Назначение и структура системы защиты информации коммерческого предприятия (Теоретические основы защиты информации)

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ «УНИВЕРСИТЕТ УНИВЕРСИТЕТ»

Факультет электронного обучения

курсовая работа

по дисциплине

«Информационная безопасность»

на тему

Назначение и структура системы защиты информации коммерческого предприятия

Работу выполнила студентка группы

ОБПн-1411МО

Направление подготовки: Прикладная информатика

Брусов Дмитрий Николаевич

МОСКВА

2018

ВВЕДЕНИЕ.........................................................................................	3
Глава 1 Теоретические основы защиты информации.....................	5
1.1 Понятие защиты информации.....................................................	5
1.2 Системы защиты информации. Защита информации коммерческого предприятия.............................................................
	13
Глава 2 Назначение и структура систем защиты информации коммерческого предприятия.............................................................
	17
Назначение систем защиты информации..................................	17
Структура систем защиты информации.....................................	19
ЗАКЛЮЧЕНИЕ..................................................................................	24
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ..........................	25

ВВЕДЕНИЕ

21 век, безусловно, является веком, в котором господствует информация. Информация сегодня – это не просто сведения, а ценный ресурс, обладание которым открывает многие пути. И поэтому защита информации сейчас одно из неотъемлемых условий успеха любого предприятия. С достаточно резким развитием компьютерной и сетевой техники одновременно появилась и проблема, состоящая в актуальной, адекватной ситуации защите информации. И с каждым днем эта проблема становится все серьезнее. Мы видим, как увеличивается число кибер-преступлений – преступлений, совершенных в сетевом информационном пространстве. Корпорации и крупные предприятия ежегодно несут неисчислимые убытки, что является следствием деятельности кибер-преступников, совершающих хищения, деформацию и компрометацию конфиденциальной, стратегически важной для предприятия информации.

Одной из основных причин увеличения преступлений данного рода является постепенный переход с традиционных форм хранения информации (на бумаге) к современным (в памяти компьютера и в сети). При этом защита информации зачастую бывает недостаточна для того уровня конфиденциальности, который присваивается данным. И становится очевидно, что в подобных условиях перед любым современным предприятием стоит вопрос о комплексном, грамотном подходе к обеспечению защиты информации. Нередки случаи, когда руководители не обладают достаточными знаниями для формирования соответствующей системы защиты информации, или уделяют данной проблеме недостаточно внимания по каким-либо причинам. Это приводит к неприятным, а порой и губительным для бюджета и структуры предприятия последствиям. Так, для того чтобы определить наиболее целесообразные системы защиты информации коммерческого предприятия, необходимо достигнуть цели – изучение назначения и структуры системы защиты информации коммерческого предприятия.

Для достижения данной цели необходимо выполнить следующие задачи:

• рассмотреть понятие защиты информации;
• охарактеризовать системы защиты информации. Привести особенности защиты информации в коммерческом предприятии;
• проанализировать назначение систем защиты информации;
• изучить структуру систем защиты информации;
• подвести итоги по выполненной работе.

Объектом работы выступают системы защиты информации коммерческого предприятия, а предметом – их назначение и структура.

Методологической основой исследования выступают теоретические и практические положения трудов таких исследователей проблемы, как Бирюков А., Емельянова Н., Мельников В., Шаньгин В. и др.

Структура работы включает две главы – по два параграфа каждая. Также включены такие элементы, как список использованной литературы, введение и заключение.

Глава 1. Теоретические основы защиты информации

Понятие защиты информации

Для детального рассмотрения исследуемой проблемы целесообразно рассмотреть в аналогии такие два понятия, как «безопасность информации» и «защита информации».

Понятие «безопасность информации» условно можно разделить на два аспекта:

• безопасность содержательной части (смысла) информации представляется как отсутствие в ней побуждения человека к негативным действиям, умышленно заложенных механизмов негативного воздействия на человеческую психику или негативного воздействия на иной блок информации (например, информация, содержащаяся в программе для ЭВМ, именуемой компьютерным вирусом)^[1];
• защищенность информации от внешних воздействий (попыток неправомерного копирования, распространения, модификации (изменения смысла) либо уничтожения^[2].

Таким образом, защита информации входит составной частью в понятие «безопасность информации».

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации^[3].

Следует отметить, что в целом проблема информационной безопасности включает, наряду с задачами обеспечения защищенности информации и информационных систем, еще два аспекта: защиту от воздействия вредоносной информации, обеспечение принятия обоснованных решений с максимальным использованием доступной информации.

Обеспечение информационной безопасности призвано решать следующие основные задачи:

• выявление, оценка и предотвращение угроз информационным системам и информационным ресурсам;
• защита прав юридических и физических лиц на интеллектуальную собственность, а также сбор, накопление и использование информации;
• защита государственной, служебной, коммерческой, личной и других видов тайны.

Угрозы информационным системам и информационным ресурсам можно условно разделить на четыре основные группы:

• программные. Заключаются во внедрении в целевую систему вирусов, уничтожение и модификацию информации в информационной системе;
• технические, в т.ч. радиоэлектронные. Представляют собой некий «перехват» данных на их пути в линии связи. Также возможно радиоэлектронное воздействие на линии связи с целью подавления сигнала;
• физические. Предполагают уничтожение или значительную порчу носителя, средств обработки и хранения информации. К этой группе также относится хищение носителей и ключей доступа;
• информационные. Подобные угрозы подразумевают нарушения регламентов в процессе информационного обмена. Сюда же относятся незаконный сбор, хранение, передачу и использование данных, несанкционированное проникновение к данным, копирование и размножение конфиденциальной информации и др.^[4].

Перечисленные угрозы реальны, но также реально возможно им противостоять. Основой такого противостояния, в первую очередь, являются действия по разработке и внедрению специализированных, проверенных высокоэффективных систем защиты информации. Кроме того, необходимо учитывать, что при принятии решения об использовании той или иной системе защиты информации, следует применять системный подход по нескольким причинам:

Во–первых, для эффективной защиты информационных ресурсов требуется реализация целого ряда разнородных мер, которые можно разделить на три группы: юридические, организационно-экономические и технологические. Все они базируются на следующих принципах:

• нормативно–правовая база информационных отношений в обществе четко регламентирует механизмы обеспечения прав граждан свободно искать, получать, производить и распространять информацию любым законным способом;
• интересы обладателей информации охраняются законом;
• засекречивание (закрытие) информации является исключением из общего правила на доступ к информации;
• ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируются;
• специальной заботой государства является развитие сферы информационных услуг, оказываемых населению и специалистам на основе современных компьютерных сетей, системы общедоступных баз и банков данных, содержащих справочную информацию социально–экономического, культурного и бытового назначения, право доступа к которым гарантируется и регламентируется законодательством^[5].

Во–вторых, разработкой мер защиты применительно к каждой из четырех групп должны заниматься специалисты из соответствующих областей знаний. Естественно, что каждый из указанных специалистов по–своему решает задачу обеспечения информационной безопасности и применяет свои способы и методы для достижения заданных целей. При этом каждый из них в своем конкретном случае находит свои наиболее эффективные решения. Однако на практике совокупность таких частных решений не дает в сумме положительного результата – система безопасности в целом работает неэффективно^[6].

Применение в этих условиях системного подхода позволяет определить взаимные связи между соответствующими определениями, принципами, способами и механизмами защиты. Причем понятие системности в данном случае заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла информационной системы.

С точки зрения общей теории систем можно выделить три класса задач:

• задача анализа – определение характеристик системы при заданной ее структуре;
• задача синтеза – получение структуры системы, оптимальной по какому–либо критерию (или их совокупности);
• задача управления – поиск оптимальных управляющих воздействий на элементы системы в процессе ее функционирования^[7].

Применение системного подхода на этапе создания системы защиты информации подразумевает решение соответствующей задачи синтеза. Такой подход (например, применительно к техническим системам) позволяет получить оптимальное по определенному критерию (или их совокупности) решение: структуру, алгоритмы функционирования.

При оценке качества функционирования синтезированной средствами защиты информации, целесообразно производить оценку ее эффективности. В настоящее время в отечественной и зарубежной практике преимущественно используются два способа оценки:

• определение соответствия техническому заданию на создание системы защиты реализованных функций и задач защиты, эксплуатационных характеристик и требований;
• анализ функциональной надежности системы защиты.

Первый способ является наиболее простым и выполняется на этапе приемо–сдаточных испытаний.

Суть второго заключается в следующем. Для обоснования выбора средств защиты в целях эффективного обеспечения защиты вводится классификация их свойств. Каждому классу соответствует определенная совокупность обязательных функций. В России классификация систем защиты определяется руководящим документом Гостехкомиссии «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». В соответствии с этим документом устанавливается семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. Самый низкий класс – седьмой, самый высокий – первый.

По уровню защиты такие классы принято разделять на четыре уровня:

• первая группа содержит только один седьмой класс;
• вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
• третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
• четвертая группа характеризуется верифицированной защитой и содержит только первый класс^[8]. Указанные способы используют, по своей сути, системотехнические методики оценки.

Наряду с упомянутыми способами существует ряд методик и моделей, с помощью которых производится анализ эффективности систем защиты информации. Для оценки в моделях используются показатели, характеризующие уязвимость информации, обрабатываемой в информационной системе, либо некоторые величины, входящие в выражения показателей качества информации. Таким образом, построение высокоэффективных систем защиты информации возможно на основе системного подхода путем решения соответствующей задачи синтеза. Задача синтеза сводится к оптимальному обоснованию качественных и количественных требований к средствам защиты информации.

В последнее время формируется устойчивое мнение, что информация, существующая в форме знаний, должна быть общедоступна, потребность в ее получении у подавляющего большинства индивидов столь же велика, как и потребность в жизни или свободе. И если право жить как первичное, фундаментальное ничем ограничить нельзя, ограничение права на свободу жестко регламентируется законом, то не менее жестко необходимо определять условия, при которых может быть ограничено право человека в доступе к необходимой ему информации.

В Российской Федерации в период 90–х гг. был предпринят ряд существенных мер, направленных на обеспечение свободы массовой информации, которые нашли отражение в Законе о средствах массовой информации (СМИ), Федеральном законе от 13 января 1995 г. № 7–ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации».

То субъективное право, на котором мы заостряем внимание, касается права человека свободно искать и получать информацию. И лишь к отдельным категориям информации, точно определенным нормативными правовыми актами, доступ может быть временно ограничен. Основанием в таком ограничении является защита охраняемых законом интересов личности, общества и государства. На протяжении значительной части прошлого века деятельность средств массовой информации в России осуществлялась в условиях действия цензуры, которая практически обеспечивала информационную безопасность этой деятельности.

Действующая в настоящее время редакция Закона о средствах массовой информации в ряде случаев оставляет возможность прямых нарушений принципов обеспечения информационной безопасности. В частности, отдельные положения главы «Ответственность за нарушение законодательства о средствах массовой информации», касающиеся освобождения от указанной ответственности, создают предпосылки для многократного тиражирования дезинформации практически любого содержания.

Таким образом, на современном этапе деятельности средствах массовой информации в России возникла настоятельная потребность в организации и правовом обеспечении так называемой технологической цензуры. Известно, что в ряде стран определенный опыт использования технологической цензуры накоплен в рамках деятельности ведомств, обеспечивающих функционирование средств связи, по отношению к Интернету^[9].

Наряду с проблемой совершенствования законодательства, направленного на повышение ответственности редакций за достоверность публикуемых материалов, одним из направлений решения указанной задачи является разработка механизмов осуществления технологической цензуры. Технически эта задача может быть решена, например, созданием редакционной экспертной системы, которая будет анализировать всю подготовленную для распространения через средства массовой информации информацию (в том числе и Интернет–издания).

Естественно, что информационное общество не может признано таковым, если не будет сформировано единого и максимально широкого информационного пространства. Реальной моделью и реальным оператором этого пути является все та же сеть Интернет. Сеть ликвидировала государственные границы в информационной сфере. В Сети циркулирует огромное количество разнообразной информации, при этом реально обеспечивается свобода ее поиска. Интернет и ему подобные системы – это новая степень свободы для человека, степень информационной свободы. Там каждый может найти то, что ему нужно.

Такая свобода может одновременно радовать и пугать. Несомненно, появляются новые способы самовыражения для людей, которые позволяют формировать и влиять на мнение общества о себе, о каких-либо событиях, явлениях. Но при этом подобная свобода и настораживает, так как в ряде случаев трактуется как вседозволенность при практическом отсутствии наказания. Также стоит помнить, что сеть, в том числе Интернет, является отличным «транспортным средством» для разного рода вредоносных сред.

Осознание значимости информации для жизни человечества на новом качественном уровне в целом и построение коммуникаций, основанных на компьютерных технологиях в частности, сделали актуальным формирование новой стратегии силового противоборства между государствами – стратегии информационных войн.

Системы защиты информации. Защита информации коммерческого предприятия

Согласно Государственному стандарту Р 50922–2006, защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий. Такая деятельность может быть:

• правовой, регулирующей защиту информации путем разработки правовых норм и документов, а так же надзор и контроль над их исполнением;
• технической – путем использования программного обеспечения;
• криптографической – путем преобразования информации;
• физической – посредством организационных мероприятий, препятствующих доступу к конфиденциальной информации^[10].

Компании, предоставляющие услуги по обеспечению информационной безопасности могут использовать совокупность способов или выбрать метод, необходимый для осуществления своей деятельности, так как подбор системы безопасности для каждой фирмы является индивидуальным.

Преимуществом комплексной защиты, безусловно, является ее целостность, возможность непрерывного осуществления контроля, разработка наилучшей по эффективности индивидуальной системы безопасности и качественной, быстрой адаптации на предприятии.

В связи со сложностью и различием структур предприятий и организаций, требующих информационной защиты, разработка концепции и предоставление услуг по обеспечению безопасности происходит с учетом всей специфики и особенностей фирмы.

Однако комплексный подход подразумевает под собой пошаговую методологическую работу, которая позволит обеспечить грамотную и профессиональную защиту. Можно выделить несколько основных принципов работы, составляющих основные методы разработки системы информационной безопасности предприятий:

1. Проведение анализа и оценка состояния безопасности. Составление плана предполагаемых мероприятий.
2. Разработка программного обеспечения, подготовка документации, моделирование системы управления информационной безопасностью
3. Реализация политики безопасности, оснащение компании необходимым оборудованием и программным обеспечением, создание целостной организованной структуры службы безопасности, обучение персонала фирмы.
4. Осуществление контроля, своевременное обновление программ, эффективное решение поставленных задач, анализ эффективности и объективная оценка работы системы безопасности^[11].

Такой продуманный и профессиональный подход по предоставлению и обеспечению информационной безопасности гарантирует пресечение попыток взлома и проникновения к информационным данным, обеспечение непрерывной и бесперебойной работы по обмену данными между филиалами или отдельными подразделениями путем минимизации рисков проникновения любых вредоносных программ, вирусов и несанкционированного повреждения системы.

После оценки информационной безопасности предприятия или банка необходимо внедрение защитных систем и специального технического оборудования.

Согласно опыту компаний, предоставляющих услуги по обеспечению информационной безопасности, основная доля утечки данных происходит по вине сотрудников компании. Обеспечение внутренней безопасности подразумевает:

• обучение и инструктаж сотрудников компании, что, в свою очередь, повышает производительность и эффективность работы;
• применение технических средств и использование специальных программ, позволяющих анализировать и контролировать передачу информации на съемные носители, отслеживать утечки информации путем сетевого или беспроводного соединения, создавать «защитный экран» внутренней корпоративной сети, предотвращая любые несанкционированные проникновения к доступу к конфиденциальной информации^[12].

Работа по выявлению и устранению утечек предполагает также создание и применение криптографических средств защиты, то есть корпоративного шифрования данных.

Компании, предоставляющие помощь по обеспечению информационной безопасности используют ряд программ, позволяющих не только безопасно передавать конфиденциальные данные, но и обеспечивают их сохранность и защищенность от нежелательных изменений и кражи на персональном компьютере.

Ведение бизнеса подразумевает оформление, передачу и хранение множества документов, в том числе и бухгалтерской отчетности предприятия. Зачастую клиентская база и производимые расчеты склада являются строго конфиденциальной информацией, уязвимой не только для взлома, но и для постоянного хранения на носителях.

Внедрение средств по идентификации пользователей поможет значительно снизить риски несанкционированного проникновения. Обеспечение безопасности паролей, ЭЦП, использование ключей и специальная система кодов, разработанных компанией, является неотъемлемой частью обеспечения безопасности.

Услуги компании по обеспечению информационной безопасности предприятия во многих случаях представляют собой долгосрочное сотрудничество с компанией–заказчиком.

Необходимость управления и контроля систем, проверка и аудит работы, предоставление своевременной отчетности о возможных нарушениях, решение возникающих проблем – все это делает непрерывную и постоянную работу системы безопасности совершенно необходимой для компании.

Отчет о проделанной работе компании предоставляют в соответствии с требованиями строгой отчетности, ведения журнала записей учета текущих нарушений, выявления потенциальных опасностей и регистрации возможной утечки данных^[13].

Современные компании, предоставляющие услуги по обеспечению информационной безопасности, разрабатывают персональные системы контроля, программное обеспечение и шифровальные коды. Все разработки проходят тщательные испытания на предмет утечки или несанкционированного проникновения к доступу данными.

Появление новых вирусов, повреждающих носители информации, и новых систем взлома заставляют непрерывно работать над повышением эффективности защиты, разработкой более совершенных программ шифрования и блокировки утечки.

Применение качественного и высокотехнологичного оборудования, разработка улучшенных систем безопасности, грамотное обучение персонала и организованная система контроля способствуют безопасной работе предприятия с минимальным риском нарушения целостности информации и сохранения ее конфиденциальности. А это, в свою очередь, гарантирует высокую производительность работы фирмы и плодотворное ведение бизнеса.

Глава 2. Назначение и структура систем защиты информации коммерческого предприятия

2.1 Назначение систем защиты информации

Главная цель создания системы защиты информации – ее надежность. Система защиты информации – это организованная совокупность объектов и субъектов защиты информации, используемых методов и средств защиты, а также осуществляемых защитных мероприятий^[14].

Но компоненты защиты информации, с одной стороны, являются составной частью системы, с другой – сами организуют систему, осуществляя защитные мероприятия. Поскольку система может быть определена как совокупность взаимосвязанных элементов, то назначение СЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически. Надежность защиты информации прямо пропорциональна системности, т. е. при несогласованности между собой отдельных составляющих риск «проколов» в технологии защиты увеличивается.

Во–первых, необходимость комплексных решений состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно–техническая).

Во–вторых, необходимость комплексных решений обусловлена назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты. Например, система включает в себя какие–то объекты защиты, а все они включены или нет – это уже вне пределов системы^[15].

Поэтому качество, надежность защиты зависят не только от видов составляющих системы, но и от их полноты, которая обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе таких факторов и обстоятельств, является вторым назначением комплексности.

При этом должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия.

В–третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых обстоятельствах. Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, в любое время и при всех режимах функционирования систем обработки информации.

В то же время комплексность не исключает, а предполагает дифференцированный подход к защите информации в зависимости от состава ее носителей, степени ее конфиденциальности, средств хранения и обработки, форм и условий проявления уязвимости, каналов и методов несанкционированного доступа к информации. Таким образом, значимость комплексного подхода к защите информации состоит в интеграции локальных систем защиты, обеспечении полноты всех составляющих системы защиты и всеохватности защиты информации.

2.2 Структура систем защиты информации

При определении структуры любой сложной системы базовым этапом является формулирование цели и критериев эффективности работы системы.

Целью защиты информации является заранее намеченный результат защиты информации (результатом защиты информации может быть предотвращение ущерба обладателю информации из–за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию)^[16].

Угроза информационной безопасности организации – совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации. При таком подходе основной целью СЗИ является предотвращение ущерба, т.е. предотвращение реализации угроз информационной безопасности.

Таким образом, структура СЗИ должна зависеть от перечня угроз защищаемой системе. Модель угроз, на основе которой проектируется структура СЗИ, обязательно должна включать следующие разделы:

• перечень угроз информации;
• перечень угроз носителям информации;
• перечень угроз элементам информационной системы;
• перечень угроз элементам системы защиты;
• перечень угроз, касающихся управления системой защиты – невыполнения нормативных документов организации в области информационной безопасности.

При структуризации средств защиты информации можно рассматривать следующие группы механизмов защиты:

• механизмы защиты информации, ее носителей и элементов информационной системы от угроз конфиденциальности;
• механизмы защиты информации, ее носителей и элементов информационной системы от угроз целостности^[17].

Угрозы доступности могут быть реализованы после нарушения целостности элементов информационной системы или после перегрузки каналов связи. Соответственно, механизмами защиты от угроз доступности информации будет являться обеспечение целостности элементов информационной системы (например, сетевых сервисов) и проектирование каналов связи, выдерживающих пиковые нагрузки.

Механизмы защиты от угроз конфиденциальности можно разделить на следующие типы:

• механизмы, препятствующие доступу несанкционированных лиц к защищаемой информации или к элементам информационной системы;
• механизмы, препятствующие неконтролируемому выходу информации за пределы санкционированного объекта;
• механизмы, контролирующие потоки защищаемой информации.

Механизмы защиты от несанкционированного доступа включают: разграничение доступа, аутентификацию и шифрование. Шифрование используется для ограничения доступа к самой информации, а управление доступом может использоваться на всех уровнях информационной системы для защиты носителей информации.

Механизмы защиты от угроз нарушения целостности состоят из двух частей – механизмы контроля целостности и механизмы восстановления.

Угрозы нарушения целостности существуют на всех уровнях информационной системы:

• угрозы целостности (достоверности) информации;
• угрозы целостности носителя информации (уничтожение носителя и хранящейся на нем информации);
• угрозы целостности исполняемых файлов;
• угрозы целостности программной среды (запуск несанкционированных приложений);
• угрозы целостности аппаратной конфигурации информационной системы;
• угрозы целостности защищаемого помещения, здания, прилегающей территории (проникновение нарушителя);
• угрозы отключения средств защиты;
• угрозы изменения настроек средств защиты и т.д.^[18]

Таким образом, в работе приведены основные требования к описанию структуры системы защиты информации. Структура СЗИ должна быть формализована таким образом, чтобы была возможность оценки комплекса средств защиты и нормативных документов, используемых в ней.

Формальное описание структуры СЗИ должно опираться на несколько моделей:

• модель системы документооборота;
• модель информационной системы;
• модель угроз информации и информационной системе;
• модель угроз средствам защиты информации.

Модель системы документооборота позволит определить, в рамках каких сред циркулирует информация в информационной системе, а также объекты и субъектов, которым разрешено хранение, обработка и передача информации.

Модель информационной системы позволит учесть типы каналов передачи информации и многоуровневость зон работы с информацией, определив необходимое количество рубежей защиты.

Модель угроз информации должна включать весь возможный перечень угроз, для каждой из которых будут определены методы и средства защиты в рамках каждой среды.

Модель угроз средствам защиты позволит учитывать в структуре системы защиты мероприятия, необходимые для обеспечения непрерывной работы СЗИ.

Исходя из вышеперечисленного, можно сделать вывод о том, что структура системы защиты информации должна быть основана на едином описании программно – технического и нормативного элемента системы защиты, позволяя комплексно оценить качество защиты от каждой угрозы.

Для обеспечения эффективности защиты информации все используемые средства и мероприятия целесообразно объединить в систему защиты информации, которая должна быть функционально самостоятельной подсистемой ИС. Главное свойство системы защиты – адаптивность ее при изменении структуры технологических схем или условий функционирования ИС. Другими принципами могут быть:

• минимизация затрат, максимальное использование серийных средств;
• обеспечение решения требуемой совокупности задач защиты;
• комплексное использование средств защиты, оптимизация архитектуры;
• удобство для персонала;
• простота эксплуатации.

Систему защиты информации целесообразно строить в виде взаимосвязанных подсистем: криптографической защиты; обеспечения юридической значимости электронных документов; защиты от несанкционированного доступа; организационно–правовой защиты; управления системой защиты информации.

Построение системы защиты информации в таком виде позволит обеспечить комплексность процесса защиты информации в информационной системе, управляемость процесса и возможность адаптации при изменении условий функционирования информационной системы.

Подсистема криптографической защиты объединяет средства такой защиты информации и по ряду функций кооперируется с подсистемой защиты от несанкционированного доступа.

Подсистема обеспечения юридической значимости электронных документов служит для придания юридического статуса документам в электронном представлении и является определяющим моментом при переходе к безбумажной технологии документооборота. Данную подсистему удобно и целесообразно рассматривать как часть подсистемы криптографической защиты.

Подсистема защиты от несанкционированного доступа предотвращает доступ несанкционированных пользователей к ресурсам информационной системы.

Подсистема управления средств защиты информации предназначена для управления ключевыми структурами подсистемы криптографической защиты, а также контроля и диагностирования программно–аппаратных средств и обеспечения взаимодействия всех подсистем средств защиты информации.

Подсистема организационно–правовой защиты предназначена для регламентации деятельности пользователей информационных систем и представляет собой упорядоченную совокупность организационных решений, нормативов, законов и правил, определяющих общую организацию работ по защите информации в ИС^[19].

ЗАКЛЮЧЕНИЕ

В ходе выполнения работы была достигнута поставленная цель, а именно: изучены назначение и структура системы защиты информации коммерческого предприятия.

Для достижения данной цели были выполнены следующие задачи:

• рассмотрено понятие защиты информации;
• охарактеризованы системы защиты информации. Приведены особенности защиты информации в коммерческом предприятии;
• проанализировано назначение систем защиты информации;
• изучена структура систем защиты информации.

В ходе проведения исследования было также определено, что системы защиты информации сегодня на самом деле играют одну из ключевых ролей в деятельности предприятия. Целесообразная, структурированная и грамотная защита информации предупреждает не только так распространившиеся сегодня кибер-преступления, но также и потери, искажение и нарушение достоверности информации.

Технологии развиваются и с каждым днем мы обретаем все более объемные и разносторонние знания, в том числе – о средствах защиты информации, которых становится все больше. Благодаря этому, при возникновении необходимости, работа может быть дополнена по мере возникновения новых данных по проблеме исследования.

В ходе работы над исследованием также были получены новые теоретические знания, которые будут полезны не только при дальнейшем изучении дисциплины и смежных с ней, но и в практической личной и профессиональной деятельности.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Бабаш, А. В. Информационная безопасность. Лабораторный практикум: Учебное пособие // А. В. Бабаш, Е. К. Баранова, Ю. Н. Мельников. – М.: КноРус, 2013. – 136 c.
2. Бирюков, А. А. Информационная безопасность: защита и нападение // А. А. Бирюков. – М.: ДМК Пресс, 2013. – 474 c.
3. Галицкий, А. В. Защита информации в сети – анализ технологий и синтез решений // А. В. Галицкий, С. Д. Рябко, В. Ф. Шаньгин. – М.: ДМК Пресс, 2016. – 615 c.
4. Гафнер, В. В. Информационная безопасность: Учебное пособие // В. В. Гафнер. – Рн/Д: Феникс, 2010. – 324 c.
5. Громов, Ю. Ю. Информационная безопасность и защита информации: Учебное пособие // Ю. Ю. Громов, В. О. Драчев, О. Г. Иванова. – Ст. Оскол: ТНТ, 2010. – 384 c.
6. Емельянова, Н. З. Защита информации в персональном компьютере // Н. З. Емельянова, Т. Л. Партыка, И. И. Попов. – М.: Форум, 2015. – 368 c.
7. Запечников, С.В. Информационная безопасность открытых систем. Том 2. Средства защиты в сетях: Учебник для вузов. // С. В. Запечников, Н. Г. Милославская, А. И. Толстой, Д. В. Ушаков. – М.: ГЛТ , 2008. – 558 c.
8. Конотопов, М. В. Информационная безопасность. Лабораторный практикум // М. В. Конотопов. – М.: КноРус, 2013. – 136 c
9. Малюк, А. А. Введение в защиту информации в автоматизированных системах / А. А. Малюк, С. В. Пазизин, Н. С. Погожин. – М.: Горячая линия – Телеком, 2014. – 147 c.
10. Мельников, В. П. Защита информации в компьютерных системах // В. П. Мельников. – М.: Финансы и статистика. - Электроинформ, 2016. – 368 c.
11. Мельников, В. П. Информационная безопасность и защита информации: моногр. // В. П. Мельников, С. А. Клейменов, А. М. Петраков. – М.: Academia, 2016. – 336 c.
12. Партыка, Т. Л. Информационная безопасность: Учебное пособие // Т. Л. Партыка, И. И. Попов. – М.: Форум, 2012. – 432 c.
13. Петров, С. В. Информационная безопасность: Учебное пособие // С. В. Петров, И. П. Слинькова, В.В. Гафнер. – М.: АРТА, 2012. – 296 c.
14. Семененко, В. А. Информационная безопасность // В. А. Семененко. – М.: МГИУ, 2011. – 277 c.
15. Сергеева, Ю. С. Защита информации. Конспект лекций // Ю. С. Сергеева. – М.: А–Приор, 2015. – 128 c.
16. Соколов, А. В. Защита информации в распределенных корпоративных сетях и системах // А. В. Соколов, В. Ф. Шаньгин. – М.: ДМК Пресс, 2016. – 656 c.
17. Спесивцев, А. В. Защита информации в персональных ЭВМ // А. В. Спесивцев, В. А. Вегнер, А. Ю. Крутяков. – М.: Радио и связь, 2016. – 192 c.
18. Степанов, Е. А. Информационная безопасность и защита информации. Учебное пособие // Е. А. Степанов, И. К. Корнеев. – М.: ИНФРА–М, 2014. – 304 c.
19. Шаньгин, В. Ф. Защита информации в компьютерных системах и сетях // В. Ф. Шаньгин. – М.: «ДМК пресс. Электронные книги», 2014. – 592 c.
20. Шаньгин, В. Ф. Информационная безопасность и защита информации // В. Ф. Шаньгин. – М.: ДМК, 2014. – 702 c.
21. Ярочкин, В. И. Информационная безопасность // В. И. Ярочкин. – М.: Академический проект, 2008. – 544 c

1. Гафнер, В. В. Информационная безопасность: Учебное пособие // В. В. Гафнер. – Рн/Д: Феникс, 2010. – 147 c ↑

2. Конотопов, М. В. Информационная безопасность. Лабораторный практикум // М. В. Конотопов. – М.: КноРус, 2013. – 64 c ↑

3. Запечников, С.В. Информационная безопасность открытых систем. Том 2. Средства защиты в сетях: Учебник для вузов. // С. В. Запечников, Н. Г. Милославская, А. И. Толстой, Д. В. Ушаков. – М.: ГЛТ , 2008. – 401 c. ↑

4. Сергеева, Ю. С. Защита информации. Конспект лекций // Ю. С. Сергеева. – М.: А–Приор, 2015. –81 c. ↑

5. Там же, 82 с ↑

6. Шаньгин, В. Ф. Защита информации в компьютерных системах и сетях // В. Ф. Шаньгин. – М.: «ДМК пресс. Электронные книги», 2014. – 486 c ↑

7. Ярочкин, В. И. Информационная безопасность // В. И. Ярочкин. – М.: Академический проект, 2008. – 189 c ↑

8. Петров, С. В. Информационная безопасность: Учебное пособие // С. В. Петров, И. П. Слинькова, В.В. Гафнер. – М.: АРТА, 2012. – 166 c ↑

9. Мельников, В. П. Информационная безопасность и защита информации: моногр. // В. П. Мельников, С. А. Клейменов, А. М. Петраков. – М.: Academia, 2016. – 211 c ↑

10. Партыка, Т. Л. Информационная безопасность: Учебное пособие // Т. Л. Партыка, И. И. Попов. – М.: Форум, 2012. – 324 c ↑

11. Спесивцев, А. В. Защита информации в персональных ЭВМ // А. В. Спесивцев, В. А. Вегнер, А. Ю. Крутяков. – М.: Радио и связь, 2016. –36 c ↑

12. Малюк, А. А. Введение в защиту информации в автоматизированных системах / А. А. Малюк, С. В. Пазизин, Н. С. Погожин. – М.: Горячая линия – Телеком, 2014. – 66 c ↑

13. Ярочкин, В. И. Информационная безопасность // В. И. Ярочкин. – М.: Академический проект, 2008. – 124 c ↑

14. Спесивцев, А. В. Защита информации в персональных ЭВМ // А. В. Спесивцев, В. А. Вегнер, А. Ю. Крутяков. – М.: Радио и связь, 2016. – 114 c ↑

15. Галицкий, А. В. Защита информации в сети – анализ технологий и синтез решений // А. В. Галицкий, С. Д. Рябко, В. Ф. Шаньгин. – М.: ДМК Пресс, 2016. – 514 c ↑

16. Сергеева, Ю. С. Защита информации. Конспект лекций // Ю. С. Сергеева. – М.: А–Приор, 2015. – 64 c ↑

17. Спесивцев, А. В. Защита информации в персональных ЭВМ // А. В. Спесивцев, В. А. Вегнер, А. Ю. Крутяков. – М.: Радио и связь, 2016. – 89 c ↑

18. Шаньгин, В. Ф. Информационная безопасность и защита информации // В. Ф. Шаньгин. – М.: ДМК, 2014. – 654 c ↑

19. Степанов, Е. А. Информационная безопасность и защита информации. Учебное пособие // Е. А. Степанов, И. К. Корнеев. – М.: ИНФРА–М, 2014. – 254 c ↑