Информационная безопасность в ГУП ОЦ "Московский дом книги"
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
гий и процессов функционирования "ГУП ОЦ "Московский Дом Книги" приводит к тому, что аппаратно-программные средства, используемые в "ГУП ОЦ "Московский Дом Книги", объективно могут содержать ряд ошибок и недекларированных возможностей, которые могут быть использованы нарушителями.
Отсутствие в "ГУП ОЦ "Московский Дом Книги" необходимых средств защиты в условиях информационного противоборства делает компанию в целом уязвимой от возможных враждебных акций, недобросовестной конкуренции, а также криминальных и иных противоправных действий. Организационную структуру системы обеспечения информационной безопасности "ГУП ОЦ "Московский Дом Книги" можно представить в виде, совокупности следующих уровней:
уровень 1 - Руководство организации;
уровень 2 - Подразделение ОИБ;
уровень 3 - Администраторы штатных и дополнительных средств защиты;
уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках);
уровень 5 - Конечные пользователи и обслуживающий персонал.
При разработке программного обеспечения в "ГУП ОЦ "Московский Дом Книги" следуют основным стандартам, регламентирующим:
показатели качества программных средств;
жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;
тестирование программных средств для обнаружения и устранения дефектов программ и данных;
испытания и сертификацию программ для удостоверения достигнутого качества и безопасности их функционирования.
Таблица 1.3. Международные стандарты, направленные на обеспечение технологической безопасности
ISO 09126:1991. ИТ.Оценка программного продукта. Характеристики качества и руководство по их применению.ISO 09000-3:1991.Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие указания по применению ISO 09001 при разработке, поставке и обслуживании программного обеспечения.ISO 12207:1995.Процессы жизненного цикла программных средств.ANSI/IEEE 829 - 1983.Документация при тестировании программ.ANSI/IEEE 1008 - 1986.Тестирование программных модулей и компонент ПС.ANSI/IEEE 1012 - 1986.Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств.
Для защиты информации от внешних угроз в "ГУП ОЦ "Московский Дом Книги" используется межсетевой экран - программный или аппаратный маршрутизатор, совмещённый с firewall. Эта система позволяет осуществлять фильтрацию пакетов данных.
В компании также имеются нормативно-правовые и организационно-распорядительные документы такие как:
.Регламент информационной безопасности:
доступ сотрудников к служебной информации, составляющей коммерческую тайну;
доступ к использованию программного обеспечения, сконфигурированного персонального под "ГУП ОЦ "Московский Дом Книги".
.Регламенты использования сети Internet, электронной почты "ГУП ОЦ "Московский Дом Книги".
1.3 Анализ существующих разработок и выбор стратегии автоматизации "КАК ДОЛЖНО БЫТЬ"
1.3.1 Анализ существующих разработок для автоматизации задачи
В литературе предлагается следующая классификация средств защиты информации:
. Средства защиты от несанкционированного доступа (НСД):
средства авторизации;
мандатное управление доступом;
избирательное управление доступом;
управление доступом на основе ролей;
журналирование (так же называется Аудит).
. Системы анализа и моделирования информационных потоков (CASE-системы).
. Системы мониторинга сетей:
системы обнаружения и предотвращения вторжений (IDS/IPS).
системы предотвращения утечек конфиденциальной информации (DLP-системы).
. Анализаторы протоколов.
. Антивирусные средства.
. Межсетевые экраны.
. Криптографические средства:
шифрование;
цифровая подпись.
. Системы резервного копирования.
. Системы бесперебойного питания:
источники бесперебойного питания;
резервирование нагрузки;
генераторы напряжения.
. Системы аутентификации:
пароль;
ключ доступа (физический или электронный);
сертификат;
биометрия.
. Средства предотвращения взлома корпусов и краж оборудования.
. Средства контроля доступа в помещения.
. Инструментальные средства анализа систем защиты:
мониторинговый программный продукт.
Для автоматизации задачи обеспечения безопасности информационных систем предполагается внедрение в систему защиты информации компании криптографических систем. Криптографические методы являются наиболее эффективными средствами защиты информации в автоматизированных системах. А при передаче информации по протяженным линиям связи они являются единственным реальным средством предотвращения несанкционированного доступа. Рассмотрим существующие криптографические методы.
Метод шифрования с использованием датчика псевдослучайных чисел наиболее часто используется в программной реализации системы криптографической защиты данных. Это объясняется тем, что, он достаточно прост для программирования и позволяет создавать алгоритмы с очень высокой криптостойкостью. Кроме того, эффективность данного метода шифрования достаточно высока. Системы, основанные на этом методе, позволяют зашифровать в секунду от нескольких десятков до сотен Кбайт данных.
Основн