определенной информацией часто является решающим преимуществом в конкурентной борьбе, что определяет высокую цену информационного элемента. С распространением персональных компьютеров уровень компьютеризации деловой жизни вышел на совершенно новый уровень. В настоящее время трудно представить бизнес или бизнес (в том числе самый маленький), который не имеет новейших средств обработки и передачи информации. Большое количество информации, которая является очень ценной для владельца, хранится на ПК на носителе данных. Однако создание индустрии обработки информации, которая обеспечивает объективные предпосылки для значительного повышения эффективности человеческой жизни, порождает множество сложных и масштабных проблем. Одним из таких вопросов является поддержание надежной безопасности и установленного статуса использования информации, распространяемой и обрабатываемой в распределенных информационных системах.

В рамках этого курса в ООО «Магазин Стиль» была разработана система информационной безопасности для учета.

 

Заключение

В ходе курсовой работы были решены следующие задачи:

1. Обследована инфраструктура магазина «Инфраструктура» и определены исходные данные для проектирования системы информационной безопасности.

2. Разработана концепция информационной безопасности.

3. Разработана система информационной безопасности.