Система обеспечения информационной безопасности в государственном учреждении

Для контроля использования  системных утилит необходимо реализовать  требования по безопасности:

-  применение процедуры аутентификации субъектов доступа при запуске системных утилит;

-  раздельное хранение системных утилит и приложений;

-  максимальное ограничение доступности и использования системных ути-лит;

-  протоколирование использования системных утилит;

-  удаление системных утилит, использование которых в системе не преду-смотрено. 

5.6.15. Контроль и  управление доступом к приложениям 

При управлении доступом к приложениям система должна обеспечивать:

-  управление доступом пользователей к информации и системным вызовам приложений в соответствии с определенной политикой безо-пасности;

-  обеспечивать защиту от несанкционированного доступа к системным утилитам;

-  предоставление доступа к информации только ее владельцу.

Требования по ограничению  доступа к информации:

-  в системном меню должно быть реализовано управление доступом к функциям прикладных программ;

-  информация о функциях информационных систем и приложений должна предоставляться пользователю, в зависимости от уровня его доступа;

-  управление правами доступа пользователей должно быть реализовано в соответствии с функциональными возможностями системы защиты (права по чтению, записи, удалению, запуску и т.п.);

-  отправление выходных данных приложений с важной информацией только на авторизованные терминалы, включая периодическую проверку выходных данных, для контроля отсутствия избыточной ин-формации;

-  изоляция особо критичных подсистем. 

5.6.16. Мониторинг доступа  и использования систем 

В соответствии с  руководящими документами Гостехкомиссии РФ в защищенной автоматизированной системе должна быть реализована  подсистема регистрации и учета (мониторинга) с регистрацией событий, имеющих отношение к информационной безопасности, в журнале событий (системном журнале).  

В журнале событий  должно регистрироваться:

-  идентификатор пользователя;

-  дата и время входа и выхода;

-  идентификация терминала или сетевого адреса, если это возможно;

-  записи об успешных или неудачных попытках входа в систему;

-  записи об успешных или неудачных попытках получения доступа к дан-ным и иным ресурсам. 

5.6.17. Мониторинг использования  системы 

С целью мониторинга  системы необходимо реализовать  контроль точек повышенного риска:

-  фиксацию в журнале данных о доступе, включая:

-  идентификатор пользователя;

-  дата и время важных (ключевых) событий;

-  тип события;

-  затребованные файлы;

-  использованные программы и утилиты.

-  фиксацию в журнале всех привилегированных операций, таких как:

-  вход с правами суперпользователя (администратора);

-  старт и остановка системы;

-  присоединение устройств ввода-вывода.

-  фиксацию в журнале всех попыток неавторизованного доступа, таких как:

-  неудачные попытки;

-  нарушения правил политик доступа и уведомления на межсетевой экран;

-  тревоги от систем обнаружения вторжений.

-  фиксацию в журнале всех системных предупреждений и неисправностей таких как:

-  консольные уведомления или тревожные сообщения;

-  сбои при ведении системного журнала;

-  тревожные сообщения при сбоях в сетевом управлении. 

5.6.18. Управление доступом  мобильных пользователей 

Требования безопасности:

-  обеспечение физической защиты места удаленной работы, включая физи-ческую безопасность здания или ближайшего окружения;

-  обеспечение безопасности телекоммуникаций, учитывающее необходи-мость удаленного доступа к внутренним ресурсам предприятия, важность информации и систем, к которым будет осуществлен удаленный доступ, прохождение через каналы связи;

-  учет возможной угрозы неавторизованного доступа к информации или ресурсам, от иных близких к удаленному пользователю людей, например, семья, друзья.

Обеспечение безопасности:

-  обеспечение необходимым оборудованием для удаленного мобильного доступа;

-  определение разрешенных видов работ, разрешенного времени доступа, классификация информации, которая может обрабатываться удаленно, определение систем и сервисов, к которым данному мобильному пользователю разрешен удаленный доступ;

-  обеспечение необходимым коммуникационным оборудованием, включая средства обеспечения безопасности;

-  физическая безопасность;

-  правила доступа к оборудованию и информации для членов семьи и посетителей;

-  обеспечение программным обеспечением и оборудованием;

-  наличие процедур резервного копирования;

-  аудит и мониторинг безопасности;

-  аннулирование разрешения, прав доступа и возврат оборудования при отмене (завершении) удаленного мобильного доступа. 
 
 
 
 
 
 
 
 
 
 
 
 
 

Заключение 

В настоящем дипломном  проекте мною были рассмотрены и  исследованы вопросы разработки и построения эффективной системы  обеспечения информационной безопасности в государственном учреждении.

Проблема информационной безопасности в государственном  учрежде-нии стоит очень остро, так как увеличилась роль накопления, обработки, хранения и распространения  информации, а, следовательно, увеличился риск опасных информационных воздействий  на различные сферы деятельности учреждений, в том числе и вывода из строя всех средств высокотехнологического обеспечения и функционирования.

Для раскрытия темы изучены теоретические основы вопроса, а именно определение информационной безопасности, ее цели и задачи, основные  принципы обеспечения информационной безопасности, а также этапы построения эффективной системы информационной безопасности. Рассмотрены вопросы создания политики информационной безопасности организации. Раскрыта классификация угроз и источники угроз информационной безопасности.

В практической части  дипломного проекта был проведен анализ суще-ствующей системы обеспечения информационной безопасности 3-го Центра испытания и применения космических средств космодрома «Плесецк» и разработаны практические рекомендации по ее совершенствованию. Также бал разработан примерный перечень вопросов, которые необходимо включать в годовой план мероприятий по обеспечению безопасности информации и перечень организационных документов по обеспечению безопасности информации на объекте вычислительной техники, в зависимости от его категории.

Основные положения  данной работы распространяются на все  структур-ные подразделения не только 3-го ЦИП КС, а и любого государственного учреждения (с некоторыми поправками), в котором осуществляется автоматизированная обработка информации, содержащей сведения конфиденциального характера, служебную  тайну или персональные данные, а  также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение  нормального функционирования автоматизированных систем учреждения. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Список использованной литературы 

1. Конституция Российской Федерации: Принята 12 дек. 1993 года: с изм.,

внесен. Указами Президента РФ от 09.01.1996 № 20, от 10.02.1996 № 173, от 09.06.2001 № 679. - Калининград: ФГУИПП «Янтарный  сказ», 2003. - 48 с.

2. Об информации, информационных технологиях и о защите инфор-мации: Закон Российской Федерации // Российская газета, 2006. - Вып. №4131.

3. Об обороне: Закон Российской Федерации // Сборник Федеральных конституционных законов и федеральных законов, издание Государственной Думы, 1995. - Вып.5, с. 18-24.

4. О государственной тайне: Закон Российской Федерации от 21 июля 1993 г. № 5485-1.

5. О безопасности: Закон Российской Федерации от 5 марта 1992 г., № 2446-1.

6. Доктрина информационной безопасности Российской Федерации. Указ Президента Российской Федерации от 9 сентября 200 г. № 1895// Российская газета.-2000. №87 28 сентября.- с. 4

7. Уголовный кодекс Российской Федерации -   Ростов н/Д: «Феникс»,

2002.-160 с.

8. Гражданский кодекс Российской Федерации. С постатейным прило-жением материалов практики Конституционного Суда РФ, Верховного С РФ, Высшего Арбитражного Суда РФ // Сост. Д. В. Мурзин - 2-е изд., перераб. и доп. - М.: Изд.: НОРМА., 2001.-1088 с.

9. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), принятые решением Коллегии Гостехкомиссии РФ № 7.2 от 2 марта 2001 г.

10. Нормы защиты информации, обрабатываемой средствами вычисли¬

тельной техники  и в автоматизированных системах за счёт ПЭМИН, - М:

Издание Гостехкомиссии России, 1998. - 127 с.

11.  Безопасность России. Правовые, социально-экономические и научно-технические аспекты. Том 1-14. М.:МГФ «Знание», 1998-2002.

12.  Комплексная безопасность России — исследования, управление, опыт. Сборник материалов международного симпозиума. - М: Информиздат-центр, 2002. - 867 с.

13.  Автоматизированные системы. Защита от несанкционированного

доступа к информации. Классификация автоматизированных систем  и

требования по защите информации /  Сборник руководящих  документов по защите информации от несанкционированного доступа - М.: Издание  Гостехкомиссии России, 1998. - 643 с.

14.  Средства вычислительной техники. Защита от несанкционирован¬ного доступа к информации. Показатели защищённости от несанкциони¬рованного доступа к информации / Сборник руководящих документов по за¬щите информации от несанкционированного доступа - М.: Издание Гостехкомиссии России, 1998. - 643 с.

15. Комментарий к Уголовному кодексу Российской Федеоации //Под ред. докт. юрид. наук, проф. В.Д.Иванова. - Ростов н/Д: «Феникс», 2002.-512с.

16.  Защита информации в распределенных автоматизированных системах /Чивиков В.Ю., Иванова А.И., Коротков С.В. //Системы безопасности.-2001. №41(5). с. 80-83.

17. Липаев В.В. Функциональная безопасность программных средств //М., Изд.: «Синтег» -2004., 348 с.

18.  Малюк А.А. Информационная безопасность концептуальные методологические основы защиты информации. Изд.: Горячая линия - Телеком »., 2004., 280 с.

19.  Мельников В.В. Безопасность информации в автоматизированных системах.: 2003., 368с.

20.  Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность.: М., Изд.: «Академия»., 2005., 336с.

21.  Приходько А.Я. Информационная безопасность в событиях и фактах

Серия: «Информационная  безопасность » Изд.: «Синтег »., 2001., 260 с.

22.  Румянцев О. Г., Додонов В.Н. Юридический энциклопедический словарь М.: «ИНФРА-М», 1997. - 142 с.

23.  Садердинов А.А Информационная безопасность предприятия.: Учебное пособие., 2004., 336 с.

24.  Смирнов А.И., Некоторые проблемы международной информационной безопасности // М., Изд.:  «Юридический мир»., - 2001. - N 8.

25.  Уфимцев Ю.С. Ерофеев Е.А. Информационная безопасность России // 2003., 560 с.

26.  Ярочкин В.И. Информационная безопасность. М.: Международные отношения,  «Летописец». - 2000.

27.  Ярочкин В.И. Информационная безопасность. 3-е издание //М., Изд.: «Академический проект»- 2005., 544 с.

28.  Вячеслав Карпухин. Информационная безопасность войск: Актуальные проблемы обеспечения // Красная звезда - 2007. - №3.- С.3.

29. ГОСТ Р 51275-99, Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

30.  ГОСТ 51583-00 Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие требования.

31.  Рейтинг ФБР: самые разорительные угрозы ИБ [электронный документ]// CNews| аналитика. 2006.- 1 с. (http://www.cnews.ru/reviews/index.shtml?2006/08/18/208912_1) Проверено 18.02.2007.

32.  В. Пономарев. Государство и революция в сфере информационной безопасности. [электронный документ].- (http://www.security.strongdisk.ru/i/150&all=1/). Проверено 7.02.2007.

33.   Елена Панасенко. Законодательство и регулирование отрасли информационной безопасности. [электронный документ] //Общие вопросы безопасности в области ЕСМ. 2007. (http://www.directum-journal.ru/card.aspx?ContentID=1743433 ). Проверено 15.02.2007.