Совершенствование системы защиты информации в организации (на примере администрации муниципального района Гафурийский район Республики Башкортостан)

Введение 3
1 Теоретические основы защиты информации 7
1.1 Сущность и задачи системы защиты информации 7
1.2 Перечень информации, подлежащей защите в региональных органах государственной власти 13
1.3 Особенности нормативно-правового регулирования защиты информации в региональных органах власти 20
2 Совершенствование системы защиты информации в Администрации муниципального района Гафурийский район РБ 29
2.1 Общая характеристика Администрации муниципального района Гафурийский район РБ 29
2.2 Анализ и оценка существующей системы защиты информации 31
2.2.1 Определение уровня защищенности ИСПДн 31
2.2.2 Класс защищенности государственной информационной системы 33
2.2.3 Моделирование угроз 36
2.3 Рекомендации по совершенствованию системы зашиты информации 42
Заключение 44
Список использованных источников 47
Приложения 52

Весь текст будет доступен после покупки

Продуктивная работа современной российской организации в значительной степени зависит от качественной защиты информации. Верно принятые решения в области управления информационной безопасностью гарантируют сохранность и достоверность информации, которую организация использует в своей деятельности.
Система защиты информации - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. Грамотно выстраиваемая система защиты информации в организации должна отвечать нормативным требованиям законодательных органов и регуляторов в области информационной безопасности, обеспечивать успешную реализацию основных целей и задач, рабочих процессов функционирования организации, исключая, - или надлежащим образом снижая, возможность реализации актуальных для организации угроз информационной безопасности, в непрерывно меняющихся технологических, экономических и политических условиях существования экономических субъектов. При этом совершенствование системы информационной безопасности организации представляет собой систематический, непрерывный процесс анализа эффективности существующей системы защиты, анализ ее возможных уязвимостей и актуализацию перечня угроз и сценариев их реализации для выявления возможных недостатков имеющейся системы безопасности и, при необходимости, своевременную выработку рекомендаций по ее совершенствованию, с определением ожидаемого эффекта для оценки целесообразности внедрения изменений. Эта деятельность должна быть планомерной и систематической, в частности, обязательной при изменении внешних условий, в которых функционирует организация, а также при изменении формы и целей деятельности организации (и при появлении новых угроз, обусловленных этими переменами).

Весь текст будет доступен после покупки

1 Теоретические основы защиты информации

1.1 Сущность и задачи системы защиты информации

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Основными видами защиты информации являются:
1. Правовая защита информации – защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
2. Техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
3. Криптографическая защита информации – защита информации с помощью ее криптографического преобразования.
4. Физическая защита информации – защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты .
Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности. Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам. Источники угроз могут возникать внутри информационной инфраструктуры предприятия - внутренние, или несанкционированное вмешательство третьих лиц из сторонних каналов - внешние. По природе возникновения угрозы делятся на искусственные (обусловленные человеческим фактором) и естественные. Здесь необходимо отметить, что самой неприятной особенностью таких угроз является невозможность их прогнозирования. В свою очередь, угрозы, связанные с проявлением человеческого фактора, могут различаться по способу осуществления: случайные или целенаправленные (преднамеренные). Случайные (непреднамеренные) угрозы могут быть связаны с различными ошибками, например: с проектированием системы защиты, ошибками работников при работе в системе, ошибками в аппаратной платформе и установленном программном обеспечении и др. Другая же группа, чаще всего связана с алчными целями, целями материальной выгоды или даже моральными предубеждениями злоумышленников .
Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности организации и т.п. С учетом объекта данного исследования, защите подлежат данные, которые обрабатываются в информационной инфраструктуре Администрации муниципального района Гафурийский район Республики Башкортостан, будучи задействованы при выполнении рабочих процессов.
Под системой защиты информации можно понимать государственную систему защиты информации и систему защиты информации на конкретных объектах. Государственная система защиты информации включает следующее:
1. Систему государственных нормативных актов, стандартов, руководящих документов и требований.
2. Разработку концепций, требований, нормативно-технических документов и научно-методических рекомендаций по защите информации.
3. Порядок организации, функционирования и контроля за выполнением мер, направленных на защиту информации, являющейся собственностью государства, а также рекомендаций по защите информации, находящейся в собственности физических и юридических лиц.
4. Организацию испытаний и сертификации средств защиты информации.
5. Создание ведомственных и отраслевых координационных структур для защиты информации.
6. Осуществление контроля за выполнением работ по организации защиты информации.
7. Определение порядка доступа юридических и физических лиц иностранных государств к информации, являющейся собственностью государства, или к информации физических и юридических лиц, относительно распространения и использования которой государством установлены ограничения.
Целью системы защиты информации организаций может быть предотвращение нанесения ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию. Правильно составленная система должна учитывать все аспекты защиты и быть комплексной.
Комплексный (системный) подход к построению любой системы включает в себя: прежде всего, изучение объекта внедряемой системы; оценку угроз безопасности объекта; анализ средств, которыми будем оперировать при построении системы; оценку экономической целесообразности; изучение самой системы, её свойств, принципов работы и возможность увеличения эффективности; соотношение всех внутренних и внешних факторов; возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.

Весь текст будет доступен после покупки

1 «Конституция Российской Федерации» (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) - URL: https://www.co№sulta№t.ru/docume№t/co№s_doc_LAW_28399/ (дата обращения 06.03.2023) - Текст: электронный.
2 Федеральный закон от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» - URL: https://www.co№sulta№t.ru/docume№t/co№s_doc_LAW_84602/ (дата обращения 14.05.2023) - Текст: электронный.
3 Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» - URL: https://www.co№sulta№t.ru/docume№t/co№s_doc_LAW_61798/ (дата обращения 06.03.2023) - Текст: электронный.
4 Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных» - URL: https://base.gara№t.ru/12148567/ (дата обращения 06.03.2023) - Текст: электронный.
5 Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» - URL: https://www.co№sulta№t.ru/docume№t/co№s_doc_LAW_165838/ (дата обращения 19.04.2023) - Текст: электронный.
6 Указ Президента РФ от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» - URL: https://base.gara№t.ru/192944/ (дата обращения 05.05.2023) - Текст: электронный.

Весь текст будет доступен после покупки