СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ФЕДЕРАЛЬНОМ ГОСУДАРСТВЕННОМ УЧРЕДЖЕНИИ АРБИТРАЖНЫЙ СУД МОСКОВСКОЙ ОБЛАСТИ

Несмотря на то, что арбитражные суды стремятся к открытости, у них все равно хранится информация, представляющая особую ценность как для сотрудников судов, так и для участников судебного процесса, а также для государства. Хищение данной информации может привести к раскрытию конфиденциальных сведений, снижению доверия к государственному учреждению и, как следствие, к государству. Кроме того, в последнее время участились случаи вирусных атак на государственные учреждения, и государственные предприятия, крупные коммерческие структуры. Ярким примером является недавняя массовая атака вирусом WannaCry, в результате которой пострадали Министерство здравоохранения России, МВД России, МЧС России, ОАО «РЖД», а также ПАО «Сбербанк» и компания «Мегафон» [1]. Указанные обстоятельства свидетельствуют о том, что проблема совершенствования систем информационной защиты в государственных организациях является весьма актуальной.

           Данная дипломная работа посвящена совершенствованию информационной защиты в Арбитражном суде Московской области.

           Арбитражный суд Московской области работает с документами, которые представляют коммерческую тайну. Следовательно, суд отвечает за сохранность документов и неразглашение содержащихся в них сведений.

           За время существования Арбитражного суда Московской области известен случай, когда судебные дела были выброшены из окна архива, а также случаи заражения компьютера вирусом-е что привело к полной потери хранимых в нем данных. Эти прецеденты отрицательно сказались на репутации суда, были нарушены сроки рассмотрения дел, документы попали в руки посторонних лиц.

С тех пор сделаны существенные шаги в направлении совершенствования систем безопасности. Например, организована система контроля и управления доступом (СКУД). Однако работа в этом направлении должна быть продолжена, поскольку на сегодняшний день угроза кражи и повреждения информации сохраняется.

Главной целью данного дипломного проекта является сведение к минимуму данных угроз при использовании наиболее эффективных и экономичных решений.

Введение. 4

I Аналитическая часть. 6

1.1.Технико-экономическая характеристика предметной области и государственного учреждения 6

1.1.1.Общая характеристика предметной области. 6

1.2. Анализ рисков информационной безопасности. 22

1.2.1. Идентификация и оценка информационных активов. 22

1.2.2. Оценка уязвимости активов. 28

1.2.3 Оценка угроз активам.. 33

1.2.4 Оценка существующих и планируемых средств защиты.. 35

1.2.5. Оценка рисков. 43

1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации. 47

1.3.1 Выбор комплекса задач обеспечения информационной безопасности. 47

1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 50

1.4. Выбор защитных мер. 52

1.4.1. Выбор организационных мер. 52

1.4.2 Выбор инженерно-технических мер. 55

II Проектная часть. 64

2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации Арбитражного суда Московской области. 64

2.2.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации Арбитражного суда Московской области. 64

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации Арбитражного Суда Московской области. 67

2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации Арбитражного суда Московской области. 68

2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации Арбитражного суда Московской области. 68

2.2.2. Контрольный пример реализации проекта и его описание. 70

III Обоснование экономической эффективности проекта. 84

3.1. Выбор и обоснование методики расчета экономической эффективности. 84

3.2.Расчёт показателей экономической эффективности проекта. 87

Заключение. 93

Список литературы.. 95

Приложение 1. 98

Приложение 2. 109

Приложение 3. 110

1.     «Хочется плакать»: вирус атаковал Минздрав, МЧС, МВД, РЖД, «Сбербанк» и «Мегафон» [Электронный ресурс] [http://www.vesti.ru/doc.html?id=2887522]

2.     ГОСТ Р 51241 – 2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.

3.     Двухфакторная аутентификация: что это и зачем оно нужно? [Электронный ресурс] [https://www.kaspersky.ru/blog/what_is_two_factor_authenticatio/4272/]

4.     Как при помощи токена сделать Windows домен безопаснее? [Электронный ресурс] [https://habrahabr.ru/company/aktiv-company/blog/327232/]

5.     Ключ от Яндекса [Электронный ресурс] [https://yandex.ru/blog/company/91123]

6.     Контроллер Gate. Паспорт и инструкция по эксплуатации.

7.     Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК России 14 февраля 2008 г. (+)

8.     Общее описание, правила пользования. Программно-аппаратный комплекс «Удостоверяющий центр корпоративного уровня ViPNet».

9.     ПК САД: Руководство программиста (администратора)

10. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

11. Развертывание сети ViPNet (руководство администратора).

12. Регламент информационной безопасности при использовании программно-аппаратных средств комплекса ViPNet.

13. Руководство администратора SecretNet 7.

14. Руководство ПК САД

15. Руководство пользователя ViPNet 3.2. CSP.

16. Рутокен ЭЦП 2.0 [Электронный ресурс] [https://www.rutoken.ru/products/all/rutoken-ecp/#description]

17. Рутокен ЭЦП Bluetooth [электронный ресурс] [https://www.rutoken.ru/products/all/rutoken-ecp-bluetooth/]

18. Рутокен ЭЦП SC [Электронный ресурс] [https://www.rutoken.ru/products/all/rutoken-ecp-sc/]

19. Свободная общедоступная многоязычная универсальная энциклопедия [Электронный ресурс] [http://ru.wikipedia.org/wiki/Смарт-карта].

20. Свободная общедоступная многоязычная универсальная энциклопедия [Электронный ресурс] [http://ru.wikipedia.org/wiki/RFID].

21. Сертификат совместимости электронных ключей eToken и СЗИ от НСД SecretNet 7.

22. Сетевая версия ПО – GATE Server-Terminal [Электронный ресурс] [http://skd-gate.ru/index.php?nomer=256].

23. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности.- Москва.: - Питер, 2008.

24. СКУД + ИТ: интеграция неизбежна [Электронный ресурс] [http://www.secuteck.ru/articles2/inegr_sistemy/skyd-it-integraciya-neizbejna/].

25. Смарт-карты для самых маленьких [Электронный ресурс] [https://habrahabr.ru/post/210062/]

26. Специальные требования и рекомендации по технической защите конфиденциальной информации (Утверждены приказом Гостехкомиссии России от 30 августа 2002 года № 282).

27. Указ Президента Российской Федерации от 3 апреля 1995 года № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».

28. Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных».

29. Что несут свежие изменения в 63-ФЗ «об электронной подписи» [Электронный ресурс] [https://habrahabr.ru/post/277591/] (+)

30. Дорофеев А. В., Макаров А. С. Менеджмент информационной безопасности: основные концепии // Вопросы кибербезопасности. -2014. -№1(2). – с.67-73

31. SMS аутентификация [Электронный ресурс] [https://www.sberbank.ru/ru/legal/investments/globalmarkets/sberbankmarkets/sms_authentication]

32. Краткая инструкция по работе eToken PKI Client

33. Арбитражный процессуальный кодекс Российской Федерации от 24.07.2002 №95-ФЗ