Дипломная "Разработка комплекса практических рекомендаций по технической защите конфиденциальной информации в организации "
Выберите тип работы
Заказать работу

300 рублей на первый заказ
вам Нужна Дипломная работа ?

Интересует планирование организации курсовая?

  • Оставьте заявку на Дипломную работу

  • Получите бесплатную консультацию по написанию

  • Сделайте заказ и скачайте результат на сайте

Разработка комплекса практических рекомендаций по технической защите конфиденциальной информации в организации

Дипломная работа

Хотите заказать работу на тему "Разработка комплекса практических рекомендаций по технической защите конфиденциальной информации в организации "?

62 страницы

33 источника

Опубликовано: studservis

14705

29410

Скачать превью Скачать в 1 клик

Фрагмент для ознакомления 1

Содержание
Введение…………………………………………………………………………..3
1.Защита конфиденциальных данных в организации 5
1.1 Обзор нормативно-правовых актов в области обеспечения защиты информации в банковской сфере 5
1.2 Анализ структуры обрабатываемой информации 12
1.3. Построение модели угроз и модели нарушителя 20
2. Реализация проекта по разработке защиты конфиденциальных данных в организации. 25
2.1 Разработка организационных мер по защите информации 25
2.2 Разработка инженерно-технических мер по защите информации 31
2.3 Выбор программных решений в области обеспечения защиты информации 37
2.4. Выбор аппаратных решений обеспечения физической защиты 48
3.Оценка экономической эффективности системы защиты информации57
3.1. Оценка сокращения угроз с помощью риск-ориентированного подхода 57
3.2. Оценка экономической эффективности внедрения системы защиты каналов передачи данных 59
ЗАКЛЮЧЕНИЕ 62
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 64

Фрагмент для ознакомления 2

Введение
В настоящее время деятельность компаний практически всех отраслей связана с использованием информационных систем. Доступ к необходимой информации на современном этапе развития является неотъемлемой составляющей функционала сотрудников, что приводит к зависимости возможности исполнения служебных функций от качества функционирования объектов ИТ-инфраструктуры.
Актуальность данной темы заключается в том, что каждая организация должна применять технические меры по защите конфиденциальной информации от утечек данных. В рамках работы будет осуществлена систематизация существующих методов и технологий защиты данных, а также предложены практические рекомендации по их внедрению и использованию в конкретной организации.
Цель данного дипломного проекта заключается в разработке методов и алгоритмов по обеспечению защиты информации в условиях работы банковской структуры на примере ПАО «Совкомбанк» (далее по тексту – Банк/организация/компания).
Для достижения поставленной цели необходимо решить следующие задачи:
1.Анализ основных подходов к обеспечению информационной безопасности в условиях работы с объектами критической информационной инфраструктуры Банка;
2.Изучение нормативных актов, регламентирующих мероприятия по защите объектов критический информационной инфраструктуры, принципов отнесения объектов к категории указанного класса;
3.Анализ деятельности исследуемой компании, определение перечня защищаемых информационных ресурсов;
4.Построение модели угроз;
5.Выбор механизмов защиты, посредством которых обеспечивается возможность обеспечения защиты объектов критической информационной инфраструктуры;
6.Анализ правового обеспечения систем защиты информации объектов критической информационной инфраструктуры;
7.Оценка ожидаемого уровня снижения рисков информационной безопасности посредством риск-ориентированного подхода.




1. Защита конфиденциальных данных в организации
1.1. Обзор нормативно-правовых актов в области обеспечения защиты информации в банковской сфере
Специфика деятельности компаний, работающих в финансовом/банковском секторе, предполагает необходимость защиты проведения финансовых транзакций в части соблюдения требований к конфиденциальности, защиты каналов передачи данных, по которым осуществляется работа с платежными сервисами, предотвращение инцидентов, в рамках которых возможно получение доступа к платежным счетам клиентов со стороны злоумышленников.
Проводя классификацию информационных рисков, выделяют следующие критерии: по источникам (внутренние и внешние), по характеру (преднамеренные и непреднамеренные), по виду (прямые или косвенные), по виду нарушения (информационные, физические, организационно-правовые), по механизму воздействия (стихийного бедствия, техногенные, политические, социальные, развитие информационно-коммуникационных технологий).
Классификация рисков в области информационной безопасности имеет важное значение для правильной оценки информационных рисков, охватывающих все возможные инциденты, угрозы информационной безопасности, которые могут привести к нарушению свойств информации. Инцидент информационной безопасности — событие или группа событий, вследствие которых вероятна реализация угроз, связанных с нарушением защищенности системы информационной безопасности на предприятиях.
Рекомендации по предотвращению инцидентов информационной безопасности и методология реагирования на них определены в стандартах ЦБ. В документе СТО БР ИББС-1.0-2010 подробно описаны стадии планирования, эксплуатации, анализа и улучшения системы управления инцидентами безопасности. Там же определена необходимость выполнения организациями банковской системы Российской Федерации деятельности по выявлению инцидентов ИБ и реагированию на инциденты ИБ.
Рекомендации разработаны Центром защиты информации и специальной связи Федеральной службы безопасности Российской Федерации в соответствии с основными положениями документов.
Цели расследования инцидентов информационной безопасности включают:
проведение мероприятий, связанных с устранением последствий возникновения инцидентов информационной безопасности;
определение специалистов, деятельность которых привела к возникновению инцидентов информационной безопасности;
проведение анализа причин возникновения инцидентов и принятие мер к недопущению их повторения.
Единая методика проведения расследований инцидентов информационной безопасности в настоящее время не разработана, однако обычно расследование инцидентов включает этапы:
сбор данных об обстоятельностях возникновения инцидента;
выявление возможных причин, которые сделали возможным возникновение инцидента;
принятие управленческих решений по итогам расследования инцидента;
документирование данных по возникновению и расследованию инцидента.
При проведении сбора информации об инцидентах необходимо провести оценку достоверности полученной информации, возможности отнесения полученной информации к причинам возникновения инцидента, оценку полноты полученной информации об инциденте.
При анализе действий сотрудников необходимо учитывать наличие умысла на возникновение инцидента, либо пренебрежение требованиями защиты информации вследствие халатности. Также проводится анализ полноты принятых мер технического характера по недопущению возникновения инцидента.
Объекты критической информационной инфраструктуры (КИИ) – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также коммуникационные системы, используемые для организации их взаимодействия. Отнесением информационной системы к категории КИИ является ее использование в деятельности государственных органов в сферах, перечень которых приведен на рисунке 1.

Рисунок 1. Перечень сфер использования информационных систем категории КИИ

Обеспечение защиты информации на объектах КИИ регламентируется специализированными законодательными актами, основным из которых является Федеральный закон РФ №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации».
Требования указанного закона включают:
определение порядка отнесения объектов обработки данных к категории КИИ;
определяет порядок использования законодательства, регламентирующего использование объектов КИИ;
определяет уровень полномочий органов власти при работе с объектами КИИ;
определяет порядок оценивания защищённости объектов КИИ.
На рисунке 2 приведена иерархия учреждений, в которых осуществляется работа с объектами КИИ.

Рисунок 2. Иерархия учреждений, в которых осуществляется работа с объектами КИИ
В соответствии с требованиями Федерального закона РФ №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» определены критерии значимости объектов КИИ, включающие:
социальный уровень, предполагающий обеспечение защиты информационных систем, в которых осуществляется обработка информации, нарушение функциональности которой может приводить к негативным последствиям в жизни общества и невозможности исполнения социальных обязательств (к данной категории относятся информационные базы ПФР, органов социальной защиты, банков, структуры ЖКХ, сервисов предоставления государственных услуг и др.);
политический уровень, включающий необходимость обеспечения защиты от угроз функционирования систем, обеспечивающих поддержку деятельности органов власти и силовых структур;
экономический уровень, включающий необходимость обеспечения защиты от угроз функционирования систем, обеспечивающих возможности денежного оборота, проведения расчётов внутри и за пределами страны;
экологический уровень, необходимость обеспечения защиты от угроз функционирования систем, обеспечивающих поддержку экологических систем;
уровень безопасности, в рамках которого осуществляются мероприятия по защите объектов, используемых в целях обеспечения обороноспособности.
Порядок категорирования объектов КИИ и определение мероприятий по защите информации в них регламентируются Постановлением Правительства РФ № 127 от 08.02.2018.
Отнесение объекта к той или иной категории объектов КИИ проводится на основании критериев, включающих:
оценка объемов вероятного ущерба при возникновении инцидентов на объектах КИИ;
оценка объемов вреда объектам инфраструктуры при возникновении инцидентов на объектах КИИ;

Фрагмент для ознакомления 3

1.База данных угроз ФСТЭК. [Электронный ресурс]. URL: https://bdu.fstec.ru/threat (дата доступа: 07.05.2024)
2.Обушева, К. А. Цифровая трансформация государственного управления / К. А. Обушева. — Текст : непосредственный // Молодой ученый. — 2022. — № 20 (415). — С. 490-493. — URL: https://moluch.ru/archive/415/91855/ (дата обращения: 25.05.2024)
3.Корнев, Л. В. Обеспечение информационной безопасности в условиях цифровизации / Л. В. Корнев. — [Электронный ресурс] // Молодой ученый. — 2022. — № 12 (407). — С. 7-11. — URL: https://moluch.ru/archive/407/89650/ (дата обращения: 25.05.2024)
4.Абдулоризов, А. Н. Критическая информационная инфраструктура как объект обеспечения безопасности / А. Н. Абдулоризов. — [Электронный ресурс] // Молодой ученый. — 2020. — № 20 (310). — С. 16-19. — URL: https://moluch.ru/archive/310/69972/ (дата обращения: 25.05.2024).
5.Мордвинова, Е. А. Информационная безопасность банковских продуктов и услуг в России / Е. А. Мордвинова. — [Электронный ресурс]// Молодой ученый. — 2021. — № 21 (363). — С. 239-241. — URL: https://moluch.ru/archive/363/81377/ (дата обращения: 25.05.2024).
6.Голубитченко, М. А. Особенности информационной безопасности в кредитно-финансовой сфере / М. А. Голубитченко, Е. П. Беренвальд, Е. Е. Парасюк. — [Электронный ресурс] // Молодой ученый. — 2021. — № 52 (394). — С. 9-13. — URL: https://moluch.ru/archive/394/87219/ (дата обращения: 25.05.2024).
7.Захарова, А. Э. Способы защиты коммерческой тайны / А. Э. Захарова, М. Р. Загидуллина, А. А. Школа. — [Электронный ресурс]// Молодой ученый. — 2021. — № 19 (361). — С. 199-201. — URL: https://moluch.ru/archive/361/80825/ (дата обращения: 25.05.2024).
8.Клименко И.С. Информационная безопасность и защита информации: модели и методы управления: монография. М.: ИНФРА-М, 2020. 178 с.
9.Бондарев В.В. Введение в информационную безопасность автоматизированных систем: учебное пособие. М.: Изд-во МГТУ им. Н.Э. Баумана, 2018. 250 с.
10.Примакин А. И., Саратов Д. Н., Синещук Ю. И. Техническая защита информации: учебное пособие. - Санкт-Петербург: Санкт-Петербургский университет МВД России, 2021. - 154 с.
11.Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления: монография. - Москва: ИНФРА-М, 2020. – 178 с.
12.Воеводин В. А., Душкин А. В., Петухов А. Н., Хорев А. А. Программно-аппаратные средства защиты информации: учебное пособие. - Москва: МИЭТ, 2021. - 280 с.
13.Чекулаева Е. Н., Кубашева Е. С. Управление информационной безопасностью : учебное пособие. - Йошкар-Ола: Поволжский государственный технологический университет, 2020. - 153 с.
14.Бондарев, В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства: учебное пособие. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.
15.Язов Ю. К., Соловьев С. В. Организация защиты информации в информационных системах от несанкционированного доступа : [монография]. - Воронеж: Кварта, 2018. - 588 с.
16.Марков А. С. Техническая защита информации: курс лекций: учебное пособие. - Москва : Изд-во АИСНТ, 2020. – 233с.
17.Королев, Е. Н. Администрирование операционных систем: учебное пособие. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с.
18.Михайлова, Е. М. Организационная защита информации. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017. – 342 с.
19.Камалова Г. Г. Юридическая ответственность за нарушение конфиденциальности информации: монография. - Саратов : Амирит, 2019. - 160 с.
20.Никифоров, С. Н. Защита информации: защита от внешних вторжений: учебное пособие. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 с
21.Белов, Е. Б. Организационно-правовое обеспечение информационной безопасности: учебник. - 2-е изд., испр. и доп. - Москва: Академия, 2020. – 332с.
22.Ревнивых, А. В. Информационная безопасность в организациях: учебное пособие. - Новосибирск: НГУЭУ, 2018. - 83 с.
23.Щеглов А. Ю.  Защита информации: основы теории: учебник для вузов . — Москва: Издательство Юрайт, 2022. — 309 с. 
24.Зенков А. В.  Информационная безопасность и защита информации: учебное пособие для вузов . — Москва : Издательство Юрайт, 2022. — 104 с. 
25.Бузов Г. А. Защита информации ограниченного доступа от утечки по техническим каналам. - Москва: Горячая линия - Телеком, 2022. - 585 с.
26.Васильева И. Н.  Криптографические методы защиты информации: учебник и практикум для вузов . — Москва: Издательство Юрайт, 2022. — 349 с. 
27.Мазин А. В. Техническая защита информации в информационных системах: учебное пособие. - Калуга : Манускрипт, 2019. - 109 с.
28.Казарин О. В.  Программно-аппаратные средства защиты информации. Защита программного обеспечения: учебник и практикум для вузов. — Москва : Издательство Юрайт, 2022. — 312 с. 
29.Хорев П. Б. Программно-аппаратная защита информации : учебное пособие : для студентов высших учебных заведений. - 3-е изд., испр. и доп. - Москва : ИНФРА-М, 2020. – 325 с.
30. Еськин Д. Л., Бакулин В. М. Основы защиты информации в компьютерных системах и сетях: учебное пособие. - Волгоград : ВА МВД России, 2019. - 67 с.
31. Гостищева Т. В., Ломазов В. А., Малий Ю. В. Модели и методы проектирования систем защиты информации: монография. - Белгород: Изд-во Белгородского университета кооперации, экономики и права, 2021. - 175 с.
32.Бабиева Н. А. Информационная безопасность и защита информации: учебное пособие. - Казань: Медицина, 2018. – 127с.
33.Монахов Ю. М, Тельный А.В. Техническая защита информации Защита информации от утечки по техническим каналам. - Владимир : ВлГУ, 2019. – 212с.

Узнать стоимость работы

Заказать другую работу
калькулятор цены
Стоимость без скидки:
(скидка до 700 рублей)
* — точная стоимость будет определена после уточнения сроков сдачи работы, количества страниц и уровня исполнения.