Введение 5
I. Аналитическая часть 8
1.1. Технико-экономическая характеристика предметной области и предприятия 8
1.1.1. Общая характеристика предметной области 8
1.1.2. Организационно-функциональная структура предприятия. 14
1.2. Анализ рисков информационной безопасности 22
1.2.1 Идентификация и оценка информационных активов. 25
Перечень конфиденциальной информации: 33
1.2.2. Оценка уязвимостей активов. 37
1.2.3. Оценка угроз активам. 43
1.2.4. Оценка существующих и планируемых средств защиты. 50
1.2.5. Оценка рисков. 62
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 70
1.3.1. Выбор комплекса задач обеспечения информационной безопасности. 70
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 73
1.4. Выбор защитных мер 76
1.4.1. Выбор организационных мер 76
1.4.2. Выбор инженерно-технических мер. 82
II Проектная часть 88
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 88
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 88
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 92
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 99
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия. 99
2.2.2. Контрольный пример реализации проекта и его описание. 102
III Обоснование экономической эффективности проекта 108
3.1 Выбор и обоснование методики расчёта экономической эффективности 108
3.2 Расчёт показателей экономической эффективности проекта 111
Заключение 116
Список литературы 118
Приложение 1. Направления работы школы 121
Приложение 2. Структура служб школы 130
Приложение 3. Политика информационной безопасности школы 131
Приложение 4. Инструкция по организации парольной защиты ИС 153
Приложение 5. Инструкция по использованию сети интернет 156
Интенсивное развитие сферы образования на основе интеграции в него информационных и телекоммуникационных технологий стало важнейшим национальным приоритетом. Информационная среда школы – это не только использование компьютеров на уроке, но и эффективное применение информационно - коммуникационных технологий во всём образовательном процессе, вовлечение в процесс информатизации учащихся и родителей, учителей, классных руководителей, администрации и других сотрудников школы.
Современные информационные технологии открывают доступ к различным источникам информации, повышают эффективность самостоятельной работы, дают совершенно новые возможности для творчества, обретения и закрепления различных профессиональных навыков, позволяют реализовывать принципиально новые формы и методы обучения с применением средств концептуального и математического моделирования явлений и процессов.
Информационная среда школы должна быть единой, выполнять как образовательные, так и управленческие функции. Большая часть информации, используемой в управленческой деятельности школы, носит открытый характер. Информация является ценным ресурсом для деятельности образовательного учреждения и объектом самой серьезной защиты, обеспечение информационной безопасности является обязанностью каждого сотрудника.
Система информационной безопасности необходима любому предприятию для сохранения целостности, конфиденциальности и доступности информационных активов. Объектами системы информационной безопасности являются все информационные активы: бумажные и электронные документы, компьютеры, информационные системы, сети, а также персонал, хранящий и обрабатывающий информацию. Для всех информационных активов существуют угрозы различной степени важности. Основная выгода внедрения системы безопасности – выявление наиболее опасных угроз и экономия средств на создание эффективной системы обеспечения информационной безопасности.
Отдельные процессы, процедуры, механизмы и инструменты защиты информации, используемые владельцами информационных ресурсов и информационных систем, могут быть направлены:
? на ограничение и разграничение доступа;
? информационное скрытие;
? использование методов надежного хранения, преобразования и передачи информации;
? нормативно-административное побуждение и принуждение.
На практике современные технологии защиты информации основаны на различных базовых сервисах (таких, как аутентификация, обеспечение целостности, контроль доступа и др.), и используют различные механизмы обеспечения безопасности (такие, как шифрование, цифровые подписи, управление маршрутизацией и др.). Однако комплексность и массовость использования информационных технологий, их интеграция в повседневную деятельность организаций, учреждений не позволяют решать задачи информационной безопасности только одними техническими средствами. Во всем комплексе деятельности по защите информации одно из наиболее важных мест занимает организационно-управленческая деятельность – организационное обеспечение информационной безопасности.
Современная лицензионная политика в области безопасности информации определяет наличие у организаций, разрабатывающих средства защиты информации документа, в котором определены концептуальные и общеорганизационные вопросы информационной безопасности (ИБ). Традиционно в мировой практике такой документ называется политикой безопасности (ПБ) организации.
Объектом исследования является ГОУ СОШ № 1224 с углубленным изучением английского языка.
Предметом исследования является организационная защита информационных ресурсов, а именно регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией, а также снижающей последствия внутренних и внешних угроз для всех информационных ресурсов объекта исследования.
Целью дипломного проекта является разработка информационной политики безопасности, которая определяет основные принципы защиты информационных ресурсов учреждения «Средняя общеобразовательная школа № 1224» от угроз нарушения конфиденциальности, целостности и доступности.
В соответствии с целью были поставлены основные задачи дипломной работы:
дать технико-экономическую характеристику предметной области;
выполнить идентификацию активов объекта исследования;
рассмотреть аппаратно-программную и нормативно-правовую базу организации защиты информации объекта исследования, выявить недостатки в существующей системе обеспечения информационной безопасности и защите информации;
провести оценку рисков;
разработать и внедрить комплекс практических предложений и мероприятий по обеспечению информационной безопасности и защите информации объекта исследования;
обосновать экономическую эффективность проекта.
Теоретической и методологической основой проведенного исследования послужили труды отечественных и зарубежных ученых в области безопасности информационных систем. В работе использованы законодательные акты и нормативные документы Российской Федерации.
Комплексный анализ современной парадигмы распространения знаний, классно-урочной системы и состава педагогической среды в контексте требований, предъявляемых современным российским обществом к системе образования, позволил сформулировать основные направления модернизации педагогической среды школы:
совершенствование ресурсного обеспечения образовательного и воспитательного процессов;
комплексная автоматизация образовательного учреждения;
формирование открытой модели образования;
повышение эффективности педагогического труда;
Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:
- необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;
- необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
- необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).
В ходе дипломного проектирования была разработаны политика информационной безопасности ГОУ СОШ № 1224, как основополагающий документ, на котором будет строится дальнейшее развитие мер информационной безопасности школы.
Выполнены поставленные задачи:
? Установлены границы рассмотрения ГОУ СОШ № 1224 и выявлены недостатки в существующей системе обеспечения информационной безопасности и защите информации;
? Идентификация активов предприятия (оценка активов, оценка уязвимостей активов, оценка угроз активам;
? Идентификация существующих средств защиты;
? Идентификация планируемых средств защиты;
? Оценка рисков;
? Выбор защитных мер (организационных и технических);
? Описание мероприятий инженерно-технической защиты;
? Реализация контрольного примера;
? Оценка экономической эффективности проекта.
В рамках организационных мер разработана политика информационной безопасности, инструкция по ведению паролей доступа к ИС, правила работы с сетью интернет в школе.
Также в ходе дипломного проектирования была предложена программно-аппаратная и инженерно-техническая реализация обеспечения безопасности информационных систем на предприятии.
Средства программно-аппаратной реализации, были описаны в виде правил организация доступа на уровне операционной системы сервера;
Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях.
Средства инженерно-технической реализации:
- охранная сигнализация и охранное телевидение;
- пожарная сигнализация;
- резервное копирование данных.
Расчет экономической эффективности внедрения системы информационной безопасности в ГОУ СОШ № 1224 обосновал необходимость внедрения. По итогам расчета срок окупаемости внедряемой системы составит 1.24 года.