Теория и методология защиты информации в управлении федеральной службы государственной регистрации, кадастра и картографии по Челябинск

Автор: Пользователь скрыл имя, 16 Апреля 2012 в 09:46, курсовая работа

Описание работы

Целью руководителя Ростреестра является обеспечение надежной защиты информации на предприятии для его нормального функционирования. Поэтому цель моей работы заключается в разработке концепции защиты информации в Управлении Федеральной службы государственной регистрации, кадастра и картографии по Челябинской области, которая могла бы стать основой для формирования комплексной системы защиты информации на этом предприятии, при этом соответствовала требованиям к системе безопасности Ростреестра и помогала избежать неоправданных расходов и возрастания вероятности угроз.

Содержание

1. Введение 4
2. Краткая характеристика (паспорт) предприятия 6
3. Модель системы защиты информации на предприятии 18
4. Информационно-аналитический обзор 29
4.1. Цели и задачи защиты информации в Росреестре
по Челябинской области 29
4.2. Основные объекты и предметы защиты на предприятии 30
4.3. Факторы, влияющие на защиту информации на предприятии 32
4.4. Возможные угрозы защищаемой информации в Росреестре
и их структура 33
4.5. Источники, виды и способы дестабилизирующего воздействия
на защищаемую информацию 34
4.6. Причины дестабилизирующего воздействия на защищаемую
информацию 39
4.7. Каналы и методы несанкционированного доступа к защищаемой
информации на предприятии 41
4.8. Основные направления, методы и средства защиты информации
на предприятии 44
5. Заключение 51
6. Список использованной литературы 53
ПРИЛОЖЕНИЕ А. Примерные этапы защиты персональных
данных 55
ПРИЛОЖЕНИЕ Б. Методика вычисления вероятности реализации
угроз 57
ПРИЛОЖЕНИЕ В. Правило отнесения угрозы безопасности
персональных данных к актуальным 59
ПРИЛОЖЕНИЕ Г. Актуальность угроз 60
ПРИЛОЖЕНИЕ Д. Методика определения актуальных угроз
безопасности персональных данных 63
ПРИЛОЖЕНИЕ Е. Определение актуальных угроз безопасности
персональных данных 66
ПРИЛОЖЕНИЕ Ж. Приказ «О назначении ответственных за
обработку персональных данных» 68
ПРИЛОЖЕНИЕ И. Приказ «Об утверждении Положения о хранении
и использовании персональных данных работников» 70
ПРИЛОЖЕНИЕ К. Заявление на обработку персональных данных 71
ПРИЛОЖЕНИЕ Л. Лекции по теории информационной безопасности
и методологии защиты информации, прочитанные Рагозиным А.Н. 73

Скачать полностью (1.98 Мб) Сколько стоит заказать работу?

Работа содержит 1 файл

КУРСОВАЯ Чирковой О.А..docx

— 2.10 Мб (Скачать)

2.8. Место расположения информационной среды

1 этаж:

2 этаж:

*Данные Базы Данных имеют выход в общую сеть.

Видеокамеры

2.9. Строительная инфраструктура

1 этаж:

2 этаж:

2.10. Описание местоположения

Росреестр по Челябинской области находится на улице Елькина в административном здании с 6 этажами.
Помимо Росреестра в здании находятся еще 12 организаций.
С одной стороны здание окружает улица, с остальных сторон иные постройки.
Ближайшие остановки общественного транспорта:

Остановка «ул. Курчатова» (ул. Блюхера);

Остановка «ул. Курчатова» (ул. Воровского);
Остановка «ДК Колющенко»;
Остановка «Площадь Революции».

3. Модель системы защиты информации на предприятии.

№ п/п	Что защищать?			От кого (чего) защищать?			Как защищать?
№ п/п	Предметы защиты	Объекты	Цели защиты	Угрозы объектов защиты	Уязвимости объектов защиты	Риски объектов защиты	Правовая защита информации	Организационно-правовая защита информации	Программно-аппаратная защита информации	Инженерно-техническая защита информации
1	Информация общего доступа:		Предотвращение: - вывода из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи; - нарушения режима работы технических средств и технологии обработки информации; - физического разрушения носителя; - создания аварийных ситуаций - удаления информации с носителей; - внесения фальсифицированной информации; - повреждения отдельных элементов технических средств отображения, хранения, обработки, воспроизведения, передачи информации, средств связи; - заражения программ обработки вредоносными программами; - подключения подавляющих фильтров в информационные цепи.	- Удаление информации -внедрение фальсифицированной информации - поломка (разрушение) средств, в т.ч. разрыв (повреждение) кабельных линий связей; - создание аварийных ситуаций для технических средств (поджог, искусственное затопление, взрыв, природные катаклизмы); - вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи; - нарушение режима работы технических средств и технологии обработки информации; - физическое разрушение носителя;	- Хищение носителя информации или отображенной в нем информации (кража); - потеря носителя информации (утеря); - несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение); - несанкционированное частичное или полное изменение первоначальной информации; - блокирование информации; - разглашение информации.	- Природно-естественные; - техногенные; - социально-политические; - риски, связанные с деятельностью сотрудников предприятия; -технические и технологические; - имущественные.	Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 27.07.2010) "Об информации, информационных технологиях и о защите информации"	- Определение круга лиц, следящих за целостностью и достоверностью размещенной информации. - Служба вневедомственной охраны - Информационно-аналитический отдел	- система контроля доступа к модификации информации - защита сетевого файлового ресурса - фиксация факта доступа.	- Правовое регулирование деятельности технических средств; -установка средств предотвращения несанкционированного доступа
1.1	Информационные стенды	Персонал, объекты информатизации¹, общедоступная информация
1.2	Сайт в сети Интернет	Персонал, объекты информатизации, общедоступная информация
1.3	Публичные отчеты	Персонал, объекты информатизации, общедоступная информация
1.4	Законопроекты, законы	Персонал, объекты информатизации, общедоступная информация
1.5	Месторасположение	Персонал, объекты информатизации, общедоступная информация
2	Персональные данные		Предотвращение: - несанкционированного распространения; - создания аварийных ситуаций для носителя; - удаления информации с носителя; - создания искусственных магнитных полей для размагничивания носителей; - внесения фальсифицированной информации; - словесной передачи информации; - опубликования информации в открытой печати; - использования информации в открытых публичных выступлениях; - внесения изменения в порядок обработки информации; - вывода технических средств из строя; - воздействия природных явлений; - нарушения режима работы источников питания; - угроз безопасности личности.	- Несанкционированное распространение; - создание аварийных ситуаций для носителя; - удаление информации с носителя; - создание искусственных магнитных полей для размагничивания носителей; - внесение фальсифицированной информации; - словесная передача информации; - опубликование информации в открытой печати; - использование информации в открытых публичных выступлениях; - внесение изменения в порядок обработки информации; - вывод технических средств из строя; - воздействие природных явлений; - нарушение режима работы источников питания; - угроза безопасности личности.	- Хищение носителя информации или отображенной в нем информации (кража); - потеря носителя информации (утеря); - несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение); - несанкционированное частичное или полное изменение первоначальной информации; - блокирование информации; - разглашение информации.	- Природно-естественные; - техногенные; - социально-политические; - финансово-экономические; - риски, связанные с терроризмом; - риски, связанные с деятельностью сотрудников предприятия; -технические и технологические; - имущественные.	Федеральный закон «О персональных данных» №152 ФЗ от 27.07.06г. "Трудовой кодекс Российской Федерации" от 30.12.2001 N 197-ФЗ (принят ГД ФС РФ 21.12.2001) (ред. от 29.12.2010) (с изм. и доп., вступающими в силу с 07.01.2011) глава 14 Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" Постановление Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"	- Подбор и расстановка кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации. - Правила внутреннего трудового распорядка Инструкции - Приказ о проведении классификации ИС - Акт о проведении классификации ИС	- идентификация субъекта - контроль доступа - разграничение доступа - фиксация факта доступа - электронная цифровая подпись - пароли и ключи - антивирусная защита - защита против вредоносных программ	- Правовое регулирование деятельности технических средств; -установка средств предотвращения несанкционированного доступа
2.1	Данные о сотрудниках	Фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей
2.2	Данные о клиентах	Фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая для правильного функционирования предприятия
3	Служебная тайна:	Персонал, объекты информатизации, информация ограниченного доступа, экспертные заключения о степени секретности геодезических и картографических материалов и данных	Предотвращение: - несанкционированного распространения; - создания аварийных ситуаций для носителя; - удаления информации с носителя; - создания искусственных магнитных полей для размагничивания носителей; - внесения фальсифицированной информации; - словесной передачи информации; - опубликования информации в открытой печати; - использования информации в открытых публичных выступлениях; - внесения изменения в порядок обработки информации; - вывода технических средств из строя; - воздействия природных явлений; - нарушения режима работы источников питания.	- Несанкционированное распространение; - создание аварийных ситуаций для носителя; - удаление информации с носителя; - создание искусственных магнитных полей для размагничивания носителей; - внесение фальсифицированной информации; - словесная передача информации; - опубликование информации в открытой печати; - использование информации в открытых публичных выступлениях; - внесение изменения в порядок обработки информации; - вывод технических средств из строя; - воздействие природных явлений; - нарушение режима работы источников питания.	- Хищение носителя информации или отображенной в нем информации (кража); - потеря носителя информации (утеря); - несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение); - несанкционированное частичное или полное изменение первоначальной информации; - блокирование информации; - разглашение информации.	- Природно-естественные; - техногенные; - социально-политические; - финансово-экономические; - риски, связанные с терроризмом; - риски, связанные с деятельностью сотрудников предприятия; -технические и технологические; - имущественные.	Положение «О порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» Утверждено постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233 Федеральный закон от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" (принят ГД ФС РФ 21.01.2009)	- Подбор и расстановка кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации. - Правила внутреннего трудового распорядка Инструкции - Приказ о проведении классификации ИС - Акт о проведении классификации ИС	- Идентификация субъекта - контроль доступа - разграничение доступа - фиксация факта доступа - электронная цифровая подпись - пароли и ключи - антивирусная защита - защита против вредоносных программ	- Правовое регулирование деятельности технических средств; -установка средств предотвращения несанкционированного доступа
4	Государственная тайна:	Сведения в военной области: о дислокации, назначении, степени готовности, защищенности режимных и особо важных объектов, об их проектировании, строительстве и эксплуатации, а также об отводе земель, недр и акваторий для этих объектов, о дислокации, действительных наименованиях, об организационной структуре, о вооружении, численности войск и состоянии их боевого обеспечения, а также о военно-политической и (или) оперативной обстановке, персонал, объекты информатизации, информация ограниченного доступа	Предотвращение: - несанкционированного распространения; - создания аварийных ситуаций для носителя; - удаления информации с носителя; - создания искусственных магнитных полей для размагничивания носителей; - внесения фальсифицированной информации; - словесной передачи информации; - опубликования информации в открытой печати; - использования информации в открытых публичных выступлениях; - внесения изменения в порядок обработки информации; - вывода технических средств из строя; - воздействия природных явлений; - нарушения режима работы источников питания.	- Несанкционированное распространение; - создание аварийных ситуаций для носителя; - удаление информации с носителя; - создание искусственных магнитных полей для размагничивания носителей; - внесение фальсифицированной информации; - словесная передача информации; - опубликование информации в открытой печати; - использование информации в открытых публичных выступлениях; - внесение изменения в порядок обработки информации; - вывод технических средств из строя; - воздействие природных явлений; - нарушение режима работы источников питания.	- Хищение носителя информации или отображенной в нем информации (кража); - потеря носителя информации (утеря); - несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение); - несанкционированное частичное или полное изменение первоначальной информации; - блокирование информации; - разглашение информации.	- Природно-естественные; - техногенные; - социально-политические; - финансово-экономические; - риски, связанные с терроризмом; - риски, связанные с деятельностью сотрудников предприятия; -технические и технологические; - имущественные.	Закон РФ от 21.07.1993 N 5485-1 (ред. от 18.07.2009) "О государственной тайне" Постановление Правительства РФ от 15.04.1995 N 333 (ред. от 24.09.2010) "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" Постановление Правительства РФ от 06.02.2010 N 63 "Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне"	- Подбор и расстановка кадров, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации, осуществление на практике принципов и методов защиты информации. - Правила внутреннего трудового распорядка Инструкции - Приказ о проведении классификации ИС - Акт о проведении классификации ИС	- Идентификация субъекта - контроль доступа - разграничение доступа - фиксация факта доступа - электронная цифровая подпись - пароли и ключи - антивирусная защита - защита против вредоносных программ	Создание и использование: - экранированных помещений; - аппаратуры засекречивания; снижение и изменение различных излучений путем использования эквивалентных антенн, естественных и индустриальных помех, а также режима молчания и соблюдение установленных правил использования средств связи

4. Информационно-аналитический обзор

План

Цели и задачи защиты информации в Росреестре по Челябинской области.
Основные объекты и предметы защиты на предприятии.
Факторы, влияющие на защиту информации на предприятии.
Возможные угрозы защищаемой информации в Росреестре и их структуру.
Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии.
Причины дестабилизирующего воздействия на защищаемую информацию на предприятии.
Каналы и методы несанкционированного доступа к защищаемой информации на предприятии.
Основные направления, методы и средства защиты информации на предприятии.

Цели и задачи защиты информации в Росреестре по Челябинской области.

Целями защиты информации является принятие правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
соблюдение конфиденциальности информации ограниченного доступа;
реализацию права на доступ к информации.[10]

К задачам защиты информации на предприятии относятся:

Обеспечение управленческой, финансовой и маркетинговой деятельности предприятия режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать предприятию преимущества перед конкурентами и оправдывать затраты средств на защиту информации;
гарантия безопасность информации, ее средств
предотвращение утечки защищаемой информации и предупреждение
любого несанкционированного доступа к носителям засекреченной
информации;
документирование процесса защиты информации, особенно
сведений, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что предприятие принимало необходимые меры к защите этих сведений;
обеспечение бесперебойного снабжения деятельности предприятия необходимой информацией, как засекреченной, так и несекретной.[2, c. 313]

Основные объекты и предметы защиты на предприятии.

Основными объектами защиты в Росреестре являются:

персонал (так как эти лица допущены к работе с охраняемой законом информацией (служебная и государственная тайны, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается).
объекты информатизации – средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, а также помещения, предназначенные для проведения служебных совещаний, заседаний и переговоров с клиентами;

информация ограниченного доступа:

служебная тайна (информация, имеющая действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, без свободного доступа на законном основании, к которой применены меры по охране ее конфиденциальности; информация, относящаяся к деятельности органов государственной власти и управления, предприятий, учреждений, организаций, доступ граждан (субъектов, лиц) к которой ограничивается в интересах обеспечения их функционирования; несекретные сведения служебного характера) [2, c. 331]
государственная тайна (защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации) [8]
персональные данные работников и клиентов (любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация) [9]

защищаемая от утраты общедоступная информация:

документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников.

материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)

Предметом защиты информации в Росреестре являются носители информации, на которых зафиксированы, отображены защищаемые сведения[2, c. 311]:

Личные дела клиентов в бумажном и электронном (база данных клиентов) виде;
Личные дела работников в бумажном и электронном (база данных работников) виде;
Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты;
Сведения, составляющие служебную тайну;
Сведения, составляющие государственную тайну.

Факторы, влияющие на защиту информации на предприятии.

Требуемый уровень защиты в конкретных условиях определяется факторами, влияющими на защиту информации. Поэтому требуется формирование более полного и структурированного множества факторов, состоящих из групп факторов:

Группа 1 – факторы, определяющие характер обрабатываемой информации:

Конфиденциальность;

Объем;
Интенсивность обработки;

Группа 2 – факторы, определяющие архитектуру системы:

Биометрические размеры системы;

Территориальная распределенность системы;
Структурированность компонентов системы;

Группа 3 – факторы, определяющие условия функционирования системы:

Расположение в населенном пункте;

Расположение на территории объекта;
Обустроенность

Группа 4 – факторы, определяющие технологию обработки информации:

Масштаб обработки;

Стабильность информации;
Доступность информации;
Структурированность информации

Группа 5 – факторы, определяющие организацию работы с информацией:

Общая постановка работы;

Укомплектованность кадрами;
Уровень подготовки и воспитания кадров;
Уровень дисциплины. [6]

Возможные угрозы защищаемой информации в Росреестре и их структура.

Источник угрозы – это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Угроза – это возможная опасность (потенциальная или реально существующая) совершение какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации. [5]

Риск – уровень воздействия на производственную деятельность организации (включая миссию, функции, образ, репутацию), ее активы (ресурсы) и персонал, являющегося следствием эксплуатации информационной системы и зависящего от потенциального воздействия угрозы и вероятности ее осуществления (реализации). [12]

Нарушение физической целостности:

уничтожение;

искажение.

Нарушение логической структуры
Нарушение содержания:

несанкционированная модификация.

Нарушение конфиденциальности:

Несанкционированное получение.

Нарушение права доступа:

присвоение чужого права. [6]

Источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии.

К источникам дестабилизирующего воздействия на информацию относятся:

Люди;
Технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи;
Системы обеспечения функционирования технических средств отображения, хранения, обработки, воспроизведения, передачи информации;
Технологические процессы отдельных категорий промышленных объектов;
Природные явления.

Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защищаемую информацию являются люди.

Информация о работе Теория и методология защиты информации в управлении федеральной службы государственной регистрации, кадастра и картографии по Челябинск