Система обеспечения информационной безопасности в государственном учреждении

Федеральное агентство  по образованию

ГОУ ВПО «ПОМОРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

 имени М. В.  ЛОМОНОСОВА» 

Факультет профессиональной переподготовки 

Кафедра государственного и муниципального управления 
 
 

ДИПЛОМНЫЙ  ПРОЕКТ  

Тема: Система обеспечения  информационной безопасности в  государственном  учреждении (на примере 3-го Центра Испытания  и Применения Космических Средств (3 ЦИП КС) Государственного Испытательного Космодрома «Плесецк») 

Специальность: 080504 «государственное и муниципальное  управление» 

Выполнил: студент  VI курса 

факультета профессиональной переподготовки

Евстратов Игорь  Валерьевич 

Научный        руководитель:         

доцент кафедры  информатики,

кандидат физико-математических наук Крылов Александр Сергеевич 

Рецензент:

Начальник отдела связи  и информатизации ФГУ «Беломорканал»

Курносов Александр  Павлович 

Допустить к защите в ГАК

Зав. кафедрой ГиМУ

Булатов Владимир Николаевич

___________________________ 

«____»____________2007 г. 
 
 

АРХАНГЕЛЬСК

2007 

Тема:  Система обеспечения информационной безопасности в  государственном учреждении (на примере вычислительного комплекса

3-го Центра Испытания  и Применения Космических Средств  (3 ЦИП КС) Государственного Испытательного  Космодрома «Плесецк ») 

ОГЛАВЛЕНИЕ

Введение……………………………………………………………………….. 5

1. Основа информационной  безопасности………………………………… 8

1.1. Термины и определения………………………………………………... 8

1.2.  Цели и задачи информационной безопасности………………………. 10

1.3  Основные принципы обеспечения информационной безопасности... 11

1.4.  Законодательство и регулирование отрасли информационной

безопасности……………………………………………………………. 17

2. Создание системы  информационной безопасности…………………... 26

2.1.  Диагностическое обследование (аудит) системы информационной

безопасности……………………………………………………………. 29

2.2.  Проектирование системы информационной безопасности…………. 31

2.3.  Внедрение системы информационной безопасности……………….. 35

2.4. Выбор исполнителя работ…………………………………………….. 36

3. Политика информационной  безопасности……………………………. 37

3.1. Основные положения политики информационной безопасности…. 39

3.2.  Документ о политике информационной безопасности……………... 45

4. Угрозы информационной  безопасности………………………………. 46

4.1. Классификация угроз информационной безопасности……………... 46

4.2.  Источники угроз информационной безопасности…………………... 49

4.3.  Последствия негативного воздействия угроз………………………... 51

4.4. Угроза информационной безопасности войск………………………. 54

5. Практические рекомендации  по обеспечению требуемого уровня

защищенности информационных ресурсов 3 ЦИП КС космодрома

«Плесецк»…………………………………………………………………. 61

5.1. Организационные  меры защиты……………………………………….. 61

5.1.1. Система информационного  мониторинга………………………….. 62

5.1.2. Распределение  ответственности за обеспечение  информационной

безопасности…………………………………………………………. 63

5.1.3. Регламентация  процессов ввода в эксплуатацию  и реконфигурации

информационной системы…………………………………………... 63

5.2. Управление ресурсами  (инвентаризация и классификация  ресурсов)… 64

5.3. Кадровая политика  и управление персоналом…………………………. 65

5.3.1. Безопасность  при выборе персонала и работа  с ним……………… 65

5.3.2. Подготовка и  переподготовка пользователей и  специалистов

по защите информации……………………………………………… 66

5.3.3. Реагирование  на нарушения информационной  безопасности……. 66

5.4. Физическая безопасность………………………………………………… 67

5.4.1. Контроль физического  доступа к оборудованию, на

контролируемую территорию и в помещения……………………… 68

5.4.2. Обеспечение  безопасности кабельной системы…………………… 70

5.4.3. Безопасное уничтожение  отработавшего оборудования и

носителей информации……………………………………………… 72

5.4.4. Безопасность  рабочего места………………………………………… 72

5.5. Инструкции по  информационной безопасности………………………… 74

5.5.1. Контроль изменений  среды функционирования…………………… 75

5.5.2. Процедуры реагирования  на инциденты безопасности…………… 76

5.5.3. Разграничение  ответственности…………………………………….. 77

5.5.4. Разделение ресурсов…………………………………………………. 78

5.6. Организация управления  доступом к информации…………………….. 79

5.6.1. Политика управления  доступом…………………………………….. 79

5.6.2. Управление доступом  пользователей………………………………. 80

5.6.3. Регистрация  пользователей………………………………………….. 80

5.6.4. Управление правами  пользователей………………………………… 81

5.6.5. Управление паролями  пользователей………………………………. 82

5.6.6. Проверка прав  пользователей………………………………………. 82

5.6.7. Обязанности  пользователей при использовании  защитных

механизмов…………………………………………………………… 83

5.6.8. Обязанности  при использовании паролей………………………….. 83

5.6.9. Обязанности  при обеспечении безопасности  оборудования……… 84

5.6.10. Контроль и  управление удаленным сетевым  доступом………….. 84

5.6.11. Управление доступом  к операционной системе………………….. 85

5.6.12. Процедура входа  в систему………………………………………… 86

5.6.13. Система управления  паролями…………………………………….. 87

5.6.14. Использование  системных утилит…………………………………. 87

5.6.15. Контроль и  управление доступом к приложениям……………….. 88

5.6.16. Мониторинг доступа  и использования систем……………………. 89

5.6.17. Мониторинг использования  системы……………………………… 89

5.6.18. Управление доступом  мобильных пользователей………………… 90

Заключение……………………………………………………………………. 92

Список использованной литературы……………………………………… 94

Приложение № 1……………………………………………………………… 98

Приложение № 2……………………………………………………………… 99 

Введение 

В современном мире информационные отношения затрагивают  все сферы человеческой деятельности, а результаты этой деятельности все  больше зависят от целостности, достоверности, своевременности и, в ряде случаев, конфиденциальности информации. Угрозы информационным ресур-сам по размеру  наносимого ущерба становятся сравнимы с террористическими. Естественно, что вопросы информационной безопасности находятся сегодня в сфере государственных интересов. Обязательному регулированию подвергается деятельность по защите информации, а также, в той или иной мере, практически все виды информационных отношений. [31]

В Российской Федерации  позиция государства отражена в  документе «Доктрина информационной безопасности Российской Федерации», утвер-жденном президентом 9 сентября 2000 года. Согласно тексту доктрины, она развивает концепцию национальной безопасности применительно к информа-ционной сфере и служит основой для трех направлений: формирования госу-дарственной политики в области обеспечения информационной безопасности РФ; подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ; и разработки целевых программ обеспечения информационной безопасности РФ, а также в числе прочего предусматривает обеспечение безопасности «систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием...».

Необходимость проведения исследований по проблеме информационной безопасности в государственном  учреждении (на примере 3-го Центра испытания  и применения космических средств  космодрома «Плесецк»), поиск методов  и средств её обеспечения и  постоянного совершенствования  определяется:

- важностью системы сбора, обработки и передачи информации кос-модрома в информационной системе Космических войск и Вооружённых Сил России в целом, являющейся важнейшим элементом укрепления обороны и безопасности страны;

- уязвимостью конфиденциальной информации Космических войск при её сборе, обработке, хранении и передаче по каналам связи;

- возможностью искаженной информации вызвать воздействия общегосударственного стратегического характера, влияющих не только на интересы Вооруженных Сил России, других силовых структур, но и большинства министерств и ведомств, экономики и социальной сферы страны;

- масштабностью последствий при нарушении информационной без-опасности, так как космическая отрасль является одной из немногих, где Россия не утратила своего преимущественного положения в мире, и является одним из важнейших факторов политической, военной и экономической безопасности государства.

В настоящее время  уже около 30 стран ведут работы в области создания информационного  оружия, которое позволит нападающей стороне выигрывать малые войны  и разрешать военные конфликты  без потерь в живой силе до начала полномасштабных боевых действий.

Целью дипломного проекта  является  разработка практических предложений по совершенствованию  системы обеспечения безопасности информации  в 3-м центре испытания  и применения космических средств  космодрома «Плесецк»(3 ЦИП КС), которые  опираются на  результаты анализа  современного подхода к проблеме  обеспечения информационной безопасности.

Данная цель предполагает решение следующих задач:

-  дать определение понятия «информационная безопасность»;

-  определить цели и задачи информационной безопасности в целом;

-  сформулировать и обосновать основные принципы построения системы обеспечения информационной безо¬пасности;

-  проанализировать существующую систему обеспечения информационной безопасности 3 ЦИП КС космодрома «Плесецк» и выработать практические рекомендации по ее совершенствованию.

Система безопасности является методологической основой:

- формирования и проведения государственной политики в области обес¬печения информационной безопасности;

- разработки стратегии обеспечения информационной безопасности;

- формирования программ и мероприятий по реализации информационной безопасности;

- разработки предложений по совершенствованию правового, нормативно-методического, научно-технического и организационного обеспечения инфор¬мационной безопасности;

- экономической оценки эффективности предлагаемых и проводимых мероприятий по обеспечению информационной безопасности.

Работа выполнена  с учетом положений основных руководящих  документов по информационной безопасности Российской Федерации, международного опыта и состояния информатизации и информационной безопасности 3-го центра испытания и применения космических  средств космодрома «Плесецк».