Основные вопросы информационной безопасности предприятия

Автор: Пользователь скрыл имя, 27 Июля 2011 в 16:32, контрольная работа

Описание работы

Целю данной контрольной работы является:
- рассмотреть основные вопросы информационной безопасности предприятия на примере ООО «МТЦ»;
- построить информационную защиту данного предприятия.

Содержание

Введение 4
1. Сведения о предприятии 5
2. Анализ угроз безопасности 7
3. Модель нарушителя 19
4. Построение системы защиты информации 22
Заключение 33
Список используемых источников 34

Скачать полностью (57.61 Кб) Сколько стоит заказать работу?
Работа содержит 1 файл

Контрольная.doc

— 239.50 Кб (Скачать)

      4. Процессный подход и ИБ

      Для реализации процессного подхода необходимо деятельность организации представить в виде бизнес-процессов. Реализация «процессного подхода» помогает сотрудникам понять особую важность:

  • необходимости выполнения  требований ИБ;
  • необходимости правильного  использования средств защиты информации (защитных мер);
  • необходимости  анализа работы и эффективности системы защиты информации;
  • необходимости непрерывного совершенствования системы защиты информации.

      Для облегчения понимания, необходимо повысить уровень информированности сотрудников, а для этого, необходимо разработать и внедрить Программу обучения персонала. 
 

      5. Непрерывный цикл

      Создание  и применение системы процессов  управления ИБ взаимоувязаны в непрерывный цикл: планирование, реализация, проверка и совершенствование системы ИБ.

      Планирование – создание Политики, процессов, процедур относящихся к обеспечению ИБ.

      Реализация – внедрение и поддержка Политики ИБ, процессов и процедур, средств защиты информации (защитных мер).

      Проверка – оценка и, по возможности,  измерение эффективности процессов системы защиты информации на соответствие требованиям Политики безопасности, установленным практикам и доклад результатов руководству.

      Совершенствование – разработка и принятие коррективных и превентивных мер, основных на результатах проверки, для непрерывного совершенствования системы информационной безопасности.

      6. Адекватность

      Адекватность  системы защиты информации подразумевает, что затраты на защитные меры меньше или равны ущербу от реализации угроз (от которых данная мера защищает). Для реализации этого принципа в МТЦ должен быть:

       - организован процесс мониторинга  и анализа действий и событий в информационной системе;

      - организован процесс анализа  и оценки рисков (реализуется  посредством анализа и оценки, назначенным сотрудников. Результаты анализа и оценки докладываются рабочей группе по информационной безопасности).

       - организован процесс выбора  и обоснования защитных мер  (выбор и обоснование производятся  назначенным сотрудником и докладываются  рабочей группе по информационной безопасности. При выборе защитных мер. Рабочая группа руководствуется принципом адекватности).

      - обоснование перед руководством  сумм затрат на защитные меры. 

      7. Целенаправленность

      Целенаправленность  системы защиты информации подразумевает, что цели ИБ организации и функциональные цели явно сформулированы  в Политике Информационной безопасности МТЦ, в Функциональных политиках, в Руководствах, в других нормативно-распорядительных документах по ИБ.

      8. Принцип комплексности

      Жизненный цикл информации в информационной системе МТЦ предполагает существование обрабатываемых данных в различном виде (бумажный документ; электронный документ;  знания сотрудников; информация подлежащая уничтожению (вне зависимости от носители) и т. п.). Принцип комплексности системы защиты информации подразумевает применение защитных мер на всех этапах жизненного цикла информации.

      4.2.2. Процедурные меры обеспечения информационной безопасности

      Процедурные меры включают такие элементы безопасности как:

  • управление персоналом;
  • физическая безопасность;
  • антивирусная безопасность;
  • планирование бесперебойной работы информационной системы.

      Процедурные меры обеспечения информационной безопасности принято формулировать в виде Функциональных политик безопасности.

      Управление  персоналом

      Реализация  мероприятий по управлению персоналом начинается с анализа рабочих мест и описания должности; на основе этого материала вносятся дополнения или исправления в существующие должностные инструкции, определяются критерии подбора персонала; определяются требования для проведения аттестации сотрудников. Должны быть разработаны и внедрены:

  • Программа обучения персонала;
  • Мероприятия по обеспечению информационной безопасности при увольнении персонала.

      Физическая  безопасность

        Основной принцип физической  безопасности – непрерывность  в пространстве.

      Для реализации мероприятий физической безопасности необходимо выделить защищенные области и провести мероприятия  по дооборудованию этих защищенных областей. Одним из важнейших мероприятий (по результатам оценки угроз, выявленных при информационном обследовании) по дооборудованию защищенных областей является защита от поджога помещений, в которых расположены серверы, компьютеры сотрудников, расположенных на первых этажах. Рекомендуемые мероприятия – оборудование окон первых этажей рол-ставнями.

      Должны  быть разработаны и внедрены правила  использования рабочего стола, мероприятия по утилизации оборудования.

      Антивирусная  безопасность

      Разработка  и внедрение Функциональной  политики «Антивирусная защита» позволит: обследовать всю информационную систему организации на наличие вредоносных программ во всех их проявлениях; определить требования, порядок  критерии выбора антивирусного ПО для всех элементов информационной системы; установить периодичность анализа антивирусной безопасности МТЦ; организовать контроль соблюдения персоналом обязанностей по антивирусной защите; организовать регулярное обновление антивирусного программного обеспечения на всех компьютерах информационной системы; определить порядок действий сотрудников при активизации вредоносных программ.

      Планирование  бесперебойной работы информационной системы

      Планирование  бесперебойной работы информационной системы предназначено для защиты информационной системы организации от последствий аварий и катастроф. Реализуется в виде регулярно пересматриваемого документа «План обеспечения бесперебойной работы».

      4.2.3. Программно-технические меры обеспечения информационной безопасности

        Адекватное осуществление Политики  безопасности обеспечивается совокупностью  программно-технических средств  защиты информации. Эти средства обеспечивают  контроль оборудования, программ, данных. Программно-технические меры противостоят наносящим ущерб ошибочным или умышленным действиям легальных пользователей. Для реализации программно-технических мер защиты информации используются такие сервисы безопасности как:

      - управление доступом;

      - идентификация и аутентификация;

      - контроль целостности.

      Для наиболее полного и взаимосвязанного использования программно-технических  средств защиты информации необходимо руководствоваться требованиями ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий».

      Управление  доступом

      Реализация  этого сервиса безопасности осуществляется  посредством разработки и внедрения  Функциональной  политики «Управление  доступом». В этом документе должны быть сформулированы правила распределения прав доступа субъекта к объектам информационной системы. Для обеспечения авторизации, назначения и контроля прав субъектов регламентируется процедура «Управление доступом». Определяются обязанности пользователей. Регламентируются правила управления доступом к сети (ЛВС и Internet). Регламентируются правила управления доступом к компьютерам пользователей.

      Ключевым  элементом этой  Функциональной  политики является  совокупность правил, устанавливающих допустимое взаимодействие между субъектами и объектами информационной системы. Формирование ролей осуществляется на основании бизнес-процессов.

      Для реализации прав доступа субъект  должен предъявить идентификатор и пройти процедуру аутентификации.

      Идентификация и аутентификация

      Это один из не многих сервисов безопасности, который реализован на ООО «МТЦ». Сервис реализован в виде с грубейшими нарушениями требований ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» (Пароль (идентификатор) выдается сотрудником Отдела технического обслуживания один раз, при приеме на работу, и до увольнения. Идентификатор общеизвестен («для удобства в работе»). Учитывая сложившиеся традиции, персоналии сотрудников, требования Федерального закона «О персональных данных» одним из решений проблемы идентификация и аутентификация и контроля доступа  может быть внедрение биометрических устройств аутентификации в которых идентификатором является отпечаток пальца сотрудника.

      Контроль  целостности  

      Основной  задачей информационная система  МТЦ является  задача аккумуляции задач для инженеров, формирования запросов от клиентов, выставление счетов клиентам за оказанные услуги и оборудование, формирования отчетов по запросам  , формирования отчетов по запросам. Эта задача выполняется с использованием ИТ приложений  «Контрагенты» и «Задачи». ИТ приложения реализованы в виде баз данных.  Базы данных должны быть неискаженными, актуальными, адекватными (полно и точно отражать предметную область), т. е. быть целостными.  Для этого  методы контроля целостности должны быть внедрены в ИТ приложение на стадии проектирования и реализовываться  на всех стадиях жизненного цикла  ИТ приложений.

      4.3. Угрозы и меры  их минимизации

      Обобщенные основные угрозы ИБ МТЦ и предлагаемые меры по уменьшению последствий от них отражены в приложении 2 (см.П.2). 

      Административные, процедурные и программно-технические  меры обеспечения  информационной безопасности позволят создать базовый уровень безопасности информационной системы МТЦ, при котором невозможны несанкционированное изменения, уничтожение, блокировка хранимых, обрабатываемых или передаваемых данных. В результате информационная система будет обладать такими свойствами как конфиденциальность,  целостность и доступность. Это позволит поднять уровень зрелости процессов информационной системы до «начального» уровня. А применение непрерывного цикла планирования, реализация, проверки и совершенствование  системы ИБ приведет дальнейшему повышению уровня зрелости, т. е. приведет к созданию совершенной, управляемой  информационной системы способной к быстрой адаптации при изменениях в окружении и бизнесе.

      4.4. Оценка оптимальности  разработки структуры

      Для того, чтобы определить оптимальная  ли у нас система защиты мы применим эталонный вариант, который соответствует требованиям, предъявляемым к разрабатываемой системе согласно Техническому заданию или нормативным (руководящим) документам, регламентирующим процесс разработки с учетом определенного достаточного уровня безопасности.

      Теперь нужно составить список параметров по которым мы будем оценивать систему защиты.

      Этими параметрами будут параметры:

  • надежность системы,
  • быстродействие,
  • удобство ее прохождения зарегистрированными пользователями (ее прозрачность),
  • глобальность системы,
  • стоимость установки и поддержания

      По  параметру надежность оценка равна  I=8, быстродействие I=5, прозрачность I=6, глобальность I=4, стоимость I=8.

      Где j — порядковый номер системы защиты; i — номер параметра, по которому производилась оценка; n — количество оцениваемых параметров; Iij— оценка i-го параметра для j-й системы защиты;  Imax — максимальное значение оценки параметра (для рассматриваемого примера Imax равно 10), затем по методу наименьших квадратов рассчитывается, комплексный показатель защищенности, который равен –2,91.

Информация о работе Основные вопросы информационной безопасности предприятия