Смекни!
smekni.com

Политика информационной безопасности для ИС Учет и графическое представление основных объектов и 2 (стр. 1 из 8)

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

УХТИНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

КАФЕДРА ИСБ

КУРСОВАЯ РАБОТА

на тему: «Политика информационной безопасности для ИС «Учет и графическое представление основных объектов и устройств МГ и ГРС»

Выполнила:

студентка группы ИС-2-00

Шульц О.В.

Проверила: Некучаева Н.А.

УХТА 2008


СОДЕРЖАНИЕ

ВВЕДЕНИЕ.

1. Концепция

2. Стандарты

2.1. Структурная схема ЛВС

2.2. Информационные ресурсы (классификация объектов)

2.3. Пользователи ИС (классификация субъектов)

2.4. Класс безопасности

2.5. АО и ПО

3. Управление рисками. Экономический аспект

4. Процедуры информационной безопасности

4.1 Законодательные меры (применимые к ИС)

4.2 Административные меры (принятые на ООО «КРГ»)

4.3 Процедурные меры

4.3.1 Управление персоналом. ОРМ

4.3.2 Разделение полномочий

4.3.3 Физическая защита

4.3.4 Поддержка работоспособности системы

4.4 Программно-технические меры

5. Методы информационной безопасности. Классификация угроз. Способы защиты

6. Аварийный план

ПРИЛОЖЕНИЯ


ВВЕДЕНИЕ

На практике под информационной безопасностью систем понимается поддержание физической сохранности, целостности, доступности, конфиденциальности, достоверности и своевременности информации, а также гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.

Проблема обеспечения информационной безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, административных, организационных и программно-технических мер.

Таким образом, политика информационной безопасности предприятия – это набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности. Политика безопасности предприятия обеспечивается выбранным классом безопасности систем и набором организационно-распорядительных мероприятий. Следовательно, создание политики безопасности является одним из первых требований к организации как информационной безопасности предприятия в целом, так и в отдельности каждой системы, функционирующей на предприятии. Это обусловлено тем, что в настоящее время повсеместно используются электронные средства связи, процветает электронное подслушивание, хакерство, электронное мошенничество, шпионаж и т.д.

Поэтому основной целью курсового проекта является разработка политики информационной безопасности по ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» для оперативно-диспетчерской службы предприятия ООО «Комирегионгаз», и как следствие - информации и файлов, связанных с данной системой.

Разрабатываемая система предназначена для автоматизации учета и графического представления основных газотранспортных объектов (газоконденсатных месторождений, УКПГ, КС, ГРС, ГРО, Потребителей и т.д.) и устройств (датчиков/измерительных приборов, насосов, котельных, МАУ, ГОУ и т.д.) МГ и ГРС. Система предназначена для работников оперативно-диспетчерской службы предприятия и начальника службы.

Основные этапы разработки политики информационной безопасности следует проводить по следующим направлениям:

1. Рассмотрение законодательных мер;

2. Принятие административных мер на предприятии;

3. Принятие процедурных мер, а также проведение ОРМ;

4. Принятие программно-технических мер.

В работе также приводятся потенциальные угрозы безопасности данных, обрабатываемых и хранящихся в системе, и рекомендуемые способы защиты этих данных.


1. Концепция

Безопасность информации – это состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п.

Очень важным является создание политики информационной безопасности для создаваемой информационной системы с учетом уже функционирующих объектов информационного пространства организации и самой информационной сети, включая аппаратное, программное и сетевое обеспечение. Это связано с тем, что при внедрении системы в эксплуатацию, нельзя допустить нарушения созданного и поддерживаемого в организации уровня информационной защиты и, безусловно, необходимо обеспечить защиту информации для создаваемой ИС.

Поэтому была принята правовая основа политики, так как законодательный уровень предполагает разработку и внедрение в практику законодательных, подзаконных и прочих нормативных актов, регламентирующих вопросы информационной безопасности в автоматизированных системах на государственном уровне.

Организационный (управленческий) уровень предполагает разработку и контроль исполнения комплексов мер по поддержанию режима информационной безопасности конкретных автоматизированных систем. Основной задачей организационного уровня обеспечения информационной безопасности является выработка комплексной политики безопасности, организация ее эффективной реализации на объектах автоматизации. Применительно к персоналу, работающему с автоматизированными системами, политика безопасности должна обязательно содержать комплексы внутренних нормативных, организационных и операционных регуляторов, включающих в себя методы подбора и расстановки кадров, их подготовки и повышения квалификации, обеспечения дисциплины. Организационный уровень в обязательном порядке должен включать в себя меры по физической защите помещений и оборудования от угроз различной природы, а также некоторые другие.

Для поддержания режима информационной безопасности особенно важными являются программно-технические меры, основу которых составляют комплексы мероприятий по обеспечению физической сохранности данных, контролю достоверности обработки информации, защите данных от несанкционированного доступа и использования, регистрация наиболее важных с точки зрения информационной безопасности событий с целью выявления источников угрозы и т.п.

Необходимая достоверность, сохранность и защищенность информации достигается разработкой и использованием различных механизмов обеспечения достоверности и защиты при обработке данных.

Краткое описание создаваемой ИС (назначение, цели)

В рамках курсового проекта рассматривается безопасность информационной системы «Учет основных устройств и объектов МГ и ГРС». Разрабатываемая система предназначена для автоматизации учета и графического представления основных газотранспортных объектов и устройств магистрального газопровода и газораспределительной сети на местности. Целью разработки данной системы является информационное обеспечение сотрудников ОДС при принятии обоснованных объективных решений в производственном процессе реализации газа потребителям, а также устранение системных недостатков функционирующей на данный момент в диспетчерском отделе АИС «ОДС».

Цели информационной безопасности системы:

Создание безопасного информационного пространства для функционирования ИС, как самостоятельно, так и в сотрудничестве с другими системами (в частности, ПК «Реализация газа»);

Совершенствование информационного пространства системы в сфере действия информационной безопасности предприятия.

Задачи информационной безопасности системы:

Рассмотрение законодательных мер;

Принятие административных мер на предприятии;

Применение процедурных мер, проведение организационно-распорядительных мероприятий;

Применение программно-технических мер.

Следует также отметить и перспективы развития информационной безопасности данного проекта в будущем, поскольку развитие компьютерных и сетевых технологий не стоит на месте, а вместе с тем возрастают навыки и ухищрения злоумышленников, то есть возникает возможность появления «слабых мест» в информационной безопасности.

В виду того, что при создании проекта по созданию политики безопасности разрабатываемой ИС, могут быть рассмотрены аспекты, не предусмотренные или ранее не находившие применение в организации, то можно говорить и о перспективе развития политики безопасности ООО «КРГ» в целом.


2. Стандарты

2.1. Структурная схема ЛВС

В настоящий момент ЛВС ООО "Комирегионгаз" построена на базе одного промышленного сервера, маршрутизатора Cisco 3640 и 3-х коммутаторов Catalyst 3100. Общая пропуская способность сети составляет 10/100 Мбит/с и позволяет осуществлять полноценную загрузку сервера и использовать современное ПО.

В ЛВС включено около 40 рабочих станций и 6 сетевых принтеров. На рисунке приведены только интересующие в рамках создаваемой ИС рабочие станции и принтер. Внутри ООО "КРГ" организована и функционирует электронная почта с представительствами в различных городах (филиалами) и Компанией.

В магистрали ЛВС организован один (центральный) узел коммутации. В указанном узле ЛВС установлены три соединенных между собой коммутатора Catalyst 3100, которые образуют тем самым единый центральный коммутатор. Коммутатор Catalyst 3100 - это 24-портовый коммутатор ЛВС, обеспечивающий многоуровневую функциональность. Данный коммутатор обеспечивают поддержку таких функций, как формирование виртуальных локальных сетей (VLAN), сервисы АТМ, возможность контроля за устройством и сетью посредством RMON. Catalyst 3100 имеет 24 фиксированных порта Ethernet 10Base-T и один флекс-слот, который может быть использован для установки модуля, осуществляющего доступ к глобальным сетям, либо любого модуля, поддерживаемого коммутаторами серии Catalyst 3000.