Заключение. 
Разработка модели системы информационной безопасности Нижегородского государственного архитектурно-строительного университета

Для выполнения данной выпускной квалификационной работы были выполнены следующие задачи:

• 1. Изучение теоретико — правовой базы в области информационной безопасности;
• 2. Анализ исходной информационной системы ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»;
• 3. Анализ потенциальных угроз и мер борьбы с ними;
• 4. Разработка политики информационной безопасности в соответствии со стандартами и лучшими практиками;
• 5. Разработка портала для ограничения доступа к внешним информационным ресурсам университета.

В теоретической части работы были изучены основные законодательные и нормативные акты, стандарты и политики ведущих компаний. Были определены основные принципы построения системы информационной безопасности, которая обеспечит комплексную защиту данных.

На этапе исследования информационной системы университета было составлено описание предприятия и представлена организационная структура. В результате анализа аппаратно — программного обеспечения была определена структура сети и состав технических средств. Также была определена информация, циркулирующая в информационной системе университета, и отнесена к соответствующему грифу конфиденциальности.

Следующим шагом была разработка модели угроз и нарушителя. На этом шаге. Были определены основные источники угроз и классифицированы на антропогенные, техногенные и стихийные. В соответствии с Руководящим документом ФСТЭК были определены потенциальные внутренние и внешние нарушители, в результате чего выяснилось, что наиболее опасными являются внутренние нарушители. Для определения актуальных гроз была рассчитана исходная защищенность системы и определено, что объект обладает средней защищенностью, что является хорошим показателем. После определения актуальных угроз были предложены меры по борьбе с ними на техническом и организационном уровнях. Последним шагом в этой части было определение класса защищенности системы в соответствии с Руководящим документом Гостехкомиссии РФ. На основании данных, полученных при анализе системы, был установлен класс защищенности 1 В.

В следующей части была разработана политика информационной безопасности университета с подробным указанием целей защиты, распределением ролей пользователей и описанием мер защиты. Меры защиты были разделены на организационные, физические и аппаратно — программные. Политика безопасности разрабатывалась на основании результатов анализа на соответствие существующей системы и стандартов. При разработке политики были «заполнены» пробелы, найденные в процессе анализа системы.

В финальной части был разработан портал для безопасного подключения к внешним информационным ресурсам университета. Разработка содержит базу данных, портал первичной авторизации и сайт — прототип информационных ресурсов. Для реализации был использован скриптовый язык PHP, для создания отдельных модулей был использован язык JavaScript. Вся работа построена на отправке запросов в базу данных и их последующей проверке. Доступ к базе данных осуществляется посредством метода PDO, который защищает портал от SQL — инъекций. Данный портал разработан для разграничения внешних и внутренних ресурсов университета и для уменьшения поверхности атаки.

Все поставленные цели выполнены. Разработанная политика безопасности может быть развита, в соответствии с развитием технологий и потенциальных угроз.