- Дипломы
- Курсовые
- Рефераты
- Отчеты по практике
- Диссертации
Разработка комплексного подхода к обеспечению информационной безопасности предприятия
Внимание: Акция! Курсовая работа, Реферат или Отчет по практике за 10 рублей!
Только в текущем месяце у Вас есть шанс получить курсовую работу, реферат или отчет по практике за 10 рублей по вашим требованиям и методичке!
Все, что необходимо - это закрепить заявку (внести аванс) за консультацию по написанию предстоящей дипломной работе, ВКР или магистерской диссертации.
Нет ничего страшного, если дипломная работа, магистерская диссертация или диплом ВКР будет защищаться не в этом году.
Вы можете оформить заявку в рамках акции уже сегодня и как только получите задание на дипломную работу, сообщить нам об этом. Оплаченная сумма будет заморожена на необходимый вам период.
В бланке заказа в поле "Дополнительная информация" следует указать "Курсовая, реферат или отчет за 10 рублей"
Не упустите шанс сэкономить несколько тысяч рублей!
Подробности у специалистов нашей компании.
Только в текущем месяце у Вас есть шанс получить курсовую работу, реферат или отчет по практике за 10 рублей по вашим требованиям и методичке!
Все, что необходимо - это закрепить заявку (внести аванс) за консультацию по написанию предстоящей дипломной работе, ВКР или магистерской диссертации.
Нет ничего страшного, если дипломная работа, магистерская диссертация или диплом ВКР будет защищаться не в этом году.
Вы можете оформить заявку в рамках акции уже сегодня и как только получите задание на дипломную работу, сообщить нам об этом. Оплаченная сумма будет заморожена на необходимый вам период.
В бланке заказа в поле "Дополнительная информация" следует указать "Курсовая, реферат или отчет за 10 рублей"
Не упустите шанс сэкономить несколько тысяч рублей!
Подробности у специалистов нашей компании.
Код работы: | W013621 |
Тема: | Разработка комплексного подхода к обеспечению информационной безопасности предприятия |
Содержание
Содержание Введение ............................................................................................................... 7 1 Нормативные ссылки ....................................................................................... 8 2 Термины и определения .................................................................................. 9 3 Сокращения ..................................................................................................... 11 4 Описание объекта защиты информации ...................................................... 12 4.1 Описание объекта защиты информации ............................................. 12 4.2 Уровни информационной системы ..................................................... 14 4.3 Жизненный цикл информационной системы .................................... 15 4.3 Комплексный подход построения информационной системы ........ 15 5 Концептуальная модель обеспечения информационной безопасности ... 19 5.1 Основные концептуальные положения сферы ЗИ. ........................... 19 5.2 Концептуальная модель безопасности информации ......................... 24 6 Определение основных требований к СЗИ ................................................. 29 6.1 Этапы создания и требования к СЗИ .................................................. 29 6.2 Требования к подсистемам СЗИ .......................................................... 31 6.3 Требования к функциям безопасности СЗИ....................................... 38 6.9 Требования к персоналу ....................................................................... 42 7 Проектирование СЗИ ..................................................................................... 43 7.1 Определение актуальности угроз ........................................................ 43 7.2 Классификация угроз безопасности информации ............................. 46 7.3 Перечень угроз безопасности конфиденциальной информации ..... 46 7.4 Определение исходной защищенности ИС и определение актуальных угроз безопасности информации .......................................... 52 7.5 Определение уровня и класса защищенности ................................... 54 7.6 Определение набора мер по обеспечению безопасности ПДн ........ 57 7.7 Модель нарушителя и определение доверенных лиц. ...................... 66 7.8 Организационно-технические мероприятия ...................................... 73 7.9 Состав системы защиты информации ................................................ 75 КТИБ.100503.27.КЗ Лист 5 _ 8 Технико-экономическое обоснование и расчет окупаемости проекта 79 8.1 Расчёт возможного ущерба при атаке 81 8.2 Расчёт затрат на внедрение рекомендуемых мер 81 8.3 Расчёт срока окупаемости проекта 82 8.4 Выводы 83 9 Безопасность и экологичность работы 84 9.1 Значение и задачи безопасности жизнедеятельности 84 9.2 Анализ условий труда и мероприятия по защите от воздействия вредных производственных факторов. 84 9.3 Определение класса условий труда по показателям напряженности трудового процесса 86 9.4 Обеспечение электробезопасности 87 9.5 Пожарная безопасность 88 9.6 Безопасность жизнедеятельности в чрезвычайных ситуациях 88 9.7 Охрана окружающей среды 89 9.8 Вывод 89 Заключение 90 Список использованных источников 91 КТИБ.100503.27.КЗ Лист _ 6 Введение В качестве предприятия, на котором основывается данная выпускная квалификационная работа, было выбрано Акционерное Общество «Специальная научно-техническая компания» («СНТК»). Тема «Разработка комплексного подхода к обеспечению информационной безопасности предприятия» носит актуальный характер в современных условиях, так как в настоящее время нет организации, которая не использовала бы в своей деятельности средства электронной вычислительной техники при обработке информации. Следовательно, для обработки персональных данных и конфиденциальной информации необходимо создать систему защиты информации. Содержание работы состоит из: выбора и обоснования способов создания системы защиты информации в соответствии с методиками ФСТЭК; разработки системы защиты информации на предприятии; расчета экономической эффективности и раздела безопасности и экологичности работы. Научная новизна разработанной системы защиты информации заключается в использовании методики ФСТЭК «Методика определения угроз безопасности информации в информационных системах», которая устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в соответствии с требованиями, утвержденными приказами ФСТЭК России № 17 и № 21, а также использованием современных средств защиты информации. Практическая значимость выпускной квалификационной работы заключается в возможности использования разработанной системы защиты информации на данном предприятии в реальной информационной системе. Объем работы: 92 страницы, 2 рисунка, 17 таблиц и 1 приложение. КТИБ.100503.27.КЗ Лист _ 7 1 Нормативные ссылки Приказ ФСТЭК № 17 от 15.02.2017 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»; Приказ ФСТЭК № 21 от 23.03.2017 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства РФ № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Федеральный закон от 23.04.2018 № 149-ФЗ. Об информации, информационных технологиях и о защите информации; Федеральный закон от 29.07.2017 № 152-ФЗ. О персональных данных; Указ Президента РФ от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»; ГОСТ Р 56103-2014 Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения; СанПиН 2.2.4.548 Гигиенические требования к микроклимату производственных помещений; Р 2.2.2006-05 Гигиена труда. Руководство по гигиенической оценке факторов рабочей среды и трудового процесса. Критерии и классификация условий труда. КТИБ.100503.27.КЗ Лист _ 8 2 Термины и определения Информация - сведения (сообщения, данные) независимо от формы их представления. Информация в зависимости от категории доступа к ней подразделяется на информацию общедоступную, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели. Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. Средства защиты информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. Межсетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. КТИБ.100503.27.КЗ Лист _ 9 Система обнаружения вторжений — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть. Антивирус — это программа для защиты компьютера или мобильного устройства от вредоносных программ. Атака (при применении информационных технологий) - Действия, направленные на реализацию угроз доступа несанкционированного к информации, воздействия на нее или на ресурсы системы автоматизированной информационной с применением средств программных и (или) технических. База данных - Объективная форма представления и организации совокупности данных (статей, расчетов и так далее), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью электронной вычислительной машины. Доступ к информации - Получение субъектом возможности ознакомления с информацией, в том числе с помощью технических средств Источник риска – элемент, который отдельно или в комбинации, имеет собственный потенциал, чтобы вызвать риск. Авторизация - предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ Аутентификация - установление (то есть проверка и подтверждение) подлинности различных аспектов информационного взаимодействия: содержания и источника передаваемых сообщений, сеанса связи, времени взаимодействия. КТИБ.100503.27.КЗ Лист _ 10 3 Сокращения ИБ – информационная безопасность; ЗИ – защита информации; МЭ – межсетевой экран; ТЗ – техническое задание; ПЭМИН – побочные электромагнитные излучения и наводки; ЛВС – локально-вычислительная сеть; ИС – информационная система; СЗПДН – система защиты персональных данных; ПДн – персональные данные; ИС – информационная система; СУБД – система управления базой данных; СЗИ – средство защиты информации; НСД – несанкционированный доступ; АС – автоматизированная система; ТСОИ – технические средства обработки информации; ОТСС – основные технические средства и системы; ВТСС – вспомогательные технические средства и системы; ВП – выделенное помещение; ОС – операционная система; ПО – программное обеспечение; СКЗИ – система криптографической защиты информации. КТИБ.100503.27.КЗ Лист _ 11 4 Описание объекта защиты информации 4.1 Описание объекта защиты информации Объектом защиты является здание Акционерного Общества «СНТК». Схема здания схематически изображена на рисунке 4.1. 10 м 24 м Сан. узел Кабинет Кабинет для 3*2 м Директора совещаний Серверная 5*6 м Отдел 5*6 м 6*6 м информационных технологий 5*7 м Коридор Отдел кадров Бухгалтерия 4*3 м 4*3 м Вход Рисунок 4.1 – Схема здания Автоматизированные рабочие места имеют достаточную производительность и не требуют замены их составляющих. Всего на предприятии насчитывается 7 рабочих мест, используемых для обработки персональных данных. Из них: 1 рабочее место директора информационного отдела; 1 рабочее место бухгалтера; 1 рабочее место специалиста по кадровому персоналу; 4 рабочих места специалистов отдела информационных технологий. Состав автоматизированного рабочего места: монитор, системный блок, клавиатура, манипулятор типа «мышь», принтер, источник бесперебойного питания. КТИБ.100503.27.КЗ Лист _ 12 Схема рабочих мест изображена на рисунке 4.2. Рисунок 4.2 - Схема рабочих мест Из общего количества помещений только 5 из них необходимо оборудовать системой защиты информации, из которых одно помещение является серверным. На предприятии установлена система контроля и управления доступом (СКУД) в виде турникета на входе, входная дверь оборудована электромагнитным замком и считывателем для карт доступа. Кроме того, электромагнитным замком и считывателем оборудованы двери в серверную, в кабинет директора отдела информационных технологий и отдел специалистов информационных технологий. Все двери оборудованы механическими доводчиками. Также внутри здания установлены 3 купольные видеокамеры с широким углом обзора для исключения мертвых зон. Все видеокамеры оснащены системой поворотного механизма для подстройки захвата зоны помещений. Данная СКУД и система видеонаблюдения является достаточной, не требует изменений и в целом является достаточной для данного предприятия. На рисунке 4.3 наглядно изображена схема СКУД и система видеонаблюдения с условными обозначениями. КТИБ.100503.27.КЗ Лист _ 13 Рисунок 4.3 - Схема СКУД и система видеонаблюдения 4.2 Уровни информационной системы Для любой организации существует своя типовая информационная система, состоящая из компонентов, решающих специфические задачи, но в общем случае ИС включает в себя четыре уровня: 1 Уровень прикладного программного обеспечения, отвечающий за взаимодействие с пользователем. 2 Уровень системы управления базами данных, отвечающий за хранение и обработку данных информационной системы. 3 Уровень операционной системы, отвечающий за обслуживание СУБД и прикладного программного обеспечения. 4 Уровень сети, отвечающий за взаимодействие узлов информационной системы. У злоумышленников имеется широчайший спектр возможностей нарушения политики безопасности, которые могут быть осуществлены на всех четырех вышеназванных уровнях ИС. КТИБ.100503.27.КЗ Лист _ 14 4.3 Жизненный цикл информационной системы Не менее важным вопросом при построении любых моделей или систем является жизненный цикл данной модели или системы. К сожалению, не достаточно только построить систему информационной безопасности применяя различные модели, но также необходимо соблюдать жизненный цикл данной системы. В которой вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению информационной безопасности, в том или ином виде должны содержать следующие этапы или шаги, представленные на рисунке 4.4. 1. Планирование 2. Внедрение или 3. Проверка и 4. Корректировка и или разработка реализация мониторинг усовершенствование Рисунок 4.4 - Жизненный цикл системы информационной безопасности При этом важно не упустить каких-либо существенных аспектов. Это будет гарантировать некоторый минимальный (базовый) уровень информационной безопасности, обязательный для любой информационной системы. 4.3 Комплексный подход построения информационной системы В настоящий момент наиболее перспективной основой для построения систем информационной безопасности служит комплексный подход, который заключается в рациональном сочетании различных организационных и программно-технических мер и средств с учетом требований действующих нормативно-правовых и нормативно-технических документов. В комплексной системе защищать информацию необходимо не только от несанкционированного доступа к ней, но и от несанкционированного вмешательства в процесс ее обработки, хранения и передачи, попыток нарушения работоспособности программно-технических средств. КТИБ.100503.27.КЗ Лист _ 15 Разрабатывая и реализуя мероприятия комплексного подхода к обеспечению информационной безопасности, следует дополнительно учитывать два обстоятельства: невозможно создать абсолютно надежную защиту. Можно лишь добиться адекватности системы потенциально возможным угрозам. Поэтому одним из требований к системе является разумное соотношение затрат на защиту информации и возможных финансовых потерь от нарушения информационной безопасности; система безопасности должна быть гибкой и легко адаптироваться к изменяющимся внешним условиям. В связи с тем, что угрозы информационной безопасности становятся все серьезнее, в системе должен быть заложен определенный запас прочности программно-технических средств и организационных мер безопасности. Основные направления и этапы работ по созданию комплексной системы безопасности. В общем случае создание комплексной системы безопасности проводится в рамках трех направлений работ - методологическом, организационном и техническом. Основной задачей методологического направления является разработка политики безопасности предприятия. Политика безопасности представляет собой документ, определяющий: состав и особенности информационных потоков организации; виды представления информации для каждого информационного потока (например, бумажный документ, электронный документ, запись в базе данных); категории конфиденциальной информации в организации и классификацию информации по категориям конфиденциальности; возможные пути разглашения конфиденциальной информации (модель угроз); КТИБ.100503.27.КЗ Лист _ 16 модель нарушителя для каждой угрозы, в том числе профессиональный круг лиц, к которому может принадлежать нарушитель; мотивацию и цели действий нарушителя, предполагаемую квалификацию нарушителя и характер его возможных действий; вероятности реализации каждого вида угроз и усредненные вероятные величины убытков (риски). В рамках организационного направления работ создается совокупность правил, регламентирующих деятельность сотрудников при обращении с информацией, независимо от форм ее представления. Эта совокупность правил отражается в руководящих документах, составляющих регламент обеспечения безопасности. Регламент обеспечения безопасности определяет правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности, а именно: порядок допуска сотрудников к конфиденциальной информации; обязанности и ограничения, накладываемые на сотрудников, допущенных к конфиденциальной информации; порядок изменения категории конфиденциальности работ и информации; требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация в соответствии с ее категориями; требования к конфиденциальному делопроизводству; требования к учету, хранению и обращению с конфиденциальными документами; меры по контролю за обеспечением конфиденциальности работ и информации; порядок действий, предпринимаемых при обнаружении разглашения информации с целью пресечения процесса разглашения/утечки КТИБ.100503.27.КЗ Лист _ 17 (план мероприятий по противодействию атаке на конфиденциальную информацию); порядок действий, предпринимаемых после пресечения процесса разглашения, либо утечки информации (план мероприятий по восстановлению конфиденциальности информации); меры ответственности за разглашение конфиденциальной информации. В состав регламента безопасности могут входить как, так и ряд дополнительных документов, например, план защиты информационно-вычислительных систем, инструкции по системе разграничения доступа, инструкции по работе с кадрами. Этими документами определяется порядок функционирования комплексной системы информационной безопасности как в штатном режиме, так и в аварийных ситуациях. В рамках технического направления возможны два варианта по реализации комплекса программно-технических средств комплексной системы обеспечения информационной безопасности - это разработка всей информационной системы «с нуля» с учетом требований информационной безопасности или встраивание элементов защиты в уже существующую информационную систему. КТИБ.100503.27.КЗ Лист _ 18 5 Концептуальная модель обеспечения информационной безопасности 5.1 Основные концептуальные положения сферы ЗИ. Анализ состояния сферы защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют: современный набор технических средств защиты информации, производимых на промышленной основе; значительное число фирм, специализирующихся на решении вопросов защиты информации; достаточно четко очерченная система взглядов на эту проблему; наличие значительного практического опыта. И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с тенденцией роста злоумышленных действий необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса. Опыт также показывает, что: обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий; КТИБ.100503.27.КЗ Лист _ 19 безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм – СЗИ. При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий; никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту. С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз. С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть: непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации; плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации); целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд; конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб; КТИБ.100503.27.КЗ Лист _ 20 активной. Защищать информацию необходимо с достаточной степенью настойчивости; надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены; универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации; комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимно обусловливающих друг друга сторон, свойств и тенденций. Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям: охватывать весь технологический комплекс информационной деятельности; быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа; быть открытой для изменения и дополнения мер обеспечения безопасности информации; КТИБ.100503.27.КЗ Лист _ 21 быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей; быть простой для технического обслуживания и удобной для эксплуатации пользователями; быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации; быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования: четкость определения полномочий и прав пользователей на доступ к определенным видам информации; предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы; сведение к минимуму числа общих для нескольких пользователей средств защиты; учет случаев и попыток несанкционированного доступа к конфиденциальной информации; обеспечение оценки степени конфиденциальной информации; обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь: правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия; КТИБ.100503.27.КЗ Лист _ 22 организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими; аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно СЗИ; информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности; программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации; математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты; лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации; нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие КТИБ.100503.27.КЗ Лист _ 23 деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации. Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий. Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности. Понимая информационную безопасность как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций», правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба. Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы «заместитель» реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие НСД. 5.2 Концептуальная модель безопасности информации Для обеспечения защиты от угроз необходимо рассмотреть концептуальную модель защиты информации в АС. КТИБ.100503.27.КЗ Лист _ 24 Концептуальная модель безопасности информации приведена на рисунке 5.1. Способы доступа Объекты Направления угроз защиты Угрозы Информация Средства защиты Источники Способы угроз защиты Цели Объекты угроз угроз Рисунок 5.1 – Концептуальная модель безопасности информации Концептуальная модель дает представление о структуре информационной безопасности, которая предусматривает защиту информации от широкого спектра угроз. Вредоносные действия могут совершаться в виде: неавторизованного доступа в сеть, неавторизованного раскрытия информации, разрушения функций сети и мошеннических действий. Концептуальная модель защиты информации в АС рассматривает как действия нарушителя (злоумышленника), так и действия администратора безопасности. Концептуальная модель защиты информации в локально-вычислительной сети (ЛВС) приведена на рисунке 5.2. КТИБ.100503.27.КЗ Лист _ 25 Администратор Нарушитель безопасности использует использует Управленческие Источники угроз Организаторские Контрмеры представляют Технические Естественные Искуственные приводят к Преднамеренные Угрозы Непреднамеренные снижают повышают влияют Ресурсы ЛВС Уязвимости представляют снижают Риски Данные и информация Документация безопасности Аппаратное обеспечение Программное обеспечение увеличивают Неавторизованный доступ в сеть Потенциальные Неавторизованное раскрытие информации действия Разрушение функций сети Мошеннические действия в сети Рисунок 5.2 - Концептуальная модель защиты информации в ЛВС Уязвимы практически все компоненты ЛВС: сетевые протоколы (TCP/IP, IPX/SPX, NetBIOS/SMB) и устройства (маршрутизаторы, коммутаторы), образующие сеть; операционные системы (Windows NT, Unix, Netware); базы данных (Oracle, Sybase, MS SQL server) и приложения. КТИБ.100503.27.КЗ Лист _ 26 Для построения концептуальной модели информационной безопасности не зависимо от того насколько простая или сложная информационная система, необходимо как минимум ответить на три вопроса: что защищать, от кого защищать и как защищать. Это обязательный минимум, которого может быть достаточно для небольших информационных систем. Однако принимая во внимание возможные последствия, то лучше выполнить построение полной концептуальной модель информационной безопасности, в которой необходимо определить: источники информации; приоритет или степень важности информации; источники угроз; цели угроз; угрозы; способы доступа; направления защиты; средства защиты; методы защиты. Построение концептуальной модели информационной безопасности принято разделять на несколько различных уровней. В большинстве случаев достаточно двух уровней - верхнего, организационно-управленческого, который охватывает всю организацию и корпоративную информационную систему, и нижнего или сервисного, который относится к отдельным подсистемам самой информационной системы и различным сервисам. Концепцию или программу верхнего уровня возглавляет лицо, напрямую отвечающее за информационную безопасность организации. В небольших организациях, это как правило сам руководитель организации, в более крупных эти обязанности выполняет или руководитель IT-подразделения, или непосредственно руководитель отдела по обеспечению КТИБ.100503.27.КЗ Лист ....................... |
Для получения полной версии работы нажмите на кнопку "Узнать цену"
Узнать цену | Каталог работ |
Похожие работы:
- Разработка программного комплекса оценки рисков информационной безопасности инновационного предприятия.
- Контроль обеспечения информационной безопасности хозяйствующего субъекта и разработка рекомендаций по повышению эффективности системы защиты информации предприятия
- Разработка комплекса мероприятий по обеспечению безопасности