Модернизация системы информационной безопасности БТИ

The Summary

 

The explanatory note contains 113 pages, which include 23 drawings, 32 tables, 1 appendix and a list of 40 bibliographic sources. The graphic part has been fulfilled on 13 A4 pages. The graduation project deals with the modernization of information security system for Federal State Unitary Enterprise (FSUE) “Rostechinventarizatsia – Federalnoye BTI”. 

The project performs an analysis of the existing system of information security, defines requirements to information security system of the enterprise as well as the class of protection of the Computer-Aided Data Processing System (CАDPS) against unauthorized access and the protection class of Computer Equipment (CE). The paper performs an analysis of meeting the requirements of the State Technical Commission (STC) to the information security system of the FSUE, detects facts of nonconformity and raises a question of information security system modernization. Within the framework of modernization of the information security system of the enterprise a programming tool for control of user access has been developed together with the model of access isolation.

In the “Workplace safety” section an evaluation of harmful factors has been carried out and measures for improvement of safety of working conditions have been offered. 

In the section “Evaluation of economic effect of modernization of information security system of FSUE” estimating of costs for the development and making of the programming tool is presented.

 

Содержание

 

Введение……………………………………………………………………………	7
1. Задача построения системы  информационной безопасности для  ФГУП «Ростехинвентаризация –  Федеральное БТИ»…………………………………...	9
1.1 Характеристика  информационных технологий и  информационной вычислительной системы ФГУП «Ростехинвентаризация – Федеральное БТИ»…………………………………………………………………………….......	9
1.2 Классификация  и характеристика угроз информационной  безопасности ФГУП……………………………………………………………………………….	16
1.3  Характеристика  возможного ущерба ФГУП от  реализации угроз информационной безопасности ФГУП…………………………………………………..	21
1.4 Определение  общих требований  к системе  защиты информации для ФГУП……………………………………………………………………………….	28
1.5 Постановка  задачи…………………………………………………………......	30
2. Исследование  существующей системы информационной  безопасности ФГУП и определение  подхода к  её модернизации……………………………..	31
2.1 Определение  требуемого класса защищенности  автоматизированной системы обработки данных (АСОД) в ФГУП………………………………………..	31
2.2 Определение  требуемого класса защищенности  средств вычислительной техники (СВТ) АСОД ФГУП………………………………...................................	39
2.3 Классификация  и характеристика современных  средств защиты информации, используемых в системе ФГУП………………………………….............	42
2.4 Определение  требований по защите информации от несанкционированного доступа для АСОД ФГУП………………………….......................................	55
2.5 Определение  подхода к повышению уровня  защиты АСОД ФГУП на основе модернизации ПО разграничения доступа…………………………………	57
3. Модернизация  программных СЗИ ФГУП для разграничения доступа……...	59
3.1 Разработка  модели разграничения доступа………………………………......	59
3.2 Определение  требований к программе разграничения  доступа…………….	66
3.3 Разработка  алгоритма программы…………………………………………….	67
3.4 Выбор среды  программирования……………………………………………..	72
3.5 Характеристика  разработанной программы для  разграничения доступа…..	74
3.6 Интеграция  разработанной программы в систему  ПО АСОД ФГУП……...	77
3.7 Разработка  инструкции программиста и пользователя……………………...	77
4 Безопасность труда…………………………………………………………........	82
4.1 Анализ и  обеспечение безопасных условий  труда………………………......	82
4.2 Расчет одного  из мероприятий по улучшению  условий труда……………...	87
Возможные чрезвычайные ситуации………………………………………….	94
5 Оценка экономического эффекта от модернизации системы информационной безопасности ФГУП…………………………………………………………..	102
5.1 Технико-экономическое  обоснование работы……………………………….	102
5.2 Определение  трудоемкости разработки программного  продукта………….	102
5.3 Расчет себестоимости программного продукта……………………………..	108
5.4 Расчет экономического  эффекта от внедрения программного  продукта.....	110
Заключение…………………………………………………………………………	113
Список использованных источников………………………………………….....	114
Приложение  А Листинг программы……………………………………………..	116

 

Введение

 

В настоящее  время информационная  безопасность (ИБ) является неотъемлемым аспектом существования коммерческих, государственных и частных организаций. Защита информации имеет серьезные причины, ведь в случае утечки информации организации могут понести не поправимый ущерб, а именно, финансовые потери, которые в конечном итоге могут привнести к деструкции организации. Но наиболее серьезны последствия в случае утечки информации, собственником которой является государство. Так как в результате данной угрозы будут затронуты интересы государства.

Но задача защиты информации является не такой уж и  легкой. Поэтому были разработаны государственные стандарты и требования к системам защиты информации (СЗИ). На сегодняшний день этим стандартом является руководящий документ Государственной технической комиссией при Президенте РФ (ГТК). Требованиям, определенным в этом документе ГТК, должны соответствовать все СЗИ которые предназначены для защиты конфиденциальной  информации. Но в случае несоответствия СЗИ требованиям ГТК должен стоять вопрос о модернизации системы ИБ.

В рамках дипломного проекта рассматривается объект, использующий в в процессе документооборота информацию, являющуюся собственностью государства. Таким образом, можно сделать вывод, что  данный объект подлежит анализу на соответствие требований выставленных ГТК, и в случае не соответствия – подлежит модернизации.

Темой дипломного проекта является: Модернизация системы информационной безопасности для ФГУП «Ростехинвентаризация – Федеральное БТИ».

Целью проекта  является: Повышение уровня защищенности системы информационной безопасности в ФГУП «Ростехинвентаризация – Федеральное БТИ».

Диплом состоит  из 5 глав. Краткое описание каждой из них приведено ниже.

В первой главе рассмотрена задача построения информационной безопасности, для решения которой проводится характеристика информационной системы предприятия, угроз ИБ, и выдвижение требований к системе защиты информационной безопасности.

Во второй главе  затрагиваются вопросы проектирования системы информационной безопасности в рамках государственных стандартов. Определяются требования к системе информационной в рамках тех же государственных стандартов. Так же производится анализ существующей системы ИБ, и выявление несоответствий требованиям государственных стандартов.

Третья глава  посвящена устранению недостатка в  системе ИБ предприятия. А именно разработке программного средства для разграничения доступа пользователям и группа АСОД предприятия. Для этого проводится разработка модели разграничения доступа, разработка алгоритма программы и описание разработанного программного продукта предназначенного для разграничения доступа на предприятии.

В четвертой  главе проводится анализ безопасности условий труда на возможные вредные факторы. Предлагаются мероприятия по их устранению. Так же производится расчет одного из вредных факторов и моделирования возможных чрезвычайных ситуаций.  

В пятой главе  производится оценка экономического эффекта от модернизации системы информационной безопасности ФГУП.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1 Задача  построения системы информационной  безопасности для ФГУП «Ростехинвентаризация  – Федеральное БТИ»

 

 

1.1 Характеристика  информационных технологий и  информационной вычислительной  системы ФГУП «Ростехинвентаризация – Федеральное БТИ»

 

Оренбургский  филиала ФГУП «Ростехинвентаризация  – Федеральное БТИ» состоит из трех межмуниципальных отделений, двух дополнительных офисов в Центральном межмуниципальном отделении, дополнительного офиса Красногвардейского в Бузулукском межмуниципальном отделении и 31 производственный участок.

Деятельностью предприятия является проведение работ  по технической инвентаризации и  оказывающих услуги в данном направлении.  

В рамках проведения работ по технической инвентаризации Федеральное БТИ осуществляет:

• обследование объектов;
• составление технической документации;
• справки о состоянии зданий;
• справки о стоимости объектов;
• изготовление и выдача заказчику технического паспорта;
• изготовление и выдача заказчику кадастрового паспорта.

Также ФГУП «Ростехинвентаризация – Федеральное БТИ» осуществляет:

• выдачу технических заключений о капитальности здания;
• постановку на учет объектов капитального строительства;
• архивное хранение технической документации.

На рисунке 1.1 представлена организационная структура ФГУП.

Из структуры  видно, что предприятие разделено  на отделы, выполняющие определенные этапы технологического процесса (документооборот) или его обслуживание. Органом, управляющим процессом и контролирующим его выполнением является управление главного офиса (Управление ГО). Управление отделами осуществляют ведущие специалисты (начальники отделов). Таким образом, можно сказать что структура имеет иерархический тип, что позволяет обеспечить четкое управление предприятием и выполнять работы по технической инвентаризации объектов в короткие сроки /32/.

Так же нельзя не отметить тот факт, что выполнение работ по данному направлению зависит в первую очередь от четко организованного технологического процесса. На рисунке 1.2 представлена структурная схема производственного документооборота  ФГУП.

Согласно схеме  производственного документооборота, заказчик подает перечень документов необходимых для технической  инвентаризации объектов в отдел  приема/выдачи документов, где составляется квитанция стоимости оказываемой услуги по прейскуранту, необходимая для отчетности в бухгалтерии. После оплаты подается заявка на составление технической документации объекта, которая впоследствии отправляется в архив и заносится в кадастровый реестр. Далее проводится оценка стоимости объекта, которая также как техническая документация отправляется в архив. Весь этот процесс контролирует и управляет им управление главного офиса.

 

 

Рисунок 1.1–  Организационная структура ФГУП «Ростехинвентаризация – Федеральное БТИ»

 

Рисунок 1.2 –  Структурная схема производственного документооборота

 

Согласно схеме  производственного документооборота, заказчик подает перечень документов необходимых для технической инвентаризации объектов в отдел приема\выдачи документов, где составляется квитанция стоимости оказываемой услуги по прейскуранту, необходимая для отчетности в бухгалтерии. После оплаты подается заявка на составление технической документации объекта, которая впоследствии отправляется в архив и заносится в кадастровый реестр. Далее проводится оценка стоимости объекта, которая также как техническая документация отправляется в архив. Весь этот процесс контролирует и управляет им управление главного офиса.

Необходимо так же сказать, что все этапы производственного документооборота обслуживаются высокотехнологичным оборудованием (материально-технической базой).

Предприятие владеет мощной материально-технической базой, использует самые современные технологии. Вся документация в компьютерном исполнении, чертежи даже на самые крупные объекты выполняются с помощью специальных плоттеров, которыми оснащено каждое отделение. 

Оренбургский филиал ФГУП «Ростехинвентаризация – Федеральное  БТИ» (далее ФГУП) оснащен современной компьютерной техникой, высокопроизводительным копировальным и множительным оборудованием. Использует современные технологии передачи и хранения данных.

Для повышения производительности труда все компьютеры объединены в локальную вычислительную сеть (ЛВС). Для обеспечения сохранности данных ЛВС поделена на независимые сегменты (производственные отделы) при помощи технологии VLAN.

Из локальной сети часть  пользователей имеет доступ в  глобальную сеть Internet для обмена электронной почтой и возможности поиска технической документации и других материалов, необходимых в работе. Работа пользователей всех подразделений в единой информационной базе данных позволяет вести автоматизированный учет выполнения работ по технической инвентаризации. Программа автоматически проверяет наличие информации об объекте недвижимости и правообладателях в базе данных, корректность внесения адресов объектов. Эти меры позволяют исключить дублирование информации об объектах недвижимости и избавиться от неконтролируемого разрастания базы данных.

Пользовательские рабочие места подключаются к серверам предприятия в терминальном режиме, что обеспечивает высокие показатели скорости работы приложений на удаленных терминалах.

Так же с использованием терминального доступа реализована  работа в программе «1С Бухгалтерия». Это решение позволяет хранить информацию на центральном сервере предприятия, что гарантирует сохранность данных, и обеспечивает оперативный контроль и получение информации о финансово-хозяйственной деятельности подразделений.

В Оренбургском филиале используется программный комплекс собственной разработки на основе Inter Base SQL server, обеспечивающий полный рабочий процесс предприятия от приема заявок до сдачи дел в электронный архив.

Комплекс разрабатывался и постоянно модифицируется с  учетом требований действующего законодательства, требований нашего Предприятия по документообороту, и других нормативных актов. Программное обеспечение изначально создавалось с учетом возможности оперативного изменения формата вносимых данных и пользовательского интерфейса, что позволит очень быстро приспособить его к будущим изменениям в структуре кадастра объектов недвижимости. Программный комплекс рассчитан на эксплуатацию с использованием технологии VPN и при своей работе требует минимальных сетевых ресурсов. Готовая техническая документация печатается на двухсторонних высокопроизводительных сетевых принтерах и плоттерах. В Оренбургском филиале ФГУП «Ростехинвентаризация» создана единая информационная система. Межмуниципальные отделения и производственные участки подключены через каналы регионального провайдера к сети головного офиса с использованием технологии VPN (виртуальная частная сеть). Технология VPN была выбрана для этих целей как обеспечивающая надежную систему передачу данных и высокий уровень защиты информации от неправомерного доступа извне. Применение технологии VPN позволяет реализовать следующее.