Формирование концепции обеспечения информационной безопасности

Размещено на http://www.allbest.ru/

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

"ВОЛГОГРАДСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ"

Факультет подготовки инженерных кадров

Кафедра САПР и ПК

Дисциплина "Методы и средства защиты информации"

КОНТРОЛЬНАЯ РАБОТА

Формирование концепции обеспечения

информационной безопасности

Выполнил:

студент гр. АУЗ-364с

Алентьев М.В.

Проверил:

преподаватель каф.САПРиПК

В.В. Натров

Волгоград, 2013



Задание:

Организация: шинный завод. Дополнительно: система “банк-клиент”, конструкторское бюро, филиалы по стране, система бухгалтерского учёта "ИнфоБухгалтер"

Цель: научиться формировать концепцию обеспечения информационной безопасности.



Список используемых сокращений:

ГК - Головная компания

КС - Корпоративная сеть

ПО - Программное обеспечение

БД - База данных

ОС - Операционная система

НСД - Несанкционированный доступ

ТП - Техническая поддержка

ПК - Персональный компьютер

ЛВС - Локально-вычислительная сеть

ОИТ - Отдел информационных технологий.

ЗУК - Зарплата Управление и Кадры

информационная безопасность антивирусный идентификация



1. Ответственность за информационную безопасность

Ответственным за информационную безопасность ОРГАНИЗАЦИИ является Отдел информационных технологий (ОИТ) в составе:

1) начальник отдела ОИТ;

2) системный администратор;

3) специалист по ИБ;

4) программист Инфобухгалтер.

В каждом подразделение ответственным лицом на информационную безопасность подразделения является его руководитель. Он назначается соответствующим приказом по компании и уведомляется при приёме на соответствующую должность.

Безопасность предприятия в целом является прерогативой ответственности специалиста по Информационной безопасности.

Ответственным за неразглашение сведений конфиденциального характера, доступной по рабочей необходимости, является сотрудник предприятия, получивший доступ к этим сведениям, а чем составляется письменное свидетельство его согласия с подписью. Данный документ является обязательным при приёме на работу любого человека.

Мера ответственности за разглашение конфиденциальных данных или коммерческой тайны определяется законодательными актами Российской Федерации.



2. Положение о категорирование информации

Вся информация в ОРГАНИЗАЦИИ разделяется на открытую и конфиденциальную.

К конфиденциальной, в пределах данного предприятия относится:

1) информация, являющаяся коммерческой тайной организации;

2) информация о поставщиках и контрагентах;

3) личные данные сотрудников организации.

Более подробный перечень сведений конфиденциального характера предоставлен в приложении 1. Вышеупомянутый список должен быть утвержден руководителями каждого подразделения и предприятия, а так же соответствовать постановлениям правительства о защите личной информации сотрудников.

Каждый работник при приёме на работу должен быть ознакомлен с этим перечнем и в его договоре должен присутствовать раздел о личной ответственности за разглашение коммерческой тайны.

Изменения перечня осуществляется комиссией, состоящий из руководителей каждого подразделения и руководителя организации. После изменения перечня, в обязательном порядке с ними должны быть ознакомлены все сотрудники, несущие личную ответственность за разглашение коммерческой тайны.

К открытой информации относится, не содержащаяся в перечне или причисленная к таковой законодательными актами Российской Федерацией.



3. Доступ к информации и информационным ресурсам

В связи с наличием удаленных филиалов и соответственно широким распространением корпоративной сети, разграничение доступа к информационным ресурсам и внутренней информации будет производиться с помощью групповых политик (GPO). Это приводит к необходимости описания только нескольких групп (шаблонов), к которым и будут приводиться пользователи предприятия. Шаблоны приведены в следующей таблице:

№	Роль сотрудника	Управление торговлей	ЗУК
1	Руководитель	ЧТЕНИЕ	ЧТЕНИЕ
2	Гл. Бухгалтер	ПОЛНЫЙ	ПОЛНЫЙ
3	Гл. Экономист	ПОЛНЫЙ	ЧТЕНИЕ
4	Бухгалтер	ЧТЕНИЕ	ПОЛНЫЙ
5	Менеджер	ОГРАНИЧЕННЫЙ	НЕТУ
6	Отдел кадров	НЕТУ	ПОЛНЫЙ

В вышеуказанной таблице описано разграничение доступа к базе данных приятия. Любые изменения должны пройти согласование у руководителя отдела и далее у специалиста по ИБ.

Разграничение доступа к файловым ресурсам предприятия осуществляется в соответствии с отделом сотрудников, сотрудник каждого отдела имеет право на изменение файлов только в директории своего отдела. Особые привилегии могут быть получены аналогично с доступом к БД.

Так же необходима организация отдельной подсети с односторонним доступом для сотрудников конструкторского бюро. Доступ в данную подсеть не должен иметь никто, за исключением администраторов домена. Доступ из данной сети не должен противоречить закону о соблюдение коммерческой тайны.



4. Анализ рисков

4.1 Список возможных рисков информационной безопасности предприятия

В приложение 2 предоставлен перечень рисков информационной безопасности, который содержит некоторые примеры угроз и уязвимостей, связанных с целями и механизмами контроля из ISO/IEC 27002:2005. Этот перечень не является исчерпывающим и должен рассматриваться только в качестве примера, однако его более чем достаточно для проведения высокоуровневой оценки рисков.

Один из наиболее важных принципов заключается в том, что организация должна самостоятельно выбрать подходы к оценке и управлению рисками, которые должным образом учитывают и идентифицируют полный диапазон угроз и уязвимостей, имеющих отношение к ее бизнес-окружению и могут включать все или часть угроз и уязвимостей, приведенных в следующем перечне.

4.2 Оценка рисков информационно-технической безопасности предприятия

При оценивание рисков информационно технической безопасности следует учитывать не только риск возникновения угрозы, но и возможные последствия, которые могут оцениваться как в финансовом плане, так и во временных потерях от простоя оборудования. Оценка рисков будет осуществляться присвоением каждому риску некой цифры в диапазоне от 1 до 5, в зависимости от совокупности таких факторов, как:

1) вероятность возникновение угрозы;

2) сложность и стоимость механизмов защиты;

3) Последствия реализации данной угрозы на предприятие.

Например “Отсутствие резервного копирование БД” риск можно оценивать как маловероятным и присвоить ему цифру 1 т.е. вероятность того что это произойдёт при соблюдение элементарных правил информационно-технической безопасности крайне мала.

Для удобства чтения таблица с оценёнными рисками вынесена в приложение 3.

4.3 Выбор необходимого минимального уровня защищённости КС

Исходя из рисков информационной безопасности для реализации минимального уровня защищённости в соответствии с вероятными последствиями реализации угроз ИБ следует принять комплекс следующих превентивных мер, который сведёт к минимуму риски ИБ с уровнем 2 и ниже:

- мониторинг серверного и сетевого оборудование с целью выявления НСД или превышения допустимых корпоративными стандартами норм;

- всё внедряемое ПО должно быть протестировано перед вводом в промышленную эксплуатацию и не должно нарушать права чьей-либо интеллектуальной собственности;

- серверное помещение должно соответствовать нормам СН 512-78. Все условия ТБ должны вовремя и должным образом соблюдаться. Доступ к серверному помещению/оборудованию должен быть осуществлен с помощью пропускного режима и быть под круглосуточным видеонаблюдением;

- всё оборудование должно иметь дублирование и запас прочности. Вся информация представляющая коммерческую важность должна иметь резервные копии;

- почтовые сервера должно иметь контентную фильтрацию как на входящие так и на исходящие сообщения;

- устройства, с помощью которого осуществляется взаимодействия ЛВС и глобальной сети интернет должно иметь защиту от внешних воздействия со стороны злоумышленников;

- все сотрудники должны быть проинструктированы для работы в КС.

При соблюдение вышеуказанных превентивных мер остаётся необходимость в мониторинге и оперативном устранение следующих угроз ИБ предприятия:

- НСД к БД содержащей данные коммерческой тайны;

- подмена информации;

- нарушение режима безопасности злоумышленниками;

- аппаратные сбои серверного и пользовательского оборудования;

- НСД к ресурсам ЛВС;

- антропогенные катастрофы;

- кража информации;

- нарушение работоспособности систем или данных, несанкционированное изменение системной конфигурации, файлов данных, баз данных, отчетов со стороны инсайдеров.



5. Техническая защита информационных ресурсов

Техническую защиту можно информационных ресурсов можно разделить на несколько частей, которые будут по порядку рассмотрены.

5.1 Политика антивирусной безопасности

Антивирусное ПО должно быть установлено на всех персональных компьютерах имеющих доступ к КС. В КС должен присутствовать сервер администрирование антивирусного ПО, по средствам которого Антивирусные клиенты должны обновляться не реже, чем раз в день. Еженедельно должна производиться полная проверка рабочих станций предприятия. В связи с расположением филиалов по стране в различных часовых поясах, проверка добавленных файлов должна производиться при записи их на общий ресурс.

5.2 Политика подключения филиалов к КС

Подключение филиалов должно быть организовано с помощью аппаратных средств создание защищённого канала связи, таких как Сisco pix 515e. В каждом удалённом филиале с количеством пользователей более 20 человек должна быть реализована единая доменная сеть. Для связи должен быть использован канал пропускной способностью не менее 10 мегабит, через который так же должна быть с коммутирована телефонная связь с ГК.

5.3 Политика резервного копирования

В связи с централизованностью нахождения ресурсов компании, как БД так и файлового хранилища необходимо соблюдение следующих правил резервного копирования:

- полное резервного копирование БД должно производиться раз в неделю;

- каждый месяц должна записываться копия Базы на съёмный носитель, расположенный удалённо от ГК;

- количество резервных копий хранимых одновременно - 7;

- в течение недели текущая резервная копия должен обновляться каждый вечер в 20:00.



6. Идентификация и аутентификация пользователей

Идентификация и аутентификация пользователей в КС производиться при помощи соотношения учетной записи и Ф.И.О записанных в Active Directory. Учётная запись должна быть уникальна и не должна содержать кириллицу. Создание учётной записи должно производиться, только после принятия сотрудника в штат и после предоставления карточки сотрудника в ОИТ из отдела кадров.

Идентификация и аутентификация пользователей в системе при помощи ключевого съёмного носителя и соответственно пароля на каждую учетную запись . Связь системы “Банк - клиент” должна осуществляться по специально выделенному каналу связи с строго указанным портом для связи.

Для идентификации и аутентификации сотрудников конструкторского бюро должны быть предусмотрены смарт-карты в связи с необходимостью работы с информацией представляющей особую ценность. Так же необходимо наличие аудита файловой системы подсети КБ.

При создание уникального идентификатора учетной записи в КС необходимо наличие пароля. Длинна пароля должна быть не менее 8 символов и должна содержать: большие и малые буквы английского алфавита, цифры. Пароль, должен создаваться специалистом по ИБ и отдаваться в руки конечному пользователю, без сохранения его в ОИТ.



7. Порядок внесения изменений

Внесение изменений в текущий документ возможно только на собрание комиссии, состоящей из:

- руководитель предприятия;

- руководители каждого подразделения;

- сотрудники отдела ОИТ в полном составе.

Данная необходимость вызвана большим количеством аспектов затронутых данным документом. Внесение изменение не может быть осуществлено при отсутствие хотя бы одного из вышеуказанного списка.



Приложение 1

Список защищаемой информации:

- информация о банковских и проводимых торговых операциях;

- информация о договорах заключенных с компанией;

- информация о производстве (чертежи, схемы, сведения о материалах);

- информация о маркетинговой тактики предприятия;

- информация об экономическом развитии и инвестициях;

- информация об инновационных разработках;

- информация о лицензиях;

- информация о планирующемся развитии предприятия;

- информация о конкурентоспособности продукции.

Список защищаемых данных:

- база данных 1С ЗУК ;

- база данных 1С:управление торговлей;

- персональные данные;

- все данные имеющие прямое отношение к производству конечной продукции (Чертежи установок, химический состав материалов, затраты на производство);



Приложение 2

№	Наименование угрозы информационно-технической безопасности
1	НСД к БД содержащей данные коммерческой тайны
2	Подмена информации
3	Нежелательная корреспонденция
4	DDos- атаки
5	Нарушение режима безопасности злоумышленниками (атаки)
6	Сбои в электроснабжение
7	Отсутствие реализации отказоустойчивости серверов и массивов
8	Отсутствие резервного копирование БД
9	Уязвимости применяемого ПО
10	Аппаратные сбои серверного и пользовательского оборудования
11	Злоупотребление средствами аудита
12	Злоупотребление средствами обработки информации
13	Злоупотребление ресурсами или активами предприятия
14	НСД к ресурсам ЛВС
15	Кража информации
16	Антропогенные катастрофы
17	Активное и пассивное прослушивание каналов связи
18	Ошибка персонала ТП
19	Нарушение прав интеллектуальной собственности
20	Нарушение работоспособности систем или данных, несанкционированное изменение системной конфигурации, файлов данных, отчетов и т.п. со стороны внутренних нарушителей



Приложение 3

№	Наименование угрозы информационно-технической безопасности	Рейтинг
1	НСД к БД содержащей данные коммерческой тайны	5
2	Подмена информации	5
3	Нежелательная коррепонденция	1
4	DDos- атаки	2
5	Нарушение режима безопасности злоумышленниками (атаки)	5
6	Сбои в электроснабжение	2
7	Отсутствие реализации отказоустойчивости серверов и массивов	1
8	Отсутствие резервного копирование БД	1
9	Уязвимости применяемого ПО	2
10	Аппаратные сбои серверного и пользовательского оборудования	5
11	Злоупотребление средствами аудита	1
12	Злоупотребление средствами обработки информации	1
13	Злоупотребление ресурсами или активами предприятия	1
14	НСД к ресурсам ЛВС	3
15	Кража информации	5
16	Антропогенные катастрофы	4
17	Активное и пассивное прослушивание каналов связи	2
18	Ошибка персонала ТП	2
19	Нарушение прав интеллектуальной собственности	1
20	Нарушение работоспособности систем или данных, несанкционированное изменение системной конфигурации, файлов данных, отчетов и т.п. со стороны внутренних нарушителей	4

Размещено на Allbest.ru

...