Информационная безопасность страховой компании

Автор работы: Пользователь скрыл имя, 16 Марта 2012 в 03:25, курсовая работа

Описание

Создание благоприятных условий на предприятии с целью уменьшить желание нарушить закон (хороший социальный климат в коллективе, хорошее отношение с начальством, достойная заработная плата и условия труда).

Скачать (867.91 Кб) Сколько стоит заказать работу?

Работа состоит из 1 файл

Обеспечение_информационной_безопасности_страховой_компании_1.docx

— 879.93 Кб (Скачать документ)

Южно-Сахалинский институт экономики, права и информатики

Кафедра «КТиС»

Самостоятельная работа

по дисциплине «Защита компьютерной информации»

На тему: Информационная безопасность страховой компании

Выполнил:

Студент группы ВТ-41

Леонтьев Е.П

Проверил преподователь:

Чужинов Р. В

Южно-Сахалинск

2010

Краткая структура предприятия

Информационные связи предприятия

Обрабатываемая предприятием информация

Персональные данные клиентов
Данные страхователей
Внутренние данные:

Бухгалтерия
Хозяйственные отчёты
Планы предприятия
Персональные данные работников

Основные федеральные законы

ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ, 8 июля 2006 года
О ПЕРСОНАЛЬНЫХ ДАННЫХ, 8 июля 2006 года

С помощью блока специальных законов регулируется информационная безопасность государства, общества и личности. Среди этих законов:

Закон «О средствах массовой информации» от 27.12.91 г. N 2124-I;
Закон «О Федеральных органах правительственной связи и информации» от 19.02.92 N 4524-1;
Закон «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 года №3523-1;
Закон «О правовой охране топологий интегральных микросхем» от 23.09.92 г. N 3526-I;
Закон «О государственной тайне» от 21 июля 1993 г. N 5485-1;
Закон «Об обязательном экземпляре документов» от 29.12.94 г. N 77-ФЗ;
Закон «Об информации, информатизации и защите информации» от 20.02.95 года N 24-ФЗ;
Закон «О внешней разведке» от 10.01.96 г. N 5-ФЗ;
Закон «Об участии в международном информационном обмене» от 5.06.1996 г. N 85-ФЗ;
Закон «О Государственной автоматизированной системе Российской Федерации «Выборы» N 20-ФЗ от 10 января 2003 г.

В соответствии с вышеупомянутыми законами необходимо полное и комплексное решение по защите информации от всех возможных угроз.

Угрозы безопасности и методы их предупреждения

Угроза		Средство защиты
Физический уровень
Копирование (в том числе видеосъёмка, фотографирование) бумажных документов	Охрана кабинетов с секретной информацией, железные двери, решётки на окнах, сигнализация, видеонаблюдение, использование сейфов. Контроль каждой копии бумажных документов, правило чистого стола.						Расположение кабинетов не на первом этаже
Кража либо уничтожение бумажных документов, серверов, плат и других носителей информации			Резервное копирование
Изменение документов, подмена						Регулярные проверки документов и носителей на подлинность
Случайное нарушение целостности вследствие наводнений,
Землетрясений,	Сейсмостойкость здания
Пожаров,	Надёжная система пожарной безопасности
Других чрезвычайных происшествий.
Утечка информации по каналам связи	Использование шифрования информации для обмена с внешней средой предприятия, маршрутизаторов CISCO. Во внутренней среде также можно использовать оптоволоконный кабель.
Организационный уровень
Кража и передача третьим лицам информации своими же сотрудниками		Создание благоприятных условий на предприятии с целью уменьшить желание нарушить закон (хороший социальный климат в коллективе, хорошее отношение с начальством, достойная заработная плата и условия труда).			Проведение морально воспитательной работы с сотрудниками, информирование о степени ответственности за распространение сведений. Ведение журнала доступа. Разделение секретной информации на уровни доступа, разрешение доступа только определённым группам пользователей, аутентификация и идентификация, шифрование данных, использование автоматизированных рабочих мест. Правило чистого стола.
Утечка информации вследствие халатности сотрудников		Воспитание чувства ответственности.
Программный уровень:
Скрытная передача информации третьим лицам вследствие использования недобросовестно разработанного программного обеспечения, в котором имеется такая возможность.		Работа только с сертифицированными и известными разработчиками любого программного обеспечения, работающего с секретной информацией. Использование комплексных систем. Просьба попытаться взломать систему опытным взломщиком. Предварительное тестирование работы ПО.
Случайные сбои оборудования с повреждением информации		Регулярные проверки оборудования на пригодность, замена и ремонт при необходимости.		Резервное копирование
Сетевая атака с целью порчи, удаления, подмены информации.		Использование антивирусных программ, сетевых экранов, идентификации и аутентификации, шифрования данных на сервере.
Сетевая атака с целью копирования информации

Рис. 1. Модель реализации угроз информационной безопасности

На основании вышеизложенного следует организовать на всех компьютерах сотрудников, работающих с персональными и прочими секретными данными, автоматизированные рабочие места и использованием смарт-карт и биометрических показателей для аутентификации и идентификации. Для использования шифрования данных при передаче информации следует зарегистрировать на предприятие собственный удостоверяющий центр. Для криптографической защиты данных следует использовать программный комплекс VipNet.

Политика чистого стола

Правила

Конфиденциальная информация, компьютеры (портативные, карманные ПК и т.д.) или съемные информационные носители (дискеты, кассеты, диски CD-ROM, ZIP-драйверы и т.д.) не должны находиться без присмотра или в незапертом состоянии.

Любая информация, являющаяся собственностью компании и представляющая собой важное корпоративное имущество, должна быть надежно защищена и не должна оставаться без присмотра.

Следующие принципы помогают придерживаться Политики чистого стола.

Вся информация, созданная в ходе деловой активности компании, является корпоративной, а не индивидуальной собственностью. Поэтому при разработке, рассылке, хранении, извлечении и утилизации записей и данных весь персонал должен следовать соответствующим локальным процедурам и руководствам, в основе которых должны лежать стандарты компании.

Руководители среднего звена отвечают за активы и данные, находящиеся в собственности их отделов, осознавая, что информация является ресурсом, которым необходимо грамотно управлять. Руководство среднего звена несет особую ответственность за обеспечение применения данной политики.

Требования

Ниже приводится список требований, которые необходимо выполнять в рамках данной политики.

В рабочее время

Покидая рабочее место, всегда производите блокировку доступа к вашему компьютеру, используя функциональные клавиши Ctrl-Alt-Delete, и берите с собой смарт-карту GI-D.
Всегда закрепляйте ваш портативный компьютер на письменном столе, используя тросик с замком.
Во время долгого отсутствия на рабочем месте или на площадке храните портативные компьютеры, персональные информационные устройства, мобильные телефоны и другие ценные вещи в запираемых шкафах, ящиках столов, кабинетах.
После совещаний стирайте информацию с лекционной доски и удаляйте перекидные листы.
Уничтожайте конфиденциальную информацию с помощью бумагорезательной машины.
Храните в надежном месте и не давайте никому ваши пароли и PIN-коды.
Всегда проверяйте, не оставили ли вы конфиденциальную информацию в принтерах/плоттерах и т.п. в местах общественного пользования.
Персонал и посетители отвечают за сохранность своих собственных вещей: сумок, кошельков, кредитных карт, денег, мобильных телефонов и т.п. Рекомендуется не оставлять данные вещи в карманах пиджаков или в портфелях, а хранить при себе или в запертом месте.

Вне рабочего времени

В конце рабочего дня убирайте все конфиденциальные или строго конфиденциальные документы и папки в запираемый ящик стола или храните их в запираемом кабинете. Если позволяет пространство, следует хранить в запертом виде всю документацию.
Во время отсутствия на площадке храните портативные компьютеры, персональные информационные устройства, мобильные телефоны и другие ценные вещи в запираемых шкафах, ящиках столов, кабинетах.
В соответствии с Политикой и Процедурой контроля доступа СЭИК, при выносе из помещений СЭИК любого оборудования, маркированного как корпоративное имущество, необходимо заполнить и подписать у руководства соответствующую Форму вывоза материалов.

Возможные каналы несанкционированного доступа к информации ЭВМ и средства защиты, рекомендуемые для их перекрытия

№ п/п	Возможные каналы НСД	Средства защиты
	Дисплей, принтер, плоттер, графопостроитель	Отдельное помещение с контролируемым доступом
	Клавиатура, сканер, манипулятор «мышь»	То же Специальный электронный ключ в сочетании с фрагментами ПО Программа контроля и разграничения доступа (пароли) Средства защиты от отладочных программ Блокировка механическим замком включения электропитания Блокировка механическим замком механизма загрузки ПО Средства контроля целостности ПО
	Дисковод	Отдельное помещение с контролируемым доступом Применение ЭВМ без дисковода Установка механической крышки с механическим замком Средства защиты от вирусов Средства верификации НГМД Средства защиты от несанкционированной загрузки ПО Средства контроля целостности ПО
	ГМД, Стриммер	Отдельное помещение с контролируемым доступом Учет и регистрация Маркировка цветом Хранение в сейфах Стирание остатков информации Уничтожение остатков информации Компрессия данных Шифрование данных
	ЖМД	Отдельное помещение с контролируемым доступом Металлический шкаф с замком Блокировка снятия кожуха системного блока механическим замком Средства контроля целостности ПО Стирание остаточной информации Уничтожение остаточной информации Шифрование данных
	Внутренний монтаж	Отдельное помещение с контролируемым доступом Блокировка снятия кожуха системного блока механическим замком
	ПЭМИН	Средства уменьшения и зашумления сигналов и установление границ контролируемой зоны
	Отходы носителей с информацией	Отдельное помещение с контролируемым доступом Средства уничтожения отходов носителей
	Документы	Отдельное помещение с контролируемым доступом Учет и регистрация документов Сейф

Средства и методы защиты информации в сети компании.

Минимальный пакет	Оптимальный пакет (в дополнение к минимуму)
Средства антивирусной защиты рабочих станций, файловых и почтовых серверов	Антивирусные средства в программно-аппаратном исполнении; средства контроля содержимого (Content Inspector) и борьбы со спамом
Программный межсетевой экран (МЭ)	Программно-аппаратный МЭ, система обнаружения атак (Intrusion Detection System)
Программные средства формирования защищенных корпоративных сетей (VPN - Virtual Private Network)	То же в программно-аппаратном исполнении и интеграции с межсетевым экраном
Аппаратные средства аутентификации пользователей (токены, смарт-карты, биометрия и т. п.)	То же в интеграции со средствами защиты от несанкционированного доступа (НСД) и криптографическими средствами
Разграничение доступа пользователей к конфиденциальной информации штатными механизмами защиты информации и разграничение доступа операционных систем, прикладных программ, маршрутизаторов и т. п.	Программно-аппаратные средства защиты от НСД и разграничения доступа
Программные средства шифрования и электронной цифровой подписи (ЭЦП) для обмена конфиденциальной информацией по открытым каналам связи	Аппаратные шифраторы для выработки качественных ключей шифрования и ЭЦП; интеграция со средствами защиты от НСД и аутентификации
Средства "прозрачного" шифрования логических дисков пользователей, используемых для хранения конфиденциальной информации	Средства "прозрачного" шифрования конфиденциальной информации, хранимой и обрабатываемой на серверах
Средства уничтожения неиспользуемой конфиденциальной информации (например, с помощью соответствующих функций шифраторов)	Аппаратные уничтожители носителей информации
Средства резервного копирования, источники бесперебойного питания, уничтожители бумажных документов

Модель построения системы информационной безопасности

При выполнении работ можно использовать следующую модель построения системы информационной безопасности (рис. 1), основанную на адаптации ОК (ISO 15408) и проведении анализа риска (ISO 17799).

Информация о работе Информационная безопасность страховой компании