Обеспечение информационной безопасности с использованием средств технической защиты в организации
ВВЕДЕНИЕ
В современном мире информационные технологии внесли огромный вклад в большинство сфер жизнедеятельности человека, но вместе с этим появилась потребность в защите информации от возможных нежелательных действий из вне. Защита информации, в современных условиях, является одной из наиболее актуальных, а также сложных проблем для организаций всех отраслей и масштабов, что обусловлено необходимостью защиты коммерческой, финансовой, государственной, военной и других видов тайн.
В условиях быстрого развития информационных технологий, каждый день появляются новые угрозы и совершенствуются старые методы и технологии, из-за чего риск нарушений безопасности данных и информационных систем значительно возрастает, и появляется возможность несанкционированного доступа к закрытой информации.
Тема технической защиты информации в организации с каждым днём приобретает всё большую актуальность, ведь информация – это ценный ресурс каждого предприятия, который привлекает злоумышленников или конкурентов с целью завладеть ею, тем самым причинив вред компании. Развитие и широкие использования информационных систем корпоративного уровня, которые обрабатывают различную по виду и уровню конфиденциальности информации, также делают эту тему актуальной. В соответствии с законодательством Российской Федерации, отраслевыми требованиями и международными стандартами
СОДЕРЖАНИЕ
СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ 3
ВВЕДЕНИЕ 4
1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ 7
1.1 СУЩНОСТЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 7
1.2 КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 8
1.3 КЛАССИФИКАЦИЯ УЯЗВИМОСТЕЙ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 13
1.3.1 КЛАССИФИКАЦИЯ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ 17
1.4 НОРМАТИВНО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 19
2 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ПОМОЩЬЮ СРЕДСТВ ТЕХНИЧЕСКОЙ ЗАЩИТЫ 24
2.1 КЛАССИФИКАЦИЯ СРЕДСТВ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ 24
2.2 ОПИСАНИЕ ОСНОВНЫХ СРЕДСТВ ТЕХНИЧЕСКОЙ ЗАЩИТЫ 28
2.3 МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ В ОРГАНИЗАЦИИ 35
3 ПРАКТИЧЕСКИЕ АСПЕКТЫ ПРИМЕНЕНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ 40
3.1 ОПИСАНИЕ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ. 40
3.2 РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ 43
3.2.1 ФОРМИРОВАНИЕ ТРЕБОВАНИЙ К СИСТЕМЕ ЗАЩИТЕ ИНФОРМАЦИИ 44
3.2.2 ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 46
3.3 РЕАЛИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 52
3.4 АНАЛИЗ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 57
ЗАКЛЮЧЕНИЕ 59
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 61
ПРИЛОЖЕНИЕ А 63
ПРИЛОЖЕНИЕ Б 65
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
1. РФЯЦ-ВНИИТФ. – Режим доступа: http://vniitf.ru/ (дата обращения: 18.04.2023).
2. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.
3. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных – ФСТЭК РФ, 15.02.2008 – 5.4.
4. Фалеев М.И., Черных Г.С. Угрозы национальной безопасности государства в информационной сфере. – Режим доступа: http://www.iee.unn.ru/wp-content/uploads/sites/9/2018/02/2.Inf.ugrozy-vred.programmykomp.prestupleniya.pdf (дата обращения: 19.04.2023).
5. ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем.
6. Справочные сведения об общей системе оценки уязвимости. – Режим доступа: https://bdu.fstec.ru/calc (дата обращения: 21.04.2023).
7. Калькулятор CVSS V2. – Режим доступа: https://bdu.fstec.ru/calc (дата обращения: 21.04.2023).
8. Департамент цифрового развития. – Режим доступа: https://it-security.admin-smolensk.ru/zinfo/szi/
9. TrendexMexico. Technical means of information protection. – Режим доступа: https://trendexmexico.com/kompyutery/59346-tehnicheskie-sredstva-zaschity-informacii.html
10. Searchinform, information security. – Режим доступа: https://searchinform.ru/informatsionnaya-bezopasnost/zaschita-informatsii/sposoby-zaschity-informatsii/
11. Гатчин Ю.А, Климова Е.В. Введение в комплексную защиту объектов информатизации: учебное пособие / Ю.А. Гатчин, Е.В. Климова. – Спб.: Питер, 2011.
12. ГОСТ Р ИСО/МЭК 27001-2021 Информационная технология. Методы и средства обеспечения безопасности.
13. StudFiles. – Режим доступа: https://studfile.net/preview/9551329/
14. Росатом. – Режим доступа: https://rosatom.ru/about/
15. Оперативно-аналитический центр. – Режим доступа: https://www.oac.gov.by/
16. Об утверждении требований о защите ин
В соответствии с приказом ФСТЭК РФ № 17 «Об утверждении требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» информация имеет 3 уровня значимости [16]:
Высокий уровень значимости (УЗ 1) – уровень конфиденциальности информации, которая является наиболее значима для организации или государства. В случае утечки или потери данных такая информация может привести к серьёзным последствиям;
Средний уровень значимости (УЗ 2) – уровень конфиденциальности информации, которая является менее значима для организации. В случае несанкционированного доступа такая информации может привести к незначительным последствиям;
Низкий уровень значимости (УЗ 3) – уровень информации, которая не является конфиденциальной или значимой для организации. Утечка такой информации не несёт серьёзных последствий.
Исходя из этого, СТ