Несмотря на то, что арбитражные суды стремятся к открытости, у них все равно хранится информация, представляющая особую ценность как для сотрудников судов, так и для участников судебного процесса, а также для государства. Хищение данной информации может привести к раскрытию конфиденциальных сведений, снижению доверия к государственному учреждению и, как следствие, к государству. Кроме того, в последнее время участились случаи вирусных атак на государственные учреждения, и государственные предприятия, крупные коммерческие структуры. Ярким примером является недавняя массовая атака вирусом WannaCry, в результате которой пострадали Министерство здравоохранения России, МВД России, МЧС России, ОАО «РЖД», а также ПАО «Сбербанк» и компания «Мегафон» [1]. Указанные обстоятельства свидетельствуют о том, что проблема совершенствования систем информационной защиты в государственных организациях является весьма актуальной.
Данная дипломная работа посвящена совершенствованию информационной защиты в Арбитражном суде Московской области.
Арбитражный суд Московской области работает с документами, которые представляют коммерческую тайну. Следовательно, суд отвечает за сохранность документов и неразглашение содержащихся в них сведений.
За время существования Арбитражного суда Московской области известен случай, когда судебные дела были выброшены из окна архива, а также случаи заражения компьютера вирусом-е что привело к полной потери хранимых в нем данных. Эти прецеденты отрицательно сказались на репутации суда, были нарушены сроки рассмотрения дел, документы попали в руки посторонних лиц.
С тех пор сделаны существенные шаги в направлении совершенствования систем безопасности. Например, организована система контроля и управления доступом (СКУД). Однако работа в этом направлении должна быть продолжена, поскольку на сегодняшний день угроза кражи и повреждения информации сохраняется.
Главной целью данного дипломного проекта является сведение к минимуму данных угроз при использовании наиболее эффективных и экономичных решений.
1.1.Технико-экономическая характеристика предметной области и государственного учреждения 6
1.1.1.Общая характеристика предметной области. 6
1.2. Анализ рисков информационной безопасности. 22
1.2.1. Идентификация и оценка информационных активов. 22
1.2.2. Оценка уязвимости активов. 28
1.2.3 Оценка угроз активам.. 33
1.2.4 Оценка существующих и планируемых средств защиты.. 35
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации. 47
1.3.1 Выбор комплекса задач обеспечения информационной безопасности. 47
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 50
1.4.1. Выбор организационных мер. 52
1.4.2 Выбор инженерно-технических мер. 55
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации Арбитражного суда Московской области. 64
2.2.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации Арбитражного суда Московской области. 64
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации Арбитражного Суда Московской области. 67
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации Арбитражного суда Московской области. 68
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации Арбитражного суда Московской области. 68
2.2.2. Контрольный пример реализации проекта и его описание. 70
III Обоснование экономической эффективности проекта. 84
3.1. Выбор и обоснование методики расчета экономической эффективности. 84
3.2.Расчёт показателей экономической эффективности проекта. 87
1. «Хочется плакать»: вирус атаковал Минздрав, МЧС, МВД, РЖД, «Сбербанк» и «Мегафон» [Электронный ресурс] [http://www.vesti.ru/doc.html?id=2887522]
2. ГОСТ Р 51241 – 2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.
3. Двухфакторная аутентификация: что это и зачем оно нужно? [Электронный ресурс] [https://www.kaspersky.ru/blog/what_is_two_factor_authenticatio/4272/]
4. Как при помощи токена сделать Windows домен безопаснее? [Электронный ресурс] [https://habrahabr.ru/company/aktiv-company/blog/327232/]
5. Ключ от Яндекса [Электронный ресурс] [https://yandex.ru/blog/company/91123]
6. Контроллер Gate. Паспорт и инструкция по эксплуатации.
7. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК России 14 февраля 2008 г. (+)
8. Общее описание, правила пользования. Программно-аппаратный комплекс «Удостоверяющий центр корпоративного уровня ViPNet».
9. ПК САД: Руководство программиста (администратора)
10. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
11. Развертывание сети ViPNet (руководство администратора).
12. Регламент информационной безопасности при использовании программно-аппаратных средств комплекса ViPNet.
13. Руководство администратора SecretNet 7.
14. Руководство ПК САД
15. Руководство пользователя ViPNet 3.2. CSP.
16. Рутокен ЭЦП 2.0 [Электронный ресурс] [https://www.rutoken.ru/products/all/rutoken-ecp/#description]
17. Рутокен ЭЦП Bluetooth [электронный ресурс] [https://www.rutoken.ru/products/all/rutoken-ecp-bluetooth/]
18. Рутокен ЭЦП SC [Электронный ресурс] [https://www.rutoken.ru/products/all/rutoken-ecp-sc/]
19. Свободная общедоступная многоязычная универсальная энциклопедия [Электронный ресурс] [http://ru.wikipedia.org/wiki/Смарт-карта].
20. Свободная общедоступная многоязычная универсальная энциклопедия [Электронный ресурс] [http://ru.wikipedia.org/wiki/RFID].
21. Сертификат совместимости электронных ключей eToken и СЗИ от НСД SecretNet 7.
22. Сетевая версия ПО – GATE Server-Terminal [Электронный ресурс] [http://skd-gate.ru/index.php?nomer=256].
23. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности.- Москва.: - Питер, 2008.
24. СКУД + ИТ: интеграция неизбежна [Электронный ресурс] [http://www.secuteck.ru/articles2/inegr_sistemy/skyd-it-integraciya-neizbejna/].
25. Смарт-карты для самых маленьких [Электронный ресурс] [https://habrahabr.ru/post/210062/]
26. Специальные требования и рекомендации по технической защите конфиденциальной информации (Утверждены приказом Гостехкомиссии России от 30 августа 2002 года № 282).
27. Указ Президента Российской Федерации от 3 апреля 1995 года № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».
28. Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных».
29. Что несут свежие изменения в 63-ФЗ «об электронной подписи» [Электронный ресурс] [https://habrahabr.ru/post/277591/] (+)
30. Дорофеев А. В., Макаров А. С. Менеджмент информационной безопасности: основные концепии // Вопросы кибербезопасности. -2014. -№1(2). – с.67-73
31. SMS аутентификация [Электронный ресурс] [https://www.sberbank.ru/ru/legal/investments/globalmarkets/sberbankmarkets/sms_authentication]
32. Краткая инструкция по работе eToken PKI Client
33. Арбитражный процессуальный кодекс Российской Федерации от 24.07.2002 №95-ФЗ