Introduktion

I øjeblikket gennemgår vores land en hurtig informatiseringsproces på næsten alle områder af offentlig aktivitet. Selvom papirdokumentflow stadig råder over elektronisk dokumentflow på grund af den ret lave udbredelse af sidstnævnte, fordobles mængden af ​​virksomheders elektroniske dokumenter hvert tredje år.

Med udviklingen af ​​computerteknologi og elektroniske teknologier til behandling og transmission af information på afstand, såvel som i overensstemmelse med føderale programmer udført i Rusland, fandt en overgang til elektronisk dokumenthåndtering sted, hvilket gjorde det muligt at automatisere mange kontorprocesser.

En certificeringsmyndighed eller certificeringsmyndighed er en organisation eller afdeling af en organisation, der udsteder nøglecertifikater for elektroniske digitale signaturer; det er en komponent i en global katalogtjeneste, der er ansvarlig for at administrere brugernes kryptografiske nøgler. Offentlige nøgler og andre oplysninger om brugere opbevares af certificeringsmyndigheder i form af digitale certifikater.

En registreringsmyndighed er defineret som en enhed, der er ansvarlig for at identificere og autentificere emnet for et certifikat, men som ikke er i stand til at underskrive og udstede et certifikat. Der foregår en konstant udveksling af information mellem registreringscentret og certificeringscentret.

Der er et objektivt behov for at sikre informationsbeskyttelse både i informationsinteraktionen mellem registreringscentret og certificeringscentret og i processen med behandling og lagring af oplysninger og registreringscentrets interne dokumentflow.

Formålet med undersøgelsen er sikkerhedsundersystemet i en separat afdeling af Information Security Center "Grif" LLC. Emnet for undersøgelsen er kvaliteten af ​​instituttets informationssikkerhedssystem.

I øjeblikket har en separat afdeling af LLC "CZI "Grif", som er et registreringscenter i sit funktionelle formål, sit eget sikkerhedssystem bygget i overensstemmelse med sikkerhedsinstruktionerne udviklet i overensstemmelse med kravene i hoveddokumenterne i inden for informationssikkerhed. Praktiske erfaringer har dog vist, at det oprindelige sikkerhedssystem i en separat enhed har en række mangler.

Målet med dette projekt er at udvikle etm, der ville være mere effektivt end det oprindelige.

Hovedformålene med diplomprojektet er en diagnostisk analyse af virksomheden LLC TsI Grif, forskning af de vigtigste trusler og udvikling af en generaliseret model af et informationssikkerhedssystem.

1.
Diagnostisk analyse LLC "TsZI "GRIF"

1.1 Generelle karakteristika for TsZI “Grif” LLC

Information Security Center "Grif" er en organisation med speciale i at levere tjenester inden for informationsteknologi og informationssikkerhed. Virksomheden blev grundlagt i 2008 og opererer med succes på markedet.

Informationsbeskyttelsescentret "Grif" i overensstemmelse med føderal lov FZ-1 af 10. januar 2002 "On Electronic Digital Signature" leverer følgende tjenester:

Producerer signaturnøglecertifikater;

Opretter nøgler til elektroniske digitale signaturer efter anmodning fra deltagere i informationssystemet med garanti for, at den private nøgle til den elektroniske digitale signatur holdes hemmelig;

Suspenderer, fornyer og tilbagekalder signeringsnøglecertifikater;

Vedligeholder et register over signaturnøglecertifikater, sikrer dets relevans og muligheden for fri adgang til det for deltagere i informationssystemer;

Kontrollerer det unikke ved offentlige nøgler til elektroniske digitale signaturer i registret over signaturnøglecertifikater og certificeringscentrets arkiv;

Udsteder signaturnøglecertifikater i form af papirdokumenter og (eller) i form af elektroniske dokumenter med information om deres drift;

Efter anmodninger fra brugere af signaturnøglecertifikater bekræfter den ægtheden af ​​en elektronisk digital signatur i et elektronisk dokument i forhold til signaturnøglecertifikaterne udstedt til dem.

Certifikatet fra den autoriserede person i certificeringscentret er inkluderet i Unified State Register. EDS-certifikater og nøgler er produceret ved hjælp af CryptoPro CSP kryptografisk beskyttelsesværktøj, der er certificeret af FSB i Den Russiske Føderation og overholder statens standarder i Den Russiske Føderation. Al informationsudveksling med certificeringsmyndighedens registreringscenter udføres ved hjælp af den sikre TLS-protokol med envejs- og tovejsgodkendelse.

1.2 Analyse af den funktionelle struktur af TsZI "Grif" LLC

Analyse af en virksomheds funktionelle struktur involverer en analyse af funktionsprocessen for hele virksomhedens system, som repræsenterer samspillet mellem dets elementer, hvilket sikrer opnåelsen af ​​tilsigtede mål under indflydelse af eksterne faktorer baseret på tilgængelige ressourcer.

Den funktionelle struktur betyder specialisering af afdelinger til individuelle ledelsesfunktioner på alle niveauer i systemhierarkiet. En sådan organisation forbedrer kvaliteten af ​​ledelsen markant på grund af ledernes specialisering inden for snævrere aktivitetsområder.

En virksomheds samlede aktivitet er summen af ​​virksomhedens aktiviteter inden for forskellige funktionsområder, hvilket afspejles i processer.

.2.1 Konstruktion af et funktionelt diagram af TsZI “Grif” LLC

Det funktionelle blokdiagram af en virksomhed er resultatet af nedbrydning af systemet i henhold til det funktionelle princip.

Lad os overveje de vigtigste undersystemer i virksomhedsledelsessystemet. Disse omfatter:

Produktionssystem;

Support system;

Organisations- og ledelsessystem.

Produktionsdelsystemet omfatter et funktionsområde til at levere tjenester til offentligheden.

Det organisatoriske og ledelsesmæssige undersystem repræsenterer det andet led i det funktionelle system af TsZI "Grif" LLC og inkluderer områderne:

Organisering af produktionen;

Organisering af støtte;

Produktionskontrol;

Håndtering af sikkerhedsstillelse.

Det understøttende undersystem af TsZI "Grif" LLC inkluderer:

Finansiel støtte;

Informationsstøtte;

Juridisk støtte;

Bemanding;

Levering af transport, råvarer og materialer.

På denne måde kan vi overveje hvert delsystems funktioner i nedbrydningen.

Den funktionelle struktur præsenteret på denne måde giver en visuel repræsentation af den hierarkiske struktur af hvert af delsystemerne, uden at tage højde for opdelingen af ​​elementer i processer, der forekommer i hvert af de præsenterede områder.

Opdelingen af ​​hvert område i interne processer skal overvejes inden for en separat dekomponering, som vil blive præsenteret nedenfor. Det funktionelle blokdiagram, bygget på baggrund af analysen af ​​virksomhedens funktion, er præsenteret i figur 1.1.

Figur 1.1 - Funktionel struktur af LLC "CZI "Grif"

1.2.2 Detaljering af funktionelle ledelsesområder

Hvert af de funktionelle områder af virksomhedsledelse forudsætter tilstedeværelsen af ​​en række interne processer forbundet med det.

Detaljering af de funktionelle områder af ledelsen hos TsZI Grif LLC hjælper med at afsløre deres interne struktur.

For at demonstrere sammenhængen mellem funktionsområder og processer, der er et resultat af analysen, præsenterer vi oplysningerne i tabel 1.1.

Tabel 1.1 - Tabel over sammenhænge mellem funktionsområder og processer i virksomheden

1.3 Analyse af organisations- og ledelsesstrukturen for LLC "CZI "Grif"

Virksomhedens organisatoriske og ledelsesmæssige struktur er udformet på en sådan måde, at den sikrer:

Hurtig reaktion på ændringer i markedssituationen;

Tildeling af hver funktion implementeret af virksomheden til enhver af dens strukturelle afdelinger;

Fordeling og personificering af ansvaret for at organisere og udføre funktioner implementeret af virksomheden og træffe ledelsesbeslutninger på hvert område.

Effektiv fordeling af ledelsesbeslutninger.

Hver afdeling af virksomheden er en uafhængig strukturel underafdeling af TsZI "Grif" LLC. Generaldirektøren er personligt ansvarlig for ansættelse og afskedigelse af afdelingsledere.

Der afholdes løbende møder mellem afdelingslederne, hvor hovedparten af ​​strategiske og taktiske beslutninger træffes inden for hver afdeling. Kvaliteten af ​​arbejdet i hele virksomheden som helhed afhænger af kvaliteten af ​​arbejdet i hver afdeling, derfor er en integreret tilgang til virksomhedsledelse påkrævet, hvilket opnås ved at fordele roller mellem afdelinger, i overensstemmelse med hver enkelt afdelings specialisering, men vedligeholde et centraliseret ledelsessystem.

Hver afdeling er ansvarlig for at udføre en bestemt række opgaver.

Der er tre niveauer af systemet: øverste, mellemste og operationelle.

Den organisatoriske og ledelsesmæssige struktur af virksomheden LLC "TsZI "Grif" er vist i figur 1.2

Figur 1.2 - Organisatorisk og ledelsesmæssig struktur af virksomheden LLC "CZI "Grif"

HR-afdelingens nøgleopgaver omfatter:

Udvælgelse og fordeling af personale på virksomheden ved vurdering af deres kvalifikationer og forretningsmæssige kvaliteter;

Organisering af registrering af medarbejdere i forbindelse med ansættelse, afskedigelse eller overførsel til en anden stilling i overensstemmelse med alle regler i gældende lovgivning;

Udstedelse af certifikater for medarbejderes arbejdsaktiviteter, samt udfyldning, vedligeholdelse og opbevaring af arbejdsbøger, journalføring af afdelingsdokumentation;

Placering af annoncer og ansættelse, behandling af indgående CV'er, accept af ansøgere;

Udarbejdelse af dokumenter og undersøgelse af materialer om spørgsmål om overtrædelse af arbejdsdisciplin;

Organisering af periodiske lægeundersøgelser og kendskab til nye medarbejdere med reglerne for virksomhedens nuværende arbejdsplan;

Udvælgelse af procesingeniører, ledere og medarbejdere og udarbejdelse af de nødvendige dokumenter;

Instruere og gøre medarbejdere bekendt med virksomheden;

At studere medarbejdernes anliggender, deres personlige og forretningsmæssige egenskaber og give ledelsen rapporter og anbefalinger om medarbejdernes bevægelser gennem niveauerne i virksomhedens hierarki;

Sikring af beredskabet af dokumenter inden for pensionsforsikring og opretholdelse af optegnelser i statens pensionsforsikringssystem;

Organisering af tidsregistrering og obligatorisk sygesikring for medarbejdere.

Den juridiske afdelings hovedopgaver omfatter:

Sikring af overholdelse af organisationens aktiviteter med kravene i gældende lovgivning, beskyttelse af virksomhedens juridiske interesser;

Arbejde med kontrakter og krav, bogføring af retspraksis;

Udførelse af juridisk undersøgelse af organisationens handlinger, normative juridiske handlinger fra lokale regeringsorganer;

Informere personalet om detaljerne i gældende lovgivning og proceduren for anvendelse af organisationens opdelinger i deres arbejde;

Deltagelse i interaktion med retshåndhævende myndigheder, såvel som med statslige myndigheder og lokale regeringer;

Udvikling og godkendelse af regler i organisationen;

Analyse af de juridiske rammer og regnskabsføring af organisationens regler.

Forsyningsafdelingens hovedopgave er at forsyne virksomheden med alle de materielle ressourcer, der er nødvendige for dens aktiviteter.

Nøgleopgaver for den finansielle og økonomiske afdeling:

Organisering af virksomhedens og dens afdelingers finansielle og økonomiske aktiviteter;

Sikring af placering i virksomhedens interesse af personale inden for regnskabs- og finansielle tjenesteydelser under hensyntagen til deres faglige kvalifikationer, erfaring, forretningsmæssige og personlige egenskaber;

Organisering af arbejdet for at sikre sikkerheden af ​​midler og finansiel dokumentation;

Tilrettelæggelse af arbejdet med at behandle klager og forslag modtaget fra personale om spørgsmål vedrørende finansiel og økonomisk aktivitet;

Udførelse af inspektioner af fakta om økonomiske overtrædelser;

Bestemmelse af kilder og mængder af finansielle ressourcer i virksomheden.

Regnskabets hovedopgaver er:

Udarbejdelse af rapporter, der objektivt afspejler organisationens økonomiske tilstand og dens aktiviteter til intern brug for ledelsen og andre bemyndigede personer i organisationen samt, om nødvendigt, partnere;

Analyse og vurdering af brugen af ​​interne reserver i organisationen;

Identifikation af ubrugte produktionsreserver og deres mobilisering til efterfølgende effektiv anvendelse;

Forebyggelse af situationer, hvor organisationens aktiviteter kan forårsage tab og falde i en situation med finansiel ustabilitet;

Rettidig levering af den nødvendige information til interne brugere af regnskaber til udførelse af forskellige kontrolforanstaltninger og udførelse af forretningsdrift med passende effektivitet og hensigtsmæssighed.

Med dette system for fordeling af roller og funktioner i virksomheden opnås den største effektivitet i implementeringen af ​​dens kerneaktiviteter, forbundet med den snævre specialisering af hver afdeling af LLC "CZI "Grif".

.4 Analyse af målene for TsZI “Grif” LLC

Målet er et ideelt eller reelt objekt for subjektets bevidste eller ubevidste aspiration, det endelige resultat, som processen bevidst er rettet mod.

At sætte mål involverer at skabe et hierarkisk system af hovedmål, som vil blive opdelt i snævrere specifikke mål.

Tilstrækkelig opstilling af aktivitetsmål giver dig mulighed for nøjagtigt at vælge kapaciteter og midler til at nå dem og opnå dem så effektivt som muligt.

For at analysere en virksomheds mål er det nødvendigt at bygge et træ af mål baseret på den tilgængelige information om systemet. I dette hierarkiske system vil mål på lavere niveau fungere som midler til at opnå mål på højere niveau.

Vi skal bygge en korrekt, men enkel model. For at gøre dette vil vi følge følgende principper:

Princippet om fuldstændighed. Det involverer fuldstændig opnåelse af et mål gennem opnåelse af delmål.

Princippet om overlejring af delmål. Delmålene ser ud til at være uafhængige.

Princippet om endelig dekomponering Nedbrydningsalgoritmen omfatter et begrænset antal trin.

Ved hjælp af tabel 1.2 illustrerer vi klassificeringen af ​​delmål.

På baggrund af analysen af ​​virksomhedens mål vil vi bygge et træ af mål, som er vist i figur 1.3.

Tabel 1.2 - Analyse af virksomhedens mål LLC "CZI "Grif"

Figur 1.3 - Måltræ for TsZI “Grif” LLC

Således opnår vi et træ af mål, der opfylder de angivne principper, der afspejler strukturen af ​​målene for TsZI "Grif" LLC.

.5 Identifikation af problemsituationer LLC “CZI “Grif”

Effektiviteten af ​​virksomhedsledelsesprocessen afhænger i høj grad af, hvor godt problemsituationer identificeres i produktionsprocessen, og hvor hurtigt og af høj kvalitet der træffes beslutninger efter identifikation. Hver virksomhed skal betragtes under hensyntagen til de særlige forhold i dens arbejde.

Når der opstår et problem - en situation med uoverensstemmelse mellem den ønskede og faktiske tilstand af systemet - anvendes et sæt foranstaltninger for at overvinde en sådan situation.

En integreret tilgang til løsning af problemsituationer anses for at være den mest optimale. Med denne tilgang er det vigtigt at formulere en række problemer og relationerne mellem dem korrekt og løse ikke hvert problem separat, men en gruppe af problemer på et eller andet niveau i systemhierarkiet.

For en trin-for-trin overvejelse af problemsituationer tages der hensyn til hvert niveau i virksomhedssystemet.

Enhver af de mulige situationer undersøges for uoverensstemmelsen mellem den ønskede og den faktiske, og derefter vælges en løsningsmetode, der er bedst egnet til at løse denne situation.

I forhold til analysen af ​​LLC “CZI “Grif” vil problemerne først og fremmest blive betragtet som situationer, hvor opnåelse af delmål kan være umuligt eller vanskeligt, hvilket igen kan forstyrre opnåelsen af ​​hovedmålet i organisation.

For at præsentere mulige måder at løse virksomhedens problemsituationer på, vil vi oprette en liste over mulige problemer.

Analysen af ​​problematiske situationer for LLC "CZI "Grif" er afspejlet i tabel 1.3.

Tabel 1.3 - Analyse af problemsituationer LLC "CZI "Grif"

Det fremgår således af den opstillede tabel, at en væsentlig del af organisationens problemer er relateret til bearbejdning, opbevaring, systematisering og brug af information af forskellig art, på forskellige niveauer.

Problemet med informationstyveri vil blive løst under udviklingen af ​​dette projekt ved at analysere det eksisterende informationssikkerhedssystem, identificere manglerne ved dette system og udvikle et nyt, modificeret informationssikkerhedssystem.

2. Analyse af delsystemet til kontrol af integriteten og ægtheden af ​​oplysninger fra TsZI "Grif" LLC

Vigtige sikkerhedsværktøjer er procedurer til at sikre integriteten og ægtheden af ​​data. Lad os analysere undersystemet til kontrol af integriteten og ægtheden af ​​oplysninger fra TsI Grif LLC.

En metode, der giver dig mulighed for at kryptere beskeder ved at udveksle nøgler over åbne kommunikationskanaler, blev opfundet i midten af ​​70'erne af det sidste århundrede, og i begyndelsen af ​​firserne dukkede den første algoritme, der implementerede den, rsa op. Nu kan brugeren generere to relaterede nøgler - et nøglepar. En af disse nøgler sendes via uklassificerede kanaler til alle, som brugeren gerne vil udveksle fortrolige beskeder med. Denne nøgle kaldes offentlig nøgle. Når du kender brugerens offentlige nøgle, kan du kryptere en meddelelse adresseret til ham, men kun den anden del af nøgleparret - den private nøgle - giver dig mulighed for at dekryptere den. Samtidig gør den offentlige nøgle det ikke muligt at beregne den private: et sådant problem, selvom det i princippet kan løses, men med en tilstrækkelig stor nøglestørrelse kræver mange års computertid. For at bevare fortroligheden behøver modtageren kun at holde sin private nøgle strengt hemmelig, og afsenderen skal sikre sig, at den offentlige nøgle, han har, faktisk tilhører modtageren.

Da forskellige nøgler bruges til kryptering og dekryptering, kaldes algoritmer af denne art asymmetriske. Deres største ulempe er deres lave ydeevne - de er omkring 100 gange langsommere end symmetriske algoritmer. Derfor er der skabt kryptografiske skemaer, der udnytter både symmetriske og asymmetriske algoritmer:

For at kryptere en fil eller besked bruges en hurtig symmetrisk algoritme, og krypteringsnøglen genereres tilfældigt for at sikre acceptable statistiske egenskaber;

En lille symmetrisk krypteringsnøgle krypteres ved hjælp af en asymmetrisk algoritme ved hjælp af modtagerens offentlige nøgle og sendes krypteret sammen med beskeden;

Efter at have modtaget beskeden, bruger modtageren sin private nøgle til at dekryptere den symmetriske nøgle og med dens hjælp selve beskeden.

For at undgå at kryptere hele beskeden ved hjælp af asymmetriske algoritmer, bruges hashing: en hashværdi af den originale besked beregnes, og kun denne korte sekvens af bytes krypteres med afsenderens private nøgle. Resultatet er en elektronisk digital signatur. Tilføjelse af en sådan signatur til en besked giver dig mulighed for at indstille:

Autenticitet af meddelelsen - kun dens ejer kunne oprette en signatur baseret på den private nøgle;

Dataintegritet - beregn hashværdien af ​​den modtagne besked og sammenlign den med den, der er gemt i signaturen: Hvis værdierne matcher, blev beskeden ikke ændret af en angriber, efter at afsenderen underskrev den.

Asymmetriske algoritmer tillader således at løse to problemer: udveksling af krypteringsnøgler over åbne kommunikationskanaler og signering af en besked. For at drage fordel af disse funktioner skal du generere og gemme to nøglepar - til nøgleudveksling og til signaturer. CryptoAPI vil hjælpe os med dette.

Hver kryptoudbyder har en database, hvor langsigtede brugernøgler er gemt. Databasen indeholder en eller flere nøglebeholdere. En bruger kan oprette flere beholdere med forskellige navne (standardbeholdernavnet er brugernavnet på systemet).

Forbindelse til containeren udføres samtidig med opnåelse af kryptoudbyderkonteksten, når funktionen cryptacquirecontext kaldes - navnet på nøglecontaineren videregives til funktionen som dens andet argument. Hvis det andet argument indeholder en nul pointer (nul), så bruges standardnavnet, det vil sige brugernavnet. Hvis adgang til containeren ikke er nødvendig, kan du videregive flaget crypt_verifycontext i det sidste argument til funktionen; hvis det er nødvendigt at oprette en ny container, brug flaget crypt_newkeyset; og for at slette en eksisterende container sammen med nøglerne gemt i den - crypt_deletekeyset.

Hver container kan indeholde mindst to nøglepar - en nøgleudvekslingsnøgle og en signaturnøgle. De nøgler, der bruges til kryptering med symmetriske algoritmer, gemmes ikke.

Når du har oprettet nøglebeholderen, skal du generere nøgleudveksling og signering af nøglepar. Dette arbejde i CryptoAPI udføres af cryptgenkey-funktionen (udbyder, algoritme, flag, nøgle):

Udbyder - beskrivelse af kryptoudbyderen opnået som et resultat af at kalde cryptacquirecontext-funktionen;

Algoritme - angiver hvilken krypteringsalgoritme den genererede nøgle vil svare til. Information om algoritmen er således en del af nøglebeskrivelsen. Hver kryptoudbyder bruger strengt definerede algoritmer til nøgleudveksling og signering. Således implementerer udbydere af typen prov_rsa_full, som inkluderer microsoft base kryptografiske udbyder, rsa-algoritmen;

Flag - når du opretter asymmetriske nøgler, styrer deres størrelse. Kryptoudbyderen, vi bruger, giver os mulighed for at generere en nøgleudvekslingsnøgle fra 384 til 512 bit i længden og en signaturnøgle fra 512 til 16384 bit. Jo længere nøglen er, jo højere er dens pålidelighed, så det anbefales ikke at bruge en nøgleudvekslingsnøgle på mindre end 512 bit, og det anbefales ikke at gøre signaturnøglens længde mindre end 1024 bit. Som standard opretter kryptoudbyderen begge nøgler med en længde på 512 bit. Den nødvendige nøglelængde kan overføres i det høje ord i flagparameteren:

Nøgle - hvis funktionen fuldføres korrekt, indtastes beskrivelsen af ​​den oprettede nøgle i denne parameter.

I feltet "Container" kan du angive navnet på nøglebeholderen; hvis du lader dette felt stå tomt, vil standardbeholderen blive brugt. Efter at nøglen er genereret, vises en rapport om dens parametre i memofeltet. For at gøre dette skal du bruge cryptgetkeyparam-funktionen (nøgle, parameter, buffer, størrelse, flag). For at få information om den nødvendige parameter skal du sende den tilsvarende konstant gennem det andet argument af funktionen: kp_algid - algoritme-id, kp_keylen - nøglestørrelse osv.

procedure tgenerateform.okbtnclick(afsender: emne); forts:pchar; : streng; : hcryptprov; , signkey: hcryptkey;

flag, keylen: dword;

(læs containernavnet) length(containeredit.text) = 0 cont:= nil:= containeredit.text; := stralloc(længde(fejl) + 1); (fortsat, fejl); ; (@hprov, forts, nul, prov_rsa_fuld, 0);

(nøgleudvekslingsnøglegenerering) kekcheckbox.checket derefter

(læs nøglelængden og placer den i

høje ord i FLAGS-parameteren):= strtoint(keyexchlenedit.text);

flag:= keylen shl 16; ikke cryptgenkey(hprov, at_keyexchange, flag, @keyexchkey) så

(fejlhåndtering).lines.add(""); .lines.add("Nøgleudvekslingsnøgle oprettet:"); := 4; ikke cryptgetkeyparam(keyexchkey, kp_keylen, @keylen, @flag, 0) så

(fejlhåndtering)reportmemo.lines.add(" nøglelængde - " + inttostr(keylen)); := 4; ikke cryptgetkeyparam(keyexchkey, kp_algid, @keylen, @flag, 0) så

(fejlhåndtering)reportmemo.lines.add(" algoritme - " + algidtostr(keylen));

(algidtostr-funktionen er ikke vist her. Den består af en enkelt

case-sætning, der kortlægger hele algoritme-id'et til en streng)

(generering af signaturnøgler) skcheckbox.checked derefter

(udføres på samme måde som at generere en nøgleudvekslingsnøgle);

cryptreleasecontext(hprov, 0);

Ved eksport gemmes nøgledata i et af tre mulige formater:

Publickeyblob - bruges til at gemme offentlige nøgler. Fordi offentlige nøgler ikke er private, opbevares de ukrypteret;

Privatekeyblob - bruges til at gemme hele nøgleparret (offentlige og private nøgler). Disse data er yderst fortrolige og opbevares derfor i krypteret form ved hjælp af en sessionsnøgle (og følgelig en symmetrisk algoritme) til kryptering;

Simpleblob - bruges til at gemme sessionsnøgler. For at sikre privatlivets fred krypteres nøgledataene ved hjælp af beskedmodtagerens offentlige nøgle.

Eksport af nøgler til CryptoAPI udføres af cryptexportkey-funktionen (eksporteret nøgle, destinationsnøgle, format, flag, buffer, bufferstørrelse):

Eksporteret nøgle - beskrivelse af den ønskede nøgle;

Modtagerens nøgle - hvis den offentlige nøgle er gemt, skal den være lig nul (dataene er ikke krypteret);

Format - angiver et af de mulige eksportformater (publickeyblob, privatekeyblob, simpleblob);

Flag - forbeholdt fremtiden (skal være nul);

Buffer - indeholder adressen på bufferen, hvori nøgleklatten (binært stort objekt) vil blive skrevet;

Bufferstørrelse - når man kalder en funktion, skal denne variabel indeholde den tilgængelige bufferstørrelse, og i slutningen af ​​arbejdet skrives mængden af ​​eksporterede data til den. Hvis bufferstørrelsen ikke er kendt på forhånd, så skal funktionen kaldes med bufferparameteren lig med en nul pointer, så vil bufferstørrelsen blive beregnet og indtastet i bufferstørrelsesvariablen.

Det kan være nødvendigt at eksportere hele nøgleparret, inklusive den private nøgle, for at kunne signere dokumenter på forskellige computere (f.eks. hjemme og på arbejde), eller for at gemme en sikkerhedskopi. I dette tilfælde skal du oprette en krypteringsnøgle baseret på adgangskoden og videregive et håndtag til denne nøgle som den anden parameter til cryptexportkey-funktionen.

Funktionen cryptgetuserkey (udbyder, nøglebeskrivelse, nøglebeskrivelse) giver dig mulighed for at anmode om en deskriptor af den eksporterede nøgle fra kryptoudbyderen. Nøglebeskrivelsen er enten at_keyexchange eller at_signature.

texportform.okbtnclick(afsender: emne); forts:pchar; : streng; : hcryptprov; , expkey: hcryptkey; :pbyte; : dword; : fil;

hash: hcrypthash;

(hvis ingen tast er valgt - afslut)

hvis ikke (kekcheckbox.checked eller skcheckbox.checked) så afslut;

(hvis en adgangskode er nødvendig, dvs. hele nøgleparret eksporteres)

hvis passwedit.enabled og (passwedit.text<>passw2edit.text) derefter

begin("Fejl ved indtastning af adgangskode! Prøv venligst igen.", mterror, ., 0); ; ;

"læs" containernavnet og opret forbindelse til kryptoudbyderen

hvis du har brug for en krypteringsnøgle, skal du oprette den baseret på adgangskoden

(nøgleudvekslingsnøgle) kekcheckbox.checket derefter

(hent nøglebeskrivelse) (hprov, at_keyexchange, @key);

(vi bestemmer bufferstørrelsen for nøgleeksport)

if (whatradiogroup.itemindex = 0) then (key, 0, publickeyblob, 0, nil, @buflen) cryptexportkey(key, expkey, privatekeyblob, 0, nil, @buflen); (pbuf, buflen);

(eksport data) (whatradiogroup.itemindex = 0) derefter (nøgle, 0, publickeyblob, 0, pbuf, @buflen) cryptexportkey(nøgle, expkey, privatekeyblob, 0, pbuf, @buflen);

(slip nøgleudvekslingsnøglebeskrivelsen

(nøglen i sig selv er ikke ødelagt)) (nøgle); .title:= "Angiv en fil for at gemme nøgleudvekslingsnøglen";

hvis savingialog1.execute derefter (f, savingialog1.filnavn); (f, 1); (f, pbuf^, buflen); (f); ("Nøgleudvekslingsnøgle blev gemt", mtinformation, ., 0); ; rigtigt; (nøgleudveksling)

(signeringsnøgle) skcheckbox.checket derefter

(samme som nøgleudvekslingsnøgle)

indtil sandt; (Underskrift)

hvis nøglen blev oprettet baseret på en adgangskode, ødelægger vi den,

hvorefter vi frigiver kryptoudbyder-konteksten

De offentlige dele af nøglerne, der eksporteres på denne måde, er nødvendige for at verificere signaturen og dekryptere sessionsnøglen.

Import af nøglepar til en nyoprettet container er en separat procedure. Det er nødvendigt at bede brugeren om containernavnet og adgangskoden, oprette forbindelse til udbyderen, oprette en nøgle baseret på adgangskoden, læse de importerede data ind i bufferen fra filen og derefter bruge cryptimportkey-funktionen (udbyder, buffer, buffer længde, dekrypteringsnøgle, flag, importeret nøgle). Hvis det er nødvendigt at give mulighed for at eksportere et importeret nøglepar senere, skal du videregive værdien crypt_exportable i flags-parameteren, ellers vil kald af cryptexportkey-funktionen for dette nøglepar resultere i en fejl.

konklusioner

1. En trin-for-trin analyse af LLC "CZI "Grif" blev udført.

2. Som et resultat af analysen af ​​den funktionelle struktur blev der bygget en funktionel model af virksomheden.

De vigtigste mål for virksomheden og måder at nå dem på er identificeret. Der er bygget et måltræ.

De vigtigste problemsituationer identificeres og metoder til at løse dem fastlægges.

Der er udvalgt en problemsituation til løsning i diplomprojektet.

De vigtigste opgaver for organisationen blev identificeret, og der blev prioriteret opgaveløsning. Analysen viste gennemførligheden og nødvendigheden af ​​at løse det problem, der blev overvejet i dette arbejde.

2.
Analyse af trusler mod informationssikkerheden i en separat afdeling af TsZI GRIF LLC

.1 Analyse af detaljerne i informationsprocesser i en offentlig nøgleinfrastruktur (PKI)

Det vigtigste funktionelle formål med den betragtede separate afdeling af TsZI "Grif" LLC er funktionen af ​​et registreringscenter. Registration Authority er en af ​​de kritiske slutkomponenter af Public Key Infrastructure.

For at bestemme de vigtigste trusler mod sikkerheden i en separat enhed, er det nødvendigt at betragte enheden som et element i det system, som den aktivt interagerer med.

Offentlig nøgleinfrastruktur er et komplekst system, hvis tjenester implementeres og leveres ved hjælp af offentlig nøgleteknologi. Formålet med PKI er at administrere nøgler og certifikater, hvorigennem en virksomhed kan opretholde et sikkert netværksmiljø. PKI gør det muligt at bruge kryptering og digitale signaturtjenester konsekvent med en bred vifte af applikationer, der kører i et offentligt nøglemiljø.

Hovedkomponenterne i PKI er:

Verifikationscenter;

Registreringscenter;

Certifikatlager;

Arkiv af certifikater;

Slutfag (brugere).

Samspillet mellem PKI-komponenter er illustreret i figur 1.1. PKI inkluderer undersystemer til udstedelse og tilbagekaldelse af certifikater, oprettelse af sikkerhedskopier og gendannelse af nøgler, udførelse af kryptografiske operationer og styring af certifikaters og nøglers livscyklus. Brugerklientsoftware interagerer med alle disse undersystemer.

Den grundlæggende forudsætning for kryptografi med offentlig nøgle var, at to ukendte enheder skulle være i stand til at kommunikere sikkert med hinanden. For eksempel, hvis bruger A ønsker at sende en fortrolig besked til bruger B, som han ikke tidligere har mødt, så skal han for at kryptere beskeden være i stand til på en eller anden måde at knytte bruger B til sin offentlige nøgle. For et fællesskab af potentielle brugere bestående af hundredtusindvis eller millioner af emner er den mest praktiske måde at forbinde offentlige nøgler og deres ejere på at organisere betroede centre. Disse centre er betroet af en stor del af samfundet, eller måske hele samfundet, til at udføre funktionerne med at forbinde nøgler og brugeridentiteter.

Sådanne betroede centre i PKI-terminologi kaldes certificeringsmyndigheder (CA); de bekræfter tilknytningen af ​​et nøglepar til en identitet ved digitalt at signere en datastruktur, der indeholder en vis repræsentation af identiteten og den tilsvarende offentlige nøgle. Denne datastruktur kaldes et offentligt nøglecertifikat (eller blot et certifikat). Et certifikat er en type registreret identitet, der er gemt i et digitalt format og anerkendes som legitim og betroet af PKI-brugerfællesskabet. For at verificere et elektronisk certifikat bruges en elektronisk digital signatur fra CA - i denne forstand sammenlignes certificeringscentret med et notarkontor, da det bekræfter ægtheden af ​​de parter, der er involveret i udvekslingen af ​​elektroniske meddelelser eller dokumenter.

Selvom CA ikke altid er inkluderet som en del af en PKI (især mindre infrastrukturer eller dem, der opererer i lukkede miljøer, hvor brugere effektivt selv kan udføre certifikatstyringsfunktioner), er det en kritisk komponent i mange PKI'er i stor skala. Direkte brug af offentlige nøgler kræver yderligere beskyttelse og identifikation for at etablere en forbindelse med den hemmelige nøgle. Uden en sådan yderligere beskyttelse kan en angriber efterligne både afsenderen af ​​signerede data og modtageren af ​​krypterede data ved at ændre værdien af ​​den offentlige nøgle eller kompromittere dens autentificering. Alt dette fører til behovet for autentificering - offentlig nøglebekræftelse.

En certifikatmyndighed samler de personer, processer, software og hardware, der er involveret i sikker forbindelse af brugernavne og deres offentlige nøgler. CA er kendt af PKI-subjekter af to attributter: navn og offentlig nøgle. CA'en inkluderer sit navn på hvert certifikat og certifikattilbagekaldelsesliste (CAL), det udsteder og signerer dem med sin egen private nøgle. Brugere kan nemt identificere certifikater ved CA-navn og bekræfte deres ægthed ved hjælp af dens offentlige nøgle.

Registration Authority (RA) er en valgfri komponent i PKI. Typisk modtager CA'en fra certificeringsmyndigheden bemyndigelsen til at registrere brugere, sikre deres interaktion med CA'en og verificere de oplysninger, der er indtastet i certifikatet. Certifikatet kan indeholde oplysninger, som er givet af den enhed, der ansøger om certifikatet og fremviser et dokument (pas, kørekort, checkhæfte osv.) eller af en tredjepart (f.eks. et kreditbureau - om kreditgrænsen for en plastik kort). Nogle gange indeholder certifikatet oplysninger fra personaleafdelingen eller data, der karakteriserer emnets beføjelser i virksomheden (for eksempel retten til at underskrive dokumenter af en bestemt kategori). CR samler disse oplysninger og giver dem til CA.

CA kan arbejde med flere registreringscentre; i dette tilfælde vedligeholder den en liste over akkrediterede registreringscentre, det vil sige dem, der er anerkendt som pålidelige. CA udsteder et CA-certifikat og skelner det ved navn og offentlig nøgle. CR'en fungerer som et objekt, der er underordnet CA'en og skal beskytte dens hemmelige nøgle tilstrækkeligt. Ved kontrol af CR-signaturen på en meddelelse eller et dokument, stoler CA på pålideligheden af ​​oplysningerne leveret af CR.

CR forener et kompleks af software og hardware og de mennesker, der arbejder på det. Centralmyndighedens funktioner kan omfatte generering og arkivering af nøgler, meddelelse om tilbagekaldelse af certifikater, offentliggørelse af certifikater og CAC'er i LDAP-registeret osv. Men centralmyndigheden har ikke bemyndigelse til at udstede certifikater og lister over tilbagekaldte certifikater. Nogle gange udfører CA'en selv CR'ens funktioner.

Et arkiv er et særligt objekt for offentlig nøgleinfrastruktur, en database, hvori et register over certifikater er gemt (udtrykket "register over signaturnøglecertifikater" blev indført i praksis ved loven i Den Russiske Føderation "Om elektronisk digital signatur"). Depotet forenkler systemadministration og adgang til ressourcer i høj grad. Det giver information om certifikaters status, sikrer opbevaring og distribution af certifikater og CAC'er og administrerer ændringer af certifikater. Depotet har følgende krav:

Enkelhed og standardisering af adgang;

Regelmæssighed af informationsopdateringer;

Indbygget sikkerhed;

Nem administration;

Kompatibilitet med andre opbevaringssteder (valgfrit krav).

Lageret er typisk hostet på en biblioteksserver organiseret i henhold til den internationale standard X.500 og dens undersæt. De fleste biblioteksservere og brugerapplikationssoftware understøtter LDAP (Lightweight Directory Access Protocol). Denne forenede tilgang giver mulighed for interoperabilitet mellem PKI-applikationer og gør det muligt for afhængige parter at indhente oplysninger om certifikaters status for at verificere digitale signaturer.

Certifikatarkivet er ansvarlig for langtidslagring og beskyttelse af oplysninger om alle udstedte certifikater. Arkivet vedligeholder en database, der bruges, når der opstår uoverensstemmelser om pålideligheden af ​​elektroniske digitale signaturer, der tidligere blev brugt til at autentificere dokumenter. Arkivet bekræfter kvaliteten af ​​oplysningerne på tidspunktet for deres modtagelse og sikrer integriteten af ​​dataene under opbevaring. Oplysningerne fra CA til arkivet skal være tilstrækkelige til at fastslå status for certifikaterne og deres udsteder. Arkivet skal beskyttes med passende tekniske midler og procedurer. De endelige emner, eller brugere, af PKI falder i to kategorier: certifikatindehavere og afhængige parter. De bruger nogle PKI-tjenester og -funktioner til at opnå certifikater eller verificere andre enheders certifikater. Ejeren af ​​certifikatet kan være en enkeltperson eller juridisk enhed, applikation, server osv. Stolende parter anmoder om og stoler på oplysninger om status for certifikater og offentlige signeringsnøgler fra derese.

De oplysninger, der præsenteres i dette underafsnit, giver os mulighed for at fortsætte nedbrydningen af ​​de informationsprocesser, der forekommer i det pågældende system.

Vi kan således sige, at sikkerheden i det overordnede offentlige nøgleinfrastruktursystem, som den separate enhed indgår i som registreringscenter, i høj grad afhænger af sikkerheden i den separate enhed.

2.2 Analyse af informationsudveksling mellem en separat afdeling og et certificeringscenter

Mellem den separate afdeling, som vi videre vil kalde registreringscentret (CR), og certificeringscentret (CA), foregår der en aktiv udveksling af information i processen med at levere tjenester. Slutbrugeren af ​​virksomhedens tjenester bliver uundgåeligt involveret i denne informationsudveksling.

CA-handlinger er begrænset af certifikatansøgningspolitikken (CAP), som bestemmer formålet med og indholdet af certifikater. CA opretholder tilstrækkelig beskyttelse af sin private nøgle og offentliggør sine politikker offentligt, så brugerne kan blive fortrolige med formålet og reglerne for brug af certifikater. Når de har læst certifikatpolitikken og fastslået, at de har tillid til CA og dens forretningsdrift, kan brugerne stole på de certifikater, der er udstedt af denne myndighed. I PKI fungerer CA'er således som en betroet tredjepart.

Certificeringscentret stoler på, at registreringscentret verificerer oplysninger om emnet. Registreringscentret, efter at have verificeret oplysningernes rigtighed, underskriver dem med sin nøgle og overfører dem til certificeringscentret, som efter kontrol af registreringscentrets nøgle udsteder et certifikat.

CR'en sikrer accept og foreløbig behandling af eksterne anmodninger om oprettelse af certifikater eller om ændring af status for eksisterende certifikater.

CR giver:

Begrænsning af adgang til TA kontroller baseret på sammensætningen af ​​Administratorens eget elektroniske certifikat til interaktion med brugeren, som bestemmer administratorens rolle og myndighedsniveau.

2. Modtagelse og behandling af en anmodning fra bom at udstede et certifikat eller ændre status for et allerede udstedt certifikat med efterfølgende transmission af anmodningen til CA.

Lagring af certificerede anmodninger og hændelseslogfiler i et bestemt tidsrum i henhold til reglerne for det system, som CA opererer i.

Backup til eksterne medier af lokalarkiv.

Udførelse af CR administrationsfunktioner.

CR-sikkerhedspolitikken forudsætter, at CR behandler en anmodning i PKCS#10-format. Omfang - en anmodning om at oprette et elektronisk certifikat med lokal (ekstern, i forhold til CA) dannelse af et nøglepar. Gyldighedsperioden for certifikater oprettet ved hjælp af denne type anmodning er defineret i CA-konfigurationen. Baseret på teknologien for denne type anmodning (afhængigt af konfigurationen og den vedtagne sikkerhedspolitik), kan følgende typer anses for acceptable i CA:

Anmodningen blev genereret af en tidligere uregistreret bruger. Et kendetegn ved PKCS#10-formatet er, at anmodningen om at generere et certifikat er signeret på en privat nøgle, hvis tilsvarende offentlige nøgle endnu ikke er registreret i systemet, og der endnu ikke er udstedt et certifikat for det. For CA'en er anmodningen derfor anonym; kun det faktum, at rekvirenten ejer den private nøgle, og de tilsvarende offentlige nøgleanmodninger om at udstede et certifikat certificeret af CA'en, registreres. Sådanne anmodninger anbefales ikke direkte til behandling af CR.

2. Anmodningen er dannet som en genudstedelse af et eksisterende certifikat, der i øjeblikket er gyldigt. Anmodningen er pakket ind i en CMC (RFC 2797) indpakning. Den tekniske implementering gør det muligt at generere denne type anmodninger uden at give brugeren mulighed for at foretage ændringer i certifikatets sammensætning, og kontrollen udføres både på abonnentpunktet og på programniveau i CR. Ulempen ved denne type anmodning er manglen på kontrol over antallet af selvudstedte brugercertifikater.

Anmodningen genereres på baggrund af et tidligere oprettet særligt registreringsbevis (indeholder en særlig udvidelse, der kun begrænser anvendelsesområdet til registreringsprocedurer). Anmodningen er pakket ind i en CMC (RFC 2797) indpakning med en signatur på den private nøgle til registreringsbeviset. Den tekniske implementering sikrer engangsbrug af registreringsattester.

Anmodningen blev oprettet af brugeren selv og leveret til User Interaction Administrators-tjenesten (der er ingen direkte levering af anmodningen til CR). Tidligere skal en sådan anmodning kontrolleres for sandheden af ​​de specificerede oplysninger og pakkes i CMS'et, der er underskrevet afn, som har autoriteten til at udstede certifikater. På samme måde kan anmodninger accepteres i genudstedelsestilstand for dine egne eller registreringsbeviser.

Processen med interaktion mellem CR og CA, når CR-operatøren servicerer klienten, er vist i figur 2.2.

ægthedsbeskyttelse af informationsudveksling

2.3 Analyse af det krypterede meddelelsesundersystem

En af nøglekomponenterne i informationssikkerhedssystemet i en separat enhed kan betragtes som krypteringskomponenten. Vi vil overveje denne komponent i detaljer og præsentere den i form af en model.

Asymmetriske algoritmer tillader, at krypteringsnøgler nemt kan udveksles over en åben kommunikationskanal, men de er for langsomme.

Symmetriske algoritmer virker hurtigt, men kræver en sikker kommunikationskanal for at udveksle nøgler og kræver hyppige nøgleskift. Derfor bruger moderne kryptosystemer styrkerne ved begge tilgange.

For at kryptere en meddelelse bruges en symmetrisk algoritme med en tilfældig krypteringsnøgle, der kun er gyldig inden for én session ved brug af sessionsnøglen.

For at meddelelsen senere kan dekrypteres, krypteres sessionsnøglen med en asymmetrisk algoritme ved hjælp af meddelelsesmodtagerens offentlige nøgle. Sessionsnøglen, der er krypteret på denne måde, gemmes sammen med beskeden og danner en digital konvolut. Om nødvendigt kan den digitale kuvert indeholde sessionsnøglen i flere kopier - krypteret med forskellige modtageres offentlige nøgler.

For at oprette en elektronisk digital signatur skal du beregne hashen af ​​en given fil og kryptere dette "digitale fingeraftryk af beskeden" med din private nøgle - "tegn". For at signaturen senere kan verificeres, er det nødvendigt at angive, hvilken hashing-algoritme, der blev brugt til at oprette den. Programoversigten findes i bilag A.

2.4 Analyse af hovedtyperne af trusler mod informationssikkerheden i en separat enhed

Baseret på de opnåede oplysninger er det muligt at analysere hovedtyperne af trusler mod sikkerheden af ​​den beskyttede information i en separat enhed på forskellige stadier af informationsprocessen.

På tidspunktet for opbevaring af ubehandlede dokumenter på papir står vi over for truslen om tab af personlige data. Dokumenter kan gå tabt eller stjålet af en ubuden gæst.

I registreringscentret:

Der er intet dokumenthåndteringssystem;

Der føres ingen optegnelser over dokumenter, der indeholder personoplysninger;

Der er ingen foranstaltninger til at begrænse adgangen til dokumenter.

Stadiet med lagring af papirinformation efterfølges af stadiet med digitalisering af eksisterende data.

Digitaliseringsfasen indebærer yderligere behandling af dokumenter:

Tildeling af et registreringsnummer til ansøgninger;

Processen med at registrere ansøgeren i certificeringscentersystemet ved at indsende en ansøgning om registrering med de indtastede identifikationsdata;

Scanning af dokumenter, navngivning af scanninger efter registreringsnumre.

Lagring af data på papir;

Lagring af data på en harddisk.

På dette stadium er følgende trusler relevante:

Truslen om uautoriseret adgang til beskyttet information, herunder gennem softwarebogmærker og vira;

Truslen om kopiering af beskyttet information;

Trussel om ændring af beskyttede oplysninger;

Trussel om tab eller tyveri af beskyttede oplysninger.

Herefter smides overskydende papirdata - kladder, ekstra kopier af ansøgninger indeholdende persondata - væk. Her står vi over for, at der dannes en materialelækagekanal, og der er en trussel om, at en angriber indhenter personlige data, da der ikke er nogen teknologi til at ødelægge papirmedier.

Det skal også bemærkes, at proceduren for at ødelægge data på harddisken efter upload til CA-serveren ikke er defineret.

Dokumentflow mellem CR og CA udføres på to måder:

Via mail;

På dette stadium er følgende typer trusler relevante:

Truslen om aflytning og ændring af beskyttet information, når den transmitteres over internettet;

Truslen om, at en angriber erstatter CA-serveren for at få fortrolige oplysninger.

Denne liste over sikkerhedstrusler er ikke komplet, men den afspejler de mest aktuelle trusler, der er stødt på i driften af ​​registreringscentret.

Efter at have konstrueret en model af trusler mod informationssikkerheden i registreringscentret, bliver det muligt at udvikle en forbedret model af informationssikkerhedssystemet i en separat afdeling af TsI Grif LLC.

konklusioner

1. Der blev gennemført en undersøgelse af detaljerne i informationsprocesser i den offentlige nøgleinfrastruktur, hvis funktionelle komponent er en separat enhed.

De vigtigste processer, der finder sted mellem en separat enhed og et system på højere niveau, og som kan være genstand for trusler, er blevet identificeret.

3. En af de vigtigste processer, der påvirker genereringen af ​​fortrolig information, er beskrevet i detaljer - processen med at servicere kunden af ​​CR-operatøren.

Der blev gennemført en trinvis analyse af informationsprocesser inden for en separat division.

5. På baggrund af analysen blev der bygget en model for trusler mod informationssikkerheden i registreringscentret.

Baseret på analysen af ​​informationsprocesser i det interne system af en separat division af Grif LLC, samt en analyse af interaktionsprocesserne i en separat division som et element i et højere ordenssystem, er der således en liste over aktuelle trusler mod informationssikkerhed blev identificeret og en trusselsmodel blev bygget.

.
Udvikling af en forbedret model af infi en separat afdeling

.1 Konstruktion af det oprindelige ii en separat enhed

For at analysere modellen af ​​sikkerhedssystemet for en separat enhed, er det først og fremmest nødvendigt at bygge en model af fra det øjeblik, dokumenterne modtages fra klienten, indtil det øjeblik, den beskyttede information overføres til certificeringscentret.

UML-aktivitetsdiagrammet over registreringscenterets informationsprocesser er vist i figur 3.1.

Figur 3.1 - UML aktivitetsdiagram over registreringscenterets informationsprocesser

De indledende faser af arbejdet med accepterede dokumenter er stadierne af datalagring og -behandling. Som følge af behandling destrueres unødvendige personoplysninger, dokumenter scannes, dvs. duplikeres digitalt og gemmes igen, indtil de overføres til certificeringscenteret.

1. Ved lagring af dokumenter på papir gives der ikke specifikke foranstaltninger til beskyttelse, regnskab og klassificering af oplysninger.

2. I stadierne af behandling og lagring af information på harddisken er følgende beskyttelsesforanstaltninger tilvejebragt:

Log ind med en adgangskode;

Tilgængelighed af antivirussoftware;

Signering af billeder ved hjælp af den digitale signatur fra en autoriseret person af CR, før de efterfølgende uploades til serveren.

3. På tidspunktet for upload af billeder til serveren er følgende beskyttelsesforanstaltninger tilvejebragt:

For at organisere en sikker datatransmissionskanal for CA og CR og autentificering bruges følgende: APKSH "Continent", CIPF CryptoPro CSP og CryptoPro TLS-protokollen.

Der er behov for at udvikle en model af registreringscentrets sikkerhedsundersystem. For at beskyttelsen skal være omfattende, skal sikkerhedsundersystemet fungere på alle niveauer af systemet og på alle stadier af informationsprocesser, der forekommer i en separat afdeling af TsI Grif LLC. Med denne tilgang vil det være muligt at forhindre implementering af informationssikkerhedstrusler på alle stadier af informationsudveksling og overvåge effektiviteten af ​​sikkerhedsundersystemet.

For at videreudvikle sikkerhedsundersystemet er det nødvendigt at bygge en primær model, på grundlag af hvilken et nyt sikkerhedsundersystem vil blive bygget.

Modellen for det nuværende informationssikkerhedssystem for en separat opdeling er præsenteret i figur 3.2.

3.2 Udvikling af en forbedret model af registreringscentrets sikkerhedsundersystem

Efter at have analyseret den eksisterende model for CR-informationssikkerhedssystemet og de vigtigste sikkerhedstrusler, blev det afsløret, at der skal foretages ændringer i sikkerhedsmodellen.

Hvert trin i informationsprocessen, der forekommer i det pågældende system, svarer til en række foranstaltninger til at sikre informationssikkerheden.

På tidspunktet for opbevaring af ubehandlede dokumenter på papir står vi over for truslen om tab og uautoriseret adgang til personlige data.

For denne fase foreslås:

Begræns adgangen til personlige data ved at lukke døren og overvåge besøg i de lokaler, hvor persondata opbevares;

Installere et alarmsystem og indgå en sikkerhedskontrolaftale med ikke-afdelingsmyndigheder;

Organiser en dokumentflowafdeling for registreringscentret, hold optegnelser over bevægelsen af ​​accepterede dokumenter i journaler.

Disse organisatoriske beskyttelsesforanstaltninger giver dig mulighed for samtidig at kontrollere personlige data på lagringsstadiet for allerede behandlede dokumenter.

På digitaliserings- og opbevaringsstadiet anses beskyttelsesgraden for tilstrækkelig til at beskytte personoplysninger uden at reducere registreringscentrets effektivitet under grænseværdierne. Derudover tilbydes:

Brug specialiseret software til at kontrollere adgangen til operativsystemet og data på harddisken;

Udvikle en kodeordspolitik for en separat afdeling.

På stadiet med at ødelægge unødvendige data foreslås det:

Brug en makuleringsmaskine med sikkerhedsniveau 3 designet til at betjene et lille kontor;

Brug specialiseret software til at slette data fra din harddisk;

Bestem tidsrammen for ødelæggelse af redundante data på forskellige typer medier.

Brug et pengeskab til at opbevare fortrolige oplysninger om organisationen;

Udvikle dokumentation, der beskriver hver enkelt medarbejders personlige ansvar inden for informationssikkerhed;

Udvikle instruktioner til håndtering af fortrolige oplysninger og personlige data;

Udvikle instruktioner til handlinger i nødsituationer;

Vedligeholde logs over nøglemedier, logs over større informationssystemhændelser.

Hvert trin, hvor informationsudveksling finder sted, er således genstand for særskilte ændringer ved brug af organisatoriske, juridiske eller hardware- og softwaremidler til informationsbeskyttelse. Tilstedeværelsen af ​​stadier og anbefalinger for hver fase giver os mulighed for at bygge en modificeret model af registreringscentrets informationssikkerhedssystem, som vi efterfølgende kan sammenligne med den tidligere model.

Under hensyntagen til de foretagne ændringer vil vi bygge en modificeret model af registreringscentrets informationssikkerhedssystem (figur 3.3).

konklusioner

1. En analyse af problemet med at bygge et forbedret beskyttelsessystem blev udført.

2. En generaliseret model for informationsprocesser i registreringscentret blev bygget.

Der blev bygget en model af det eksisterende informationssikkerhedssystem for registreringscentret. Manglerne ved det eksisterende informationssikkerhedssystem er blevet identificeret.

En model af et krypteret meddelelsesundersystem er blevet udviklet.

En generaliseret model af et informationssikkerhedssystem er blevet udviklet.

I løbet af undersøgelsen blev der gennemført en analyse af det eksisterende informationssikkerhedssystem. For at gøre dette var det nødvendigt at bygge en generaliseret model af registreringscentrets informationsprocesser og derefter en model af registreringscentrets eksisterende informationssikkerhedssystem.

De vigtigste sikkerhedstrusler mod registreringscentret blev identificeret. Som et resultat af analysen af ​​de vigtigste sikkerhedstrusler blev der oprettet en liste over aktuelle trusler og en model for sikkerhedstrusler mod registreringscentret.

4. Økonomisk begrundelse for projektet

.1 Begrundelse for gennemførligheden af ​​at udvikle projektet

Et af de vigtigste spørgsmål ved udvikling af et projekt er spørgsmålet om gennemførligheden af ​​dets udvikling.

Dette afsnit præsenterer den økonomiske begrundelse for udviklingen af ​​et ii en separat afdeling af Information Security Center "Grif" LLC.

Det udviklede delsystem kræver ikke tilpasning eller væsentlige økonomiske omkostninger og har en kort udviklings- og tilbagebetalingstid.

.2 Beregning af omkostningsdækning til projektudvikling

1. Beregning af løbende omkostninger for en særskilt opdeling.

Beregning af aktuelle kontoromkostninger udføres ved hjælp af formel 4.1.

hvor er lønomkostningerne,

Udgifter til leje af lokaler,

El omkostninger

Udskrivningsomkostninger.

25000 + 10000*2 = 45000 - løn til en informationssikkerhedsingeniør i en separat afdeling og ansatte (2) - softwareingeniører.

=*0,34= 15300 gnid.

130 + 170 = 300 gnid.

8000 + 45000 + 300 + 15300=68600 gnid.

Udstyret blev tildelt af hovedfilialen, der tages ikke hensyn til afskrivninger.

Indtægt fra projektdrift pr. måned.

Indtægten fra driften af ​​projektet er lig med omkostningerne ved at miste information. For at beregne indtægten fra driften af ​​projektet pr. måned, vil vi bruge formel 4.2.

hvor er indtægten fra driften af ​​projektet om måneden,

150.000 rub. - indtægter fra brugen af ​​beskyttede oplysninger,

Ko(pr. måned),

150000 + 68600 = 218600 gnid.

3. Omkostninger ved oprettelse af projektet.

Omkostningerne ved at oprette et projekt beregnes ved hjælp af formel (4.3):

hvor er omkostningerne ved at oprette projektet,

Udgifter til maskintid

Bidrag til sociale fonde,

Faste omkostninger.

Beregning af lønomkostninger.

Vi vil beregne udviklerens lønomkostninger ved hjælp af formel (4.4):

, (4.4)

hvor = 1, antallet af kategorier af udviklere, der deltager i udviklingen, = 1 person, antallet af udviklere i den i-te kategori,

25.000 rubler/måned, løn per måned,

3 måneders udviklingstid,

Beregning af bidrag til sociale fonde.

Beregning af bidrag til sociale fonde, under hensyntagen til den tidligere formel, vil blive beregnet efter formel (4.5):

75000*0,34 = 25500 gnid.

3. Beregning af omkostningerne ved computertid.

Udgifterne til computertid skal beregnes ved hjælp af formel (4.5):

, (4.5)

hvor =480 timer, med en udviklingstid på 3 måneder,

pris for en maskintime,

1920 timer, faktisk årlig tidsfond,

afskrivningsfradrag,

El omkostninger

Omkostninger til løn til servicepersonale,

Overhead,

Bidrag til sociale fonde.

Afskrivningsfradrag.

Afskrivning af anlægsaktiver er det monetære udtryk for omkostningsdækning ved at overføre omkostningerne ved anlægsaktiver til produktionsomkostningerne og beregnes ved hjælp af formel (4.6):

, (4.6)

hvor = 1, antal typer udstyr,

1, antal i-te udstyr (computere),

25.000 rubler, prisen på et i-te udstyr (computer),

5 år, levetid for et i-te udstyr (computer),

El omkostninger.

For at beregne energiomkostninger bruger vi formel (4.7):

hvor =1, antal computere,

0,5 kW, strømforbrug,

4,5 rubler, pris på en kWh,

160 timer, mængden af ​​maskintid pr. måned,

12 måneder,

Løn til servicepersonale.

Lønningerne til servicepersonale beregnes ved hjælp af formel (4.8):

, (4.8)

hvor = 1, antallet af kategorier af arbejdere, der servicerer computeren,

1 person, antal i-te kategori arbejdere, der servicerer computeren,

25.000 rubler/måned, løn per måned,

12 måneder,

Overhead.

Overheadomkostninger til computervedligeholdelse vil være 50 % af lønnen til servicepersonale

5, (4.9)

hvor 150.000 rub.

Bidrag til sociale fonde.

Den enkelte sociale skat er 34 % af lønomkostningerne.

Beregnet for tidens årlige fond

= 0,34* 25.000 gnid.

Vi beregner ud fra lønnen til en informationssikkerhedsingeniør, der vedligeholder systemet.

8500*12=102000 gnid.

Udgifter til maskintid.

559227.2/1920=292.35 gnid/time

4. Beregning af omkostninger til forbrugsvarer.

For at beregne omkostningerne til forbrugsvarer skal du bruge formel (4.10):

, (4.10)

hvor er antallet af materialetyper,

Antal materialer af den i-te type,

Omkostninger til den i-te type materiale, gnid.

1750 rub.

Tabel 4.1 - Forbrugsstoffer brugt under udvikling

1.Beregning af overheadomkostninger.

Overheadomkostninger til systemudvikling vil være 50 % af lønnen og beregnes ved hjælp af formel (4.11):

, (4.11)

RUB 37.500

Samlede udviklingsomkostninger.

De samlede udviklingsomkostninger er beregnet ved hjælp af formel (4.12):

hvor er omkostningerne ved maskintid,

Faste omkostninger,

Omkostninger til forbrugsvarer,

Lønomkostninger,

Bidrag til sociale fonde,

37500 + 1750 + + 75000 + 25500 = 280078 gnid.

5. Beregning af tilbagebetalingstiden for udvikling under hensyntagen til renten.

Data til beregning af tilbagebetalingsperioden under hensyntagen til en rente på 17 % er angivet i tabel 4.2

Tabel 4.2 - Data til beregning af tilbagebetalingstid under hensyntagen til renten

280078/218600 * 31=39,7 ~ 40 dage

Tilbagebetalingstid ca. = 1 måned 9 dage

5. Netto nutidsværdi af indkomst (NPV).

For en engangsinvestering i dette tilfælde beregnes NPV ved hjælp af formel (4.13):

, (4.13)

hvor = C 0 - investeringsbeløb svarende til omkostningerne ved projektudvikling,

d t- indkomst,

jeg- rente (inflation),

n- tidsrum,

Således får vi:

konklusioner

Ud fra beregningerne kan man se, at omkostningerne ved projektet hurtigt vil betale sig. Faktisk er tilbagebetalingsperioden for projektet cirka 1 måned 9 dage.

Denne økonomiske effekt opnås på grund af de lave omkostninger ved projektudvikling og forebyggelsen af ​​betydelige monetære tab, som divisionen af ​​TsI Grif LLC kan pådrage sig, hvis information går tabt.

Således kan vi drage en konklusion om den økonomiske gennemførlighed af at indføre et ihos TsI Grif LLC.

NPV-værdien er positiv, hvilket indikerer projektets økonomiske effektivitet.

5. Projektets livssikkerhed og miljøvenlighed

.1 Analyse af skadelige og farlige produktionsfaktorer, der påvirker computeroperatøren

En farlig produktionsfaktor er en faktor i produktionsprocessen, hvis indvirkning på en arbejder fører til skade eller en kraftig forringelse af helbredet.

En skadelig erhvervsmæssig faktor kan blive farlig afhængigt af niveauet og varigheden af ​​eksponering for en person.

Langvarig eksponering for en skadelig produktionsfaktor fører til sygdom.

Farlige og skadelige produktionsfaktorer er opdelt efter arten af ​​deres handling i følgende grupper:

Fysisk;

Kemisk;

Biologisk;

Psykofysiologisk.

Ved valg af lokaler til en separat enhed blev der taget hensyn til arbejdets specifikationer og arbejdernes behov for sikre arbejdsforhold. Ved at skabe passende arbejdsforhold reducerer virksomheden omkostningerne ved at betale erstatning, hvilket ville medføre tilstedeværelsen af ​​farlige og skadelige produktionsfaktorer samt omkostningerne ved at betale sygefravær.

Under arbejdsprocessen udsættes pc-operatøren for en række farlige og skadelige produktionsfaktorer, der er anført nedenfor.

Fysiske faktorer, der kan påvirke en medarbejder i OP LLC "CZI "Grif" inkluderer:

Øgede niveauer af elektromagnetisk stråling;

Øget niveau af statisk elektricitet;

Øget støjniveau;

Øget eller nedsat lysniveau.

Også relevante er psykofysiologiske faktorer som:

Overbelastning af øjnene;

Opmærksomhed spænding;

Intellektuelle belastninger;

Følelsesmæssig stress;

Langsigtede statiske belastninger;

Irrationel organisering af arbejdspladsen.

Lokalerne for OP LLC "CZI "Grif", der overvejes i projektet, kan klassificeres som lokaler til computercentre. De fleste af de standarder, der skal overholdes ved arbejde i dette rum, kan således findes i SanPiN 2.2.2/2.4.1340-03.

Rummets dimensioner er: længde 4 m, bredde 5 m, højde 3 m. Det samlede areal er 20 kvm, volumen - 60 m 3. Der arbejder 2 medarbejdere i lokalerne, dvs. hver person har 30 m 3, hvilket svarer til sanitære standarder - mindst 15 m 3 - SanPiN 2.2.2/2.4.1340-03. (Hygiejniske krav til personlige elektroniske computere og arbejdstilrettelæggelse).

Rationelt farvedesign af lokalerne er rettet mod at forbedre sanitære og hygiejniske arbejdsforhold, øge dets produktivitet og sikkerhed.

Støjreduktion i strålingskilden sikres ved brug af elastiske pakninger mellem bunden af ​​maskinen, apparatet og den understøttende overflade. Gummi, filt, kork og støddæmpere i forskellige designs kan bruges som pakninger. Bløde måtter lavet af syntetiske materialer kan placeres under støjende bordplader. Pakningerne fastgøres ved at lime dem til understøtningsdelene. Rationel indretning af rummet og placering af udstyr i rummet er en vigtig faktor for at reducere støjen med eksisterende udstyr.

For at reducere støj genereret på arbejdspladsen af ​​interne kilder såvel som støj, der trænger ind udefra, er det således nødvendigt:

Reducer støj fra støjkilder (brug af lydtætte kabinetter og skærme);

Reducer effekten af ​​den samlede påvirkning af reflekterede lydbølger (gennem lydabsorberende overflader af strukturer);

Brug rationelt arrangement af udstyr i rummet;

Brug arkitektoniske, planlægningsmæssige og teknologiske løsninger til isolering af støjkilder.

Krav til lokaler til arbejde med pc'er er beskrevet i sanitære og epidemiologiske regler og forskrifter SanPiN 2.2.2/2.4.1340-03. (Hygiejniske krav til personlige elektroniske computere og arbejdstilrettelæggelse).

Drift af pc'er i rum uden naturligt lys er kun tilladt, hvis der er beregninger, der retfærdiggør overholdelse af standarder for naturlig belysning og sikkerheden af ​​deres aktiviteter for arbejdstagernes sundhed. Dernæst vil beregningen af ​​kunstig belysning i rummet blive givet i et kapitel, der er specielt dedikeret til dette.

Vinduesåbninger skal være udstyret med justerbare anordninger såsom persienner.

Til indretning af lokalerne, hvor pc'er er placeret, skal der anvendes diffust reflekterende materialer med en reflektionskoefficient for loftet på 0,7-0,8; til vægge - 0,5-0,6; for gulvet - 0,3-0,5.

Det beskrevne rum er udstyret med beskyttende jording (jording) i overensstemmelse med de tekniske krav til drift.

Når du placerer arbejdsstationer med pc'er, er afstanden mellem desktops med videomonitorer (mod bagsiden af ​​en videomonitor og skærmen på en anden videomonitor) mindst 2,0 m, og afstanden mellem sideoverfladerne på videomonitorer er mindst 1,2 , som opfylder kravene i SanPiN .

Videomonitorskærme er placeret i en afstand på 600-700 mm fra brugerens øjne, men ikke nærmere end 500 mm, under hensyntagen til størrelsen af ​​alfanumeriske tegn og symboler.

Udformningen af ​​arbejdsstolen (stolen) skal sikre opretholdelsen af ​​en rationel arbejdsstilling, når du arbejder på en pc og tillade ændring af arbejdsstillingen for at reducere den statiske spænding af musklerne i cervikal-skulderregionen og ryggen for at forhindre udviklingen af træthed.

Derfor er arbejdsstolen (stolen) udstyret med en løfte- og drejemekanisme og kan indstilles efter:

Vinkler af sæde og ryglæn;

Ryglænets afstand fra sædets forkant.

Overfladen af ​​sædet, ryggen og andre elementer i stolen (lænestolen) er semi-blød, med en skridsikker og let elektrificeret og åndbar belægning, der sikrer nem rengøring fra snavs.

Generelle ergonomiske krav til arbejdspladser, når du udfører arbejde i siddende stilling, er fastsat af GOST 12.2.032-78. I overensstemmelse med det, i enhedens lokaler:

Arbejdsborde med en arbejdsfladehøjde på 725 mm anvendes (til let arbejde);

Der anvendes stole med løfte-og-drejeanordning;

Sædernes design tillader justering af højden af ​​sædestøttefladen inden for området 400-500 mm og vippevinkler fremad op til 15 grader og bagud op til 5 grader.

Hver stol er udstyret med armlæn, som minimerer den negative påvirkning af håndledsleddene.

At sikre belysningskrav på arbejdspladser udstyret med pc'er er et meget vigtigt arbejdspunkt, da pc-operatører kan blive udsat for en lang række skadelige faktorer forbundet med belysning - for denne type arbejde vil belastningen af ​​synet være ret alvorlig.

Kunstig belysning i lokaler til pc-drift bør leveres af et system med generel ensartet belysning.

Belysningen på bordfladen i det område, hvor arbejdsdokumentet er placeret, skal være 300-500 lux. Belysning bør ikke skabe blænding på skærmens overflade. Belysningen af ​​skærmens overflade bør ikke være mere end 300 lux.

Lyskilden i rummet er fluorescerende lamper placeret i en loftshøjde på 3 m. Afstanden mellem lamper er 1,5 m. I det pågældende rum svarer belysningskvaliteten til standarddataene angivet i tabel 5.1.

Tabel 5.1 - Optimale lysparametre for computerrum

Vi vil vurdere, om den faktiske belysning er i overensstemmelse med den normative.

Karakteristikaene for det udførte arbejde svarer til kategori IV, underkategori B (høj kontrast, lys baggrund). Minimumsbelysningen fra kombineret belysning er 400 lux, generel belysning er 200 lux.

Den nødvendige belysning til kombineret belysning med gasudladningslamper fra generelle belysningsarmaturer er 200 lux, fra lokal belysning - 150 lux;

Rumparametre:

Længde l = 5 m

Bredde d = 4 m

Højde h = 3m

Lad os tage højden af ​​arbejdsfladen til at være 0,8 m, installationen af ​​lamperne udføres på loftet, derfor er højden af ​​ophængningen af ​​lamperne:

Type af lamper - LPO 46 med LD lamper. I betragtning af at disse lamper har små dimensioner langs en af ​​akserne sammenlignet med dimensionerne langs de andre akser (længde - 1245 mm, bredde - 124 mm), er de lineære lysende elementer. Lad os indstille afstanden mellem lamperne i en række lig med 0,05 m og betragte rækkerne af lamper som lysende linjer. Vi beregner den nødvendige lampeeffekt ved hjælp af punktmetoden til beregning af belysning.

Type LPO 46 har en cosinuskurve af lysstyrke og et tilsvarende forhold mellem afstanden mellem de lysende striber og ophængets højde:

Lad os beregne afstanden mellem rækkerne af lamper.

m

Afstand fra væg til første række:

0,3...0,4 m

Følgelig er antallet af rækker 2. Her er en plan for placeringen af ​​lamperne (Figur 5.1).

Figur 5.1 - Indretning af lamper på plantegningen

Figur 5.2 - Designdiagram (tværsnit af rummet)

Beregningspunkt A blev valgt på det mindst belyste sted (figur 5.2). I det tilfælde, hvor designpunktet falder sammen med projektionen af ​​enden af ​​det lysende element på designplanet, kan du bruge lineære isoluxer, så vi opdeler rækkerne af lamper i "halvrækker", så projektionerne af deres ender falder sammen med punkt A.

Ud over det kunstige belysningssystem spiller computerens visuelle ergonomiske parametre en vigtig rolle i at skabe operatørens arbejdsforhold. Grænseværdierne for disse parametre er angivet i tabel 5.3.

Tabel 5.3 - Visuelle ergonomiske parametre for computeren

Det er således klart, at tilgangen til at sikre ergonomiske arbejdsforhold for arbejdere består af den rigtige kombination af mange faktorer og er kompleks.

5.2 Mulige nødsituationer eller nødsituationer (fejl, funktionsfejl)

Sikring af elektrisk sikkerhed af en separat enhed

En af de mest relevante typer af nødsituationer og nødsituationer omfatter situationer, der kan opstå på grund af et utilstrækkeligt niveau af elektrisk sikkerhed.

Sikring af enhedens elektriske sikkerhed overvåges af enhedens medarbejdere og elektrikermesteren, der servicerer den bygning, hvor lokalerne er lejet. Der udføres en systematisk kontrol af tilstanden af ​​elektriske ledninger, sikkerhedspaneler og ledninger, ved hjælp af hvilke computere, belysningsarmaturer og andre elektriske apparater er forbundet til det elektriske netværk.

I det pågældende lokale er der computere, printere, scannere og uafbrydelige strømforsyninger, der bruges i deres arbejde, og som kan forårsage elektrisk stød på mennesker. Alle enheder bruger moderne beskyttelsesforanstaltninger.

Luften i rummet er tilstrækkeligt befugtet til at reducere risikoen for elektrostatisk spænding.

Tilvejebringelse af brandbeskyttelse til en separat enhed

En anden relevant type nødsituationer og nødsituationer er situationer, der kan opstå på grund af et utilstrækkeligt brandsikringsniveau i en separat enhed.

Brandbeskyttelse er et sæt af organisatoriske og tekniske foranstaltninger, der har til formål at sikre menneskers sikkerhed, forhindre brand, begrænse dens spredning og også skabe betingelser for vellykket brandslukning.

Brandsikkerhed er en tilstand af en genstand, hvor muligheden for en brand er udelukket, og i tilfælde af at en opstår, forhindres påvirkningen af ​​farlige brandfaktorer på mennesker, og materielle aktiver beskyttes.

Brandsikkerhed i lokalerne i en separat afdeling af Information Protection Center LLC "Grif" er sikret af et brandforebyggelsessystem og et brandbeskyttelsessystem. Alle kontorlokaler indeholder en "Brandevakueringsplan", som regulerer personalets handlinger i tilfælde af brand og angiver placeringen af ​​brandudstyr.

Antændelseskilder i en separat afdeling af Information Security Center LLC "Grif" kan være computere, vedligeholdelsesanordninger, strømforsyningsenheder, klimaanlæg, hvor der som følge af forskellige overtrædelser dannes overophedede elementer, elektriske gnister og lysbuer, der kan forårsage antændelse af brændbare materialer.

Brandslukkere bruges til at slukke brande i de indledende faser.

Gasildslukkere bruges til at slukke flydende og faste stoffer samt elektriske installationer under spænding.

I lokaler bruges hovedsageligt kuldioxid-ildslukkere, hvis fordel er den høje effektivitet af brandslukningen, sikkerheden af ​​elektronisk udstyr og de dielektriske egenskaber af kuldioxid, som tillader brugen af ​​disse ildslukkere, selv når det ikke er muligt at slukke for strømmen til den elektriske installation med det samme.

Den separate enheds lokaler er udstyret med brandsikkerhedssensorer, der forbindes til bygningens sikkerhedskonsol. En medarbejder med ansvar for bygningens brandsikkerhed er konstant på vagt ved sikkerhedskonsollen. Bygningens korridorer er udstyret med højttalere til at evakuere folk i tilfælde af brand.

Manuelle ildslukkere placeres nødvendige steder.

Brandsikkerhed i den separate afdeling af Information Protection Center LLC "Grif" er sikret af et brandforebyggende system og et brandsikringssystem.

"Planer for evakuering af mennesker i tilfælde af brand" er opslået i kontorlokaler, der regulerer personalets handlinger i tilfælde af brand og angiver placeringen af ​​brandslukningsudstyr.

5.3 Det designede objekts indvirkning på miljøet under dets fremstilling og drift (luft, vand, jordforurening, fast affald, energiforurening)

Objektet, der bliver designet, er et modificeret sikkerhedssystem til en separat afdeling af TsZI Grif LLC. For det meste går projektet ud på udvikling og vedtagelse af organisatoriske foranstaltninger, der giver mulighed for kontrol af adgang til lokaler og beskyttede genstande, og til overvågning af væsentlige hændelser, der sker i systemet.

Under designprocessen af ​​anlægget blev der brugt miljøvenlige materialer og udviklingsværktøjer.

Rumventilationsanlæg har filtre, der forhindrer muligheden for, at skadelige stoffer trænger ind i miljøet, både under drift og i nødstilfælde.

Under drift forårsager det indrettede anlæg ikke skade i form af luft-, vand- og jordforurening. Alt fast affald bortskaffes i overensstemmelse med fastlagte bortskaffelsesregler. Til bortskaffelse af lysstofrør anvendes specielle beholdere, som udskiftes med tomme, efterhånden som de fyldes. Indholdet af fyldte beholdere transporteres til særlige indsamlingssteder.

Anvendelsen af ​​det designede anlæg er lille. Brugen af ​​de nyeste moderne materialer og teknologier, kombineret med anlæggets lille størrelse, fører til et niveau af energiforurening, der langt fra overstiger normen.

konklusioner

I overensstemmelse med accepterede standarder sikrer informationsteknologiafdelingen i NPO Engineering Systems LLC det nødvendige mikroklima, minimalt støjniveau, komfortable og ergonomisk korrekte arbejdspladser skabes, og kravene til teknisk æstetik og computerkrav er opfyldt.

For afdelingsansatte under arbejdet er en af ​​de vigtigste faktorer, der påvirker arbejdsproduktiviteten under langsigtet visuelt arbejde, tilstrækkelig belysning af arbejdspladsen. Dette opnås ved det korrekte valg og placering af belysningsarmaturer. Særlige foranstaltninger sikrer el- og brandsikkerhed for medarbejderne.

Konklusion

Under forskningen blev der udført en diagnostisk analyse af virksomhedens Information Security Center "Grif" LLC, som et resultat af hvilken en funktionel model af virksomheden blev bygget. De vigtigste mål for virksomheden og måder at nå dem på er identificeret. De vigtigste problemsituationer identificeres og metoder til at løse dem fastlægges. Der er udvalgt en problemsituation til løsning i diplomprojektet.

Der blev gennemført en undersøgelse af detaljerne i informationsprocesser i den offentlige nøgleinfrastruktur, hvis funktionelle komponent er en separat enhed. De vigtigste processer, der finder sted mellem en separat enhed og et system på højere niveau, og som kan være genstand for trusler, er blevet identificeret. En af de vigtigste processer, der påvirker genereringen af ​​fortrolige oplysninger, processen med at servicere kunden af ​​registreringscentrets operatør, er beskrevet i detaljer. En model af et krypteret meddelelsesundersystem præsenteres. Der blev gennemført en trinvis analyse af informationsprocesser inden for en separat division. På baggrund af analysen blev der bygget en model for trusler mod informationssikkerheden i registreringscentret.

En generaliseret model for informationsprocesser i registreringscentret er blevet konstrueret. En model af det oprindelige sikkerhedssystem af en separat enhed blev bygget. Manglerne ved det eksisterende sikkerhedssystem er blevet identificeret. En generaliseret model af et informationssikkerhedssystem er blevet udviklet.

For hver fase af informationsudvekslingen er der udviklet en række foranstaltninger til beskyttelse af information. Manglerne og sårbarhederne i det oprindelige sikkerhedssystem er blevet elimineret, hvilket øger effektiviteten af ​​informationsudvekslingen og mindsker risikoen for tyveri af fortrolige oplysninger eller personlige data.

Hovedopgaverne blev løst, og projektets mål blev nået - et sikkerhedsundersystem til en separat afdeling af Information Security Center "Grif" LLC blev udviklet.

Liste over anvendte kilder

1. GOST R 34.10-2001. Informationsteknologi. Kryptografisk informationsbeskyttelse. Processer til generering og verifikation af elektroniske digitale signaturer - I stedet for GOST R 34.10-94, introduceret. 2002-07-01. M.: Standards Publishing House, 2001. - 12 s.

2. Polyanskaya, O. Yu., Gorbatov, V. S. Offentlig nøgleinfrastruktur. / O. Yu. Polyanskaya, V. S. Gorbatov - Knowledge Laboratory, 2007 - 73 s.

Berdnikova, T. B. Analyse og diagnostik af en virksomheds finansielle og økonomiske aktivitet. / T. B. Berdnikova - Infra-M, 2007 - 101 s.

Konokov, D.G., Rozhkov, K.L. Organisationsstruktur af virksomheder. / D.G. Konokov, K.L. Rozhkov - Institut for Strategisk Analyse og Entreprenørskabsudvikling, 2006 - 38 s.

Goncharuk, V.A. Algoritmer til transformation i erhvervslivet. / V.A. Goncharuk - Moskva, 2008 - 11 s.

Galatenko, V. A. Informationssikkerhedsstandarder. / V. A. Galatenko - University of Information Technologies, 2009 - 55 s.

Yarochkin, V. I. Informationssikkerhed: en lærebog for universitetsstuderende / V. I. Yarochkin. - M.: Akademisk projekt, 2003. - 640 s.

Gorbatov V.S., Polyanskaya O.Yu. Pålidelige centre som et led i sikkerhedssystemet for virksomhedens informationsressourcer / V.S. Gorbatov, O.Yu. Polyanskaya - Jet Info nyhedsbrev, nr. 11 (78), 1999. - 20 s.

Belov, E.B., Los, P.V., Meshcheryakov, R.V., Shelupanov, A.A. Grundlæggende om informationssikkerhed: lærebog. manual til universiteter / E. B. Belov, V. P. Los, R. V. Meshcheryakov, A. A. Shelupanov. - M.: Hotline - Telecom, 2006. - 544 s.

Føderal lov "om elektronisk digital signatur" dateret 8. april 2011 nr. 63 - Føderal lov: vedtaget af staten. Duma 06. apr. 2011: godkendt af Forbundsrådet den 8. april. 2011 / Kontorarbejde. - 2011 - nr. 4. - S. 91-98.

Polyanskaya, O. Yu. PKI-teknologi som grundlag for at skabe et sikkert forretningsmiljø. Samling af videnskabelige artikler fra den XIII all-russiske videnskabelige konference "Problemer med informationssikkerhed i det videregående uddannelsessystem" / O.Yu. Polyanskaya. - M.: MEPhI, 2006 - S. 96-97.

Zavidov, B. D. Elektronisk digital signatur. Juridisk betydning. Analyse af lovgivning og lovforslag / B. D. Zavidov. - M.: Eksamen, 2001 - 32 s.

Danzhani, N., Clark D. Netværkssikkerhedsværktøjer / N. Danzhani, D. Clark. - M.: KUDITS-Press, 2007. - 368 s.

Forouzan, B. A. Kryptografi og netværkssikkerhed / B. A. Forouzan. - M.: Binom. Videnslaboratoriet, 2010 - 784 s.

Ilyinykh, E. V., Kozlova, M. N. Kommentar til den føderale lov "om elektronisk digital signatur" / E. V. Ilyinykh, M. N. Kozlova. - M.: Justitsinform, 2005 - 80 s.

Moldovyan, N.A. Teoretiske minimums- og digitale signaturalgoritmer / N. A. Moldovisk. - Skt. Petersborg: BHV-Petersburg, 2010 - 304 s.

Grishina, N.V. Organisering af et omfattende informationssikkerhedssystem / N. V. Grishina. - M.: Helios, 2007 - 256 s.

Nekrakha, A. V., Shevtsova G. A. Organisation af forvaltning af fortrolige optegnelser og informationsbeskyttelse / A. V. Nekrakha, G. A. Shevtsova. - Skt. Petersborg: Akademisk projekt, 2007- 224 s.

Ishcheynov, V. Ya., Metsatunyan, M. V. Beskyttelse af fortrolige oplysninger / V. Ya. Ishcheynov, M. V. Metsatunyan. - M.: Forum, 2009 - 256 s.

Malyuk, A. A. Informationssikkerhed. Konceptuelle og metodiske grundlag for informationssikkerhed. Lærebog / A. A. Malyuk. - M.: Hot Line - Telecom, 2004 - 280 s.

Melnikov, V.P., Kleimenov, S.A., Petrakov, A.M. Informationssikkerhed og informationsbeskyttelse / V.P. Melnikov, S.A. Kleimenov, A.M. Petrakov. - M.: Akademiet, 2009 - 336 s.

Semkin, S. N., Semkin, A. N. Grundlæggende om juridisk støtte til informationsbeskyttelse / S. N. Semkin, A. N. Semkin. - M.: Hot Line - Telecom, 2008 - 240 s.

Arutyunov, V.V. Informationsbeskyttelse / V.V. Arutyunov. - M.: Liberea-Bibinform, 2008 - 56 s.

Chipiga, A. F. Informationssikkerhed for automatiserede systemer / A. F. Chipiga. - M.: Helios ARV, 2010 - 336 s.

Kort, S. S. Informationsbeskyttelsens teoretiske grundlag / S. S. Kort. - M.: Helios ARV, 2004 - 240 s.

Snytnikov, A. A. Licensering og certificering inden for informationsbeskyttelse / A. A. Snytnikov. - M.: Helios ARV, 2003 - 192 s.

Vasilenko, O. N. Talteoretiske algoritmer i kryptografi / O. N. Vasilenko - MCNMO, 2003 - 15 s.

Zemor, J. Kryptografikursus / J. Zemor - Institut for Computerforskning, 2006 - 27 s.

Babash, A. V. Kryptografiens historie. Del I / A. V. Babash - Helios ARV, 2002 - 42 s.

Brandsikkerhedsstandarder NPB 105-03. Bestemmelse af kategorier af lokaler, bygninger og udendørs installationer baseret på eksplosions- og brandfarer. - godkendt efter ordre fra Ministeriet for Nødsituationer i Den Russiske Føderation af 18. juni 2003 N 314 - M.: Standards Publishing House, 2003. - 4 s.

Lapin, V. L. Livssikkerhed. / V.L. Lapin - Higher School, 2009 - 147 s.

Zotov, B.I., Kurdyumov V.I. Livssikkerhed i produktionen. / B. I. Zotov, V. I. Kurdyumov - KolosS, 2009 - 92 s.

Inkluderet i registret over små og mellemstore virksomheder: fra 01.08.2016 som mindre virksomhed

Særlige skatteordninger: forenklet skattesystem (STS)

Kontakt information:

Virksomhedsoplysninger:

Skatteyderens identifikationsnummer: 7610081412

kontrolpunkt: 761001001

OKPO: 88733590

OGRN: 1087610003920

OKFS: 16 - Privat ejendom

OKOGU: 4210014 - Organisationer etableret af juridiske enheder eller borgere, eller juridiske enheder og borgere i fællesskab

OKOPF: 12300 - Selskaber med begrænset ansvar

OKTMO: 78715000001

OKATO:- Rybinsk, Byer med regional underordning af Yaroslavl-regionen, Yaroslavl-regionen

Virksomheder i nærheden: JSC "VOLZHANIN", PC "BASIS", MUUP "PHARMACY N 23" I BYDISTRIKTET RYBINSK LLC "INDUSTRI- OG HANDELSSELSKAB "SEVERSNAB" -

Aktiviteter:

Main (ifølge OKVED-kode rev.2): 63.11 - Databehandlingsaktiviteter, levering af informationshostingtjenester og relaterede aktiviteter

Yderligere aktiviteter i henhold til OKVED 2:

Grundlæggere:

Registrering hos Den Russiske Føderations pensionsfond:

Registreringsnummer: 086009035983

Registrerings dato: 13.10.2008

PFR-organets navn: Statsinstitution - Kontoret for Den Russiske Føderations pensionsfond i Rybinsk, Yaroslavl-regionen (interdistrict)

URG-optagelse i Unified State Register of Legal Entities: 2087610089543

23.10.2008

Registrering hos Den Russiske Føderations Socialforsikringsfond:

Registreringsnummer: 761006509576001

Registrerings dato: 15.10.2008

Navn på FSS-organet: Statsinstitution - Yaroslavl regionale afdeling af Social Insurance Fund of Den Russiske Føderation

URG-optagelse i Unified State Register of Legal Entities: 2087610089840

Dato for optagelse i Unified State Register of Legal Entities: 23.10.2008

Ifølge rkn.gov.ru dateret 24. januar 2020, ifølge TIN, er virksomheden i registret over operatører, der behandler personoplysninger:

Registreringsnummer:

Dato for operatørens optagelse i registret: 17.09.2010

Begrundelse for optagelse af operatøren i registret (ordrenummer): 661

Operatørens adresse: 152914, Yaroslavl-regionen, Rybinsk-distriktet, Rybinsk, Zvezdnaya st., 1, apt. 53

Startdato for behandling af personoplysninger: 21.09.2009

Emner i Den Russiske Føderation, på hvis territorium personoplysninger behandles: Yaroslavl-regionen

Formål med behandling af personoplysninger: med det formål at levere certificeringscentertjenester - fremstilling af signaturnøglecertifikater, der opfylder kravene i arbejdslovgivningen.

Beskrivelse af foranstaltningerne i art. 18.1 og 19 i loven: Organisatoriske foranstaltninger: 1. Udvikling, ændring og vedligeholdelse af intern dokumentation (regulativer, ordrer, instruktioner mv.), der sikrer proceduren for behandling af personoplysninger. 2. Placering af tekniske midler beregnet til behandling af personoplysninger i særligt udpegede lokaler med begrænset adgang. H. Udførelse af foranstaltninger til overvågning af persondatasystemers overensstemmelse med krav til informationssikkerhed. 4. Regnskab for persondatabærere. Tekniske foranstaltninger: 1. Levering af software og hardware til at beskytte information mod uautoriseret adgang, nemlig: 1.1. registrering af handlinger fra brugere og servicepersonale, 1.2. kontrol af brugernes, servicepersonalets integritet og handlinger, 1.3 brug af sikre kommunikationskanaler og en firewall, 1.4 forebyggelse af introduktion af ondsindede programmer (virusprogrammer) og softwarebogmærker i informationssystemer, 2. Sikring af redundans af tekniske midler, duplikering af arrays og lagermedier. 3. Brug af certificerede informationssikkerhedsværktøjer.

Kategorier af personlige data: efternavn, fornavn, patronym, fødselsår, fødselsmåned, fødselsdato, fødested, adresse, erhverv, serie og nummer på identifikationsdokumentet, oplysninger om udstedelsesdatoen for det angivne dokument og den udstedende myndighed, nummer af statens pensionsforsikringsbevis, oplysninger om stedarbejde og stilling, skatteregistreringsnummer, køn, kendskab til et fremmedsprog, uddannelse, erhverv, civilstand, familiesammensætning, militærregistreringsoplysninger.

Kategorier af emner, hvis personoplysninger behandles: tilhørende: enkeltpersoner (kunder af certificeringscentret, der har indgivet ansøgninger om fremstilling af signaturnøglecertifikater), medarbejdere, der er i et ansættelsesforhold med en juridisk enhed.

Liste over handlinger med personlige data: indsamling, systematisering, akkumulering, opbevaring, destruktion af persondata ved hjælp af specialiseret software, opbevaring af persondata på papir.

Behandling af personoplysninger: blandet, med transmission over en juridisk enheds interne netværk, med transmission over internettet

Retsgrundlag for behandling af personoplysninger: styret af føderal lov nr. 152-FZ af 27. juli 2006 "om personlige data", føderal lov nr. 1-FZ "om elektronisk digital signatur" af 13. december 2001 (artikel 9), føderal lov af 6. april 2011 nr. 63- Føderal lov "om elektronisk signatur" (artikel 14, 15, 17), dekret fra den russiske føderations regering af 15. september 2008 nr. 687 "Om godkendelse af reglerne om de særlige forhold ved behandling af personoplysninger, der overføres ud uden brug af automatiseringsværktøjer”, Den Russiske Føderations arbejdskodeks (art. 85-90), skriftligt samtykke fra emnet, certificeringscentrets regler.

Tilgængelighed af grænseoverskridende transmission: Ingen

Database placeringsoplysninger: Rusland

Oplysninger om indtægter og udgifter i henhold til Federal Tax Service dateret 10/19/2019 med TIN 7610081412:

Oplysninger om de betalte skatter og gebyrer i henhold til Federal Tax Service dateret 10/19/2019 ved hjælp af TIN 7610081412:

Introduktion

I øjeblikket gennemgår vores land en hurtig informatiseringsproces på næsten alle områder af offentlig aktivitet. Selvom papirdokumentflow stadig råder over elektronisk dokumentflow på grund af den ret lave udbredelse af sidstnævnte, fordobles mængden af ​​virksomheders elektroniske dokumenter hvert tredje år.

Med udviklingen af ​​computerteknologi og elektroniske teknologier til behandling og transmission af information på afstand, såvel som i overensstemmelse med føderale programmer udført i Rusland, fandt en overgang til elektronisk dokumenthåndtering sted, hvilket gjorde det muligt at automatisere mange kontorprocesser.

En certificeringsmyndighed eller certificeringsmyndighed er en organisation eller afdeling af en organisation, der udsteder nøglecertifikater for elektroniske digitale signaturer; det er en komponent i en global katalogtjeneste, der er ansvarlig for at administrere brugernes kryptografiske nøgler. Offentlige nøgler og andre oplysninger om brugere opbevares af certificeringsmyndigheder i form af digitale certifikater.

En registreringsmyndighed er defineret som en enhed, der er ansvarlig for at identificere og autentificere emnet for et certifikat, men som ikke er i stand til at underskrive og udstede et certifikat. Der foregår en konstant udveksling af information mellem registreringscentret og certificeringscentret.

Der er et objektivt behov for at sikre informationsbeskyttelse både i informationsinteraktionen mellem registreringscentret og certificeringscentret og i processen med behandling og lagring af oplysninger og registreringscentrets interne dokumentflow.

Formålet med undersøgelsen er sikkerhedsundersystemet i en separat afdeling af Information Security Center "Grif" LLC. Emnet for undersøgelsen er kvaliteten af ​​instituttets informationssikkerhedssystem.

I øjeblikket har en separat afdeling af LLC "CZI "Grif", som er et registreringscenter i sit funktionelle formål, sit eget sikkerhedssystem bygget i overensstemmelse med sikkerhedsinstruktionerne udviklet i overensstemmelse med kravene i hoveddokumenterne i inden for informationssikkerhed. Praktiske erfaringer har dog vist, at det oprindelige sikkerhedssystem i en separat enhed har en række mangler.

Målet med dette projekt er at udvikle etm, der ville være mere effektivt end det oprindelige.

Hovedformålene med diplomprojektet er en diagnostisk analyse af virksomheden LLC TsI Grif, forskning af de vigtigste trusler og udvikling af en generaliseret model af et informationssikkerhedssystem.

Diagnostisk analyse af TsZI "GRIF" LLC

Generelle karakteristika for TsZI "Grif" LLC

Information Security Center "Grif" er en organisation med speciale i at levere tjenester inden for informationsteknologi og informationssikkerhed. Virksomheden blev grundlagt i 2008 og opererer med succes på markedet.

Informationsbeskyttelsescentret "Grif" i overensstemmelse med føderal lov FZ-1 af 10. januar 2002 "On Electronic Digital Signature" leverer følgende tjenester:

Producerer signaturnøglecertifikater;

Opretter nøgler til elektroniske digitale signaturer efter anmodning fra deltagere i informationssystemet med garanti for, at den private nøgle til den elektroniske digitale signatur holdes hemmelig;

Suspenderer, fornyer og tilbagekalder signeringsnøglecertifikater;

Vedligeholder et register over signaturnøglecertifikater, sikrer dets relevans og muligheden for fri adgang til det for deltagere i informationssystemer;

Kontrollerer det unikke ved offentlige nøgler til elektroniske digitale signaturer i registret over signaturnøglecertifikater og certificeringscentrets arkiv;

Udsteder signaturnøglecertifikater i form af papirdokumenter og (eller) i form af elektroniske dokumenter med information om deres drift;

Efter anmodninger fra brugere af signaturnøglecertifikater bekræfter den ægtheden af ​​en elektronisk digital signatur i et elektronisk dokument i forhold til signaturnøglecertifikaterne udstedt til dem.

Certifikatet fra den autoriserede person i certificeringscentret er inkluderet i Unified State Register. EDS-certifikater og nøgler er produceret ved hjælp af CryptoPro CSP kryptografisk beskyttelsesværktøj, der er certificeret af FSB i Den Russiske Føderation og overholder statens standarder i Den Russiske Føderation. Al informationsudveksling med certificeringsmyndighedens registreringscenter udføres ved hjælp af den sikre TLS-protokol med envejs- og tovejsgodkendelse.