Введение
1. Теоретическая часть
1.1. Анализ рисков информационной безопасности
1.2. Характеристика комплекса задач, задачи и обоснование
необходимости совершенствования системы обеспечения информационной
безопасности и защиты информации на предприятии
2. Практическая часть
2.1. Организационно-административная основа создания системы
обеспечения информационной безопасности и защиты информации
предприятия
2.2. Комплекс проектируемых программных средств обеспечения
информационной безопасности и защиты информации предприятия
Заключение
Список использованной литературы
Широкое использование в процессе информатизации общества современных методов и средств обработки информации создало не только объективные предпосылки для повышения эффективности всех видов деятельности личности, общества и государства, но и ряд проблем физической защиты, обеспечивающей требуемое ее качество. На протяжении последних лет в Российской Федерации (РФ) наблюдается стабильно высокий уровень преступлений, касающихся нарушения сохранности и безопасности различного рода объектов и имеющихся на них информационных и материальных ресурсов.
Обострение указанной проблемы демонстрируется широким распространением таких явлений, как несанкционированный доступ к ценным ресурсам и информации, содержащейся на различных носителях и циркулирующей в рамках какой-либо организации (в том числе, «прослушивание» помещений и линий связи), их хищение, а в некоторых случаях вредительство (вандализм). При этом, по данным экспертов, действия злоумышленников стали носить все более ухищренный, системно продуманный с точки зрения профессионализма характер, в то время как государственный аппарат по пресечению такого рода преступлений лишь недавно начал развиваться.
Известно, что первичная защита любых информационных ресурсов должна осуществляется за счёт реализуемых механизмов контроля физического доступа к объектам защиты. Поэтому особую важность приобретают аспекты, касающиеся систем физической защиты информации (СФЗИ) различного рода объектов и организации их эффективной работы.
Способность СФЗИ к эффективному функционированию, т. е. обеспечению требуемого уровня защищенности определенных ресурсов, должна закладываться разработчиками еще на этапе концептуального проектирования системы и корректироваться на остальных этапах ее жизненного цикла (эксплуатация, модернизация и т. д.). В любом случае должно быть обеспечено выполнение принципа превентивности: чем раньше и достовернее будет обнаружен источник угроз (злоумышленник) или попытка ее реализации и оценен ее масштаб, тем успешнее окажется отражение или локализация этой угрозы, то есть тем эффективнее будет СФЗИ.
Одним из важнейших этапов при проектировании СФЗИ является осуществление оптимального выбора средств для построения СФЗИ, при определенных ограничениях (эксплуатационных, технических, компромисса «эффективность-стоимость»), который должен выполняться с условием корректной работоспособности всей системы безопасности.
На данный момент, несмотря на обилие нормативных документов, единой системной методики концептуального проектирования СФЗИ и в частности методики выбора средств СФЗИ не существует, хотя именно на этом этапе принимаются основные стратегические положения по вариантам построения системы, от которых зависит оптимальность проектно-технических решений, производится оценка ее будущей эффективности и закладываются количественные и качественные характеристики технических средств обнаружения и защиты. Поэтому полноценное эффективное решение задач выбора состава средств СФЗИ возможно с позиций единого системно-концептуального подхода.
1. Теоретическая часть
1.1. Анализ рисков информационной безопасности
На этапе оценки рисков мы должны идентифицировать информационные активы, входящие в область оценки; определить ценность этих активов; определить перечень угроз и вероятность их реализации; произвести оценивание и ранжирование рисков.
Информационный актив – любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу, например: персональные данные; стратегическая информация, необходимая для достижения бизнес-целей; ноу-хау; коммерческая тайна; служебная тайна и т.д.
Для каждого актива необходимо определить владельца, который несет за него ответственность.
Стоит заметить, что на данном этапе большим подспорьем может служить документированное описание бизнес-процессов организации. Это позволит нам быстро идентифицировать информационные активы, вовлеченные в конкретный бизнес-процесс, а также определить задействованный в нем персонал. Если же бизнес-процессы в организации не документированы, то самое время начать это делать. Помимо практической пользы при внедрении системы управления рисками ИБ и СУИБ, перенос бизнес-процессов «на бумагу» часто помогает увидеть возможности по их оптимизации.
Определение ценности активов, а точнее, оценка степени тяжести последствий (СТП) от утраты активом свойств информационной безопасности - конфиденциальности, целостности или доступности - необходима нам для того, чтобы ответить на следующие вопросы: Сколько нам будет стоить «простой» системы в течение времени, требующегося на её восстановление? Каков будет ущерб, если эта информация станет известной конкурентам?
В настоящее время автоматизированная система функционирует в условиях локальной вычислительной сети на современных ПЭВМ и охватывает весь производственный цикл: от учета заявок на поставку изделий малой серии заказчикам до формирования подетальных планов цехам. Разработаны и успешно функционируют:
- подсистема формирования договоров на поставку изделий малой серии;
- подсистема формирования технологической документации для запуска изделия в производство (на межцеховом уровне);
- подсистема расчета потребности в покупных комплектующих изделиях, стандартных нормализованных деталях и материалах в стоимостном и натуральном выражении;
- подсистема учета товарно-материальных ценностей на складах материалов, покупных комплектующих изделий и готовой продукции;
- подсистема планирования работы цехов основного и вспомогательного производства;
- подсистема учета эксплуатационной надежности выпускаемых изделий.
Разработка модели угроз и идентификация уязвимостей неразрывно связаны с инвентаризацией окружения информационных активов организации. Сама собой информация не хранится и не обрабатывается. Доступ к ней обеспечивается при помощи информационной инфраструктуры, автоматизирующей бизнес-процессы организации. Важно понять, как информационная инфраструктура и информационные активы организации связаны между собой. С позиции управления ИБ значимость информационной инфраструктуры может быть установлена только после определения связи между информационными активами и инфраструктурой. В том случае, если процессы поддержания и эксплуатации информационной инфраструктуры в организации регламентированы и прозрачны, сбор информации, необходимый для идентификации угроз и оценки уязвимостей, значительно упрощается.
Разработка модели угроз - работа для профессионалов в области ИБ, которые хорошо представляют себе, каким образом нарушитель может получить неавторизованный доступ к информации, нарушая периметр защиты или действуя методами социальной инженерии. При разработке модели угроз можно также говорить о сценариях как о последовательных шагах, в соответствии с которыми могут быть реализованы угрозы. Очень редко случается, что угрозы реализуются в один шаг путем эксплуатации единственного уязвимого места системы.
В модель угроз следует включить все угрозы, выявленные по результатам смежных процессов управления ИБ, таких как управление уязвимостями и инцидентами. Нужно помнить, что угрозы необходимо будет ранжировать друг относительно друга по уровню вероятности их реализации. Для этого в процессе разработки модели угроз для каждой угрозы необходимо указать наиболее значимые факторы, существование которых оказывает влияние на ее реализацию.
Угрозы, с которыми может столкнуться предприятие, приведем на рисунке 1.1:
Рис.1.1 – Угрозы, с которыми может столкнуться предприятие
Источником случайных угроз может быть выход из строя аппаратных средств, неправильные действия работников ИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным.
Угрозы умышленные в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды.
В настоящее время для обеспечения защиты информации требуется реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия и т.д.). Комплексный характер защиты проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для них информацию.
Сегодня можно утверждать, что рождается новая современная технология – технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз ИС и ИТ.
Виды умышленных угроз безопасности информации:
Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.
Активные угрозы имеют целью нарушить нормальное функционирование ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в банках данных, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.
Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.
Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.
Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например стихийными бедствиями). По данным зарубежных источников, широкое распространение получил промышленный шпионаж – это наносящие ущерб владельцу коммерческой тайны незаконный сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем
1. ГОСТ Р 50922-96 Защита информации. Основные термины и определения.
2. Безруков Н.Н. Компьютерные вирусы - М.: ИНФРА-М, 2009.
3. Гайкович В., Першин А. Безопасность электронных систем. - М.: Единая Европа, 2009.
4. Диго С.М. Информатика – М.: Финансы и статистика, 2011.
5. Информатика: Учебник / Под ред. Н.В. Макаровой - М.: Финансы и статистика, 2007.
6. Колесников О.Э. Компьютер для делового человека. - M.: Яуза, 2011.
7. Левин В.К. Защита информации в информационно-вычислительных cистемах и сетях // Программирование – 2011, №4.
8. Литвинская О.С. Информатика – М.: ИНФРА-М, 2010.
9. Мостовой Д.Ю. Современные технологии борьбы с вирусами // Мир ПК – 2011, №8.
10. Таныгин М. О. Анализ угроз и выработка практических рекомендаций по построению программно–аппаратных средств защиты информации на постоянных носителях // Молодой ученый – 2010, №8.
11. Таныгин М.О. Анализ угроз и выработка практических рекомендаций по построению программно–аппаратных средств защиты информации на постоянных носителях // Молодой ученый – 2011, №9.
