Формирование концепции обеспечения информационной безопасности

Анализ информационной безопасности компании и рисков. Выбор минимального уровня защищённости КС. Техническая защита информационных ресурсов: политика антивирусной безопасности подключения филиалов к КС, резервного копирования. Идентификация пользователей.

Рубрика Программирование, компьютеры и кибернетика
Вид контрольная работа
Язык русский
Дата добавления 27.01.2014
Размер файла 29,5 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

"ВОЛГОГРАДСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ"

Факультет подготовки инженерных кадров

Кафедра САПР и ПК

Дисциплина "Методы и средства защиты информации"

КОНТРОЛЬНАЯ РАБОТА

Формирование концепции обеспечения

информационной безопасности

Выполнил:

студент гр. АУЗ-364с

Алентьев М.В.

Проверил:

преподаватель каф.САПРиПК

В.В. Натров

Волгоград, 2013

Задание:

Организация: шинный завод. Дополнительно: система “банк-клиент”, конструкторское бюро, филиалы по стране, система бухгалтерского учёта "ИнфоБухгалтер"

Цель: научиться формировать концепцию обеспечения информационной безопасности.

Список используемых сокращений:

ГК - Головная компания

КС - Корпоративная сеть

ПО - Программное обеспечение

БД - База данных

ОС - Операционная система

НСД - Несанкционированный доступ

ТП - Техническая поддержка

ПК - Персональный компьютер

ЛВС - Локально-вычислительная сеть

ОИТ - Отдел информационных технологий.

ЗУК - Зарплата Управление и Кадры

информационная безопасность антивирусный идентификация

1. Ответственность за информационную безопасность

Ответственным за информационную безопасность ОРГАНИЗАЦИИ является Отдел информационных технологий (ОИТ) в составе:

1) начальник отдела ОИТ;

2) системный администратор;

3) специалист по ИБ;

4) программист Инфобухгалтер.

В каждом подразделение ответственным лицом на информационную безопасность подразделения является его руководитель. Он назначается соответствующим приказом по компании и уведомляется при приёме на соответствующую должность.

Безопасность предприятия в целом является прерогативой ответственности специалиста по Информационной безопасности.

Ответственным за неразглашение сведений конфиденциального характера, доступной по рабочей необходимости, является сотрудник предприятия, получивший доступ к этим сведениям, а чем составляется письменное свидетельство его согласия с подписью. Данный документ является обязательным при приёме на работу любого человека.

Мера ответственности за разглашение конфиденциальных данных или коммерческой тайны определяется законодательными актами Российской Федерации.

2. Положение о категорирование информации

Вся информация в ОРГАНИЗАЦИИ разделяется на открытую и конфиденциальную.

К конфиденциальной, в пределах данного предприятия относится:

1) информация, являющаяся коммерческой тайной организации;

2) информация о поставщиках и контрагентах;

3) личные данные сотрудников организации.

Более подробный перечень сведений конфиденциального характера предоставлен в приложении 1. Вышеупомянутый список должен быть утвержден руководителями каждого подразделения и предприятия, а так же соответствовать постановлениям правительства о защите личной информации сотрудников.

Каждый работник при приёме на работу должен быть ознакомлен с этим перечнем и в его договоре должен присутствовать раздел о личной ответственности за разглашение коммерческой тайны.

Изменения перечня осуществляется комиссией, состоящий из руководителей каждого подразделения и руководителя организации. После изменения перечня, в обязательном порядке с ними должны быть ознакомлены все сотрудники, несущие личную ответственность за разглашение коммерческой тайны.

К открытой информации относится, не содержащаяся в перечне или причисленная к таковой законодательными актами Российской Федерацией.

3. Доступ к информации и информационным ресурсам

В связи с наличием удаленных филиалов и соответственно широким распространением корпоративной сети, разграничение доступа к информационным ресурсам и внутренней информации будет производиться с помощью групповых политик (GPO). Это приводит к необходимости описания только нескольких групп (шаблонов), к которым и будут приводиться пользователи предприятия. Шаблоны приведены в следующей таблице:

Роль сотрудника

Управление торговлей

ЗУК

1

Руководитель

ЧТЕНИЕ

ЧТЕНИЕ

2

Гл. Бухгалтер

ПОЛНЫЙ

ПОЛНЫЙ

3

Гл. Экономист

ПОЛНЫЙ

ЧТЕНИЕ

4

Бухгалтер

ЧТЕНИЕ

ПОЛНЫЙ

5

Менеджер

ОГРАНИЧЕННЫЙ

НЕТУ

6

Отдел кадров

НЕТУ

ПОЛНЫЙ

В вышеуказанной таблице описано разграничение доступа к базе данных приятия. Любые изменения должны пройти согласование у руководителя отдела и далее у специалиста по ИБ.

Разграничение доступа к файловым ресурсам предприятия осуществляется в соответствии с отделом сотрудников, сотрудник каждого отдела имеет право на изменение файлов только в директории своего отдела. Особые привилегии могут быть получены аналогично с доступом к БД.

Так же необходима организация отдельной подсети с односторонним доступом для сотрудников конструкторского бюро. Доступ в данную подсеть не должен иметь никто, за исключением администраторов домена. Доступ из данной сети не должен противоречить закону о соблюдение коммерческой тайны.

4. Анализ рисков

4.1 Список возможных рисков информационной безопасности предприятия

В приложение 2 предоставлен перечень рисков информационной безопасности, который содержит некоторые примеры угроз и уязвимостей, связанных с целями и механизмами контроля из ISO/IEC 27002:2005. Этот перечень не является исчерпывающим и должен рассматриваться только в качестве примера, однако его более чем достаточно для проведения высокоуровневой оценки рисков.

Один из наиболее важных принципов заключается в том, что организация должна самостоятельно выбрать подходы к оценке и управлению рисками, которые должным образом учитывают и идентифицируют полный диапазон угроз и уязвимостей, имеющих отношение к ее бизнес-окружению и могут включать все или часть угроз и уязвимостей, приведенных в следующем перечне.

4.2 Оценка рисков информационно-технической безопасности предприятия

При оценивание рисков информационно технической безопасности следует учитывать не только риск возникновения угрозы, но и возможные последствия, которые могут оцениваться как в финансовом плане, так и во временных потерях от простоя оборудования. Оценка рисков будет осуществляться присвоением каждому риску некой цифры в диапазоне от 1 до 5, в зависимости от совокупности таких факторов, как:

1) вероятность возникновение угрозы;

2) сложность и стоимость механизмов защиты;

3) Последствия реализации данной угрозы на предприятие.

Например “Отсутствие резервного копирование БД” риск можно оценивать как маловероятным и присвоить ему цифру 1 т.е. вероятность того что это произойдёт при соблюдение элементарных правил информационно-технической безопасности крайне мала.

Для удобства чтения таблица с оценёнными рисками вынесена в приложение 3.

4.3 Выбор необходимого минимального уровня защищённости КС

Исходя из рисков информационной безопасности для реализации минимального уровня защищённости в соответствии с вероятными последствиями реализации угроз ИБ следует принять комплекс следующих превентивных мер, который сведёт к минимуму риски ИБ с уровнем 2 и ниже:

- мониторинг серверного и сетевого оборудование с целью выявления НСД или превышения допустимых корпоративными стандартами норм;

- всё внедряемое ПО должно быть протестировано перед вводом в промышленную эксплуатацию и не должно нарушать права чьей-либо интеллектуальной собственности;

- серверное помещение должно соответствовать нормам СН 512-78. Все условия ТБ должны вовремя и должным образом соблюдаться. Доступ к серверному помещению/оборудованию должен быть осуществлен с помощью пропускного режима и быть под круглосуточным видеонаблюдением;

- всё оборудование должно иметь дублирование и запас прочности. Вся информация представляющая коммерческую важность должна иметь резервные копии;

- почтовые сервера должно иметь контентную фильтрацию как на входящие так и на исходящие сообщения;

- устройства, с помощью которого осуществляется взаимодействия ЛВС и глобальной сети интернет должно иметь защиту от внешних воздействия со стороны злоумышленников;

- все сотрудники должны быть проинструктированы для работы в КС.

При соблюдение вышеуказанных превентивных мер остаётся необходимость в мониторинге и оперативном устранение следующих угроз ИБ предприятия:

- НСД к БД содержащей данные коммерческой тайны;

- подмена информации;

- нарушение режима безопасности злоумышленниками;

- аппаратные сбои серверного и пользовательского оборудования;

- НСД к ресурсам ЛВС;

- антропогенные катастрофы;

- кража информации;

- нарушение работоспособности систем или данных, несанкционированное изменение системной конфигурации, файлов данных, баз данных, отчетов со стороны инсайдеров.

5. Техническая защита информационных ресурсов

Техническую защиту можно информационных ресурсов можно разделить на несколько частей, которые будут по порядку рассмотрены.

5.1 Политика антивирусной безопасности

Антивирусное ПО должно быть установлено на всех персональных компьютерах имеющих доступ к КС. В КС должен присутствовать сервер администрирование антивирусного ПО, по средствам которого Антивирусные клиенты должны обновляться не реже, чем раз в день. Еженедельно должна производиться полная проверка рабочих станций предприятия. В связи с расположением филиалов по стране в различных часовых поясах, проверка добавленных файлов должна производиться при записи их на общий ресурс.

5.2 Политика подключения филиалов к КС

Подключение филиалов должно быть организовано с помощью аппаратных средств создание защищённого канала связи, таких как Сisco pix 515e. В каждом удалённом филиале с количеством пользователей более 20 человек должна быть реализована единая доменная сеть. Для связи должен быть использован канал пропускной способностью не менее 10 мегабит, через который так же должна быть с коммутирована телефонная связь с ГК.

5.3 Политика резервного копирования

В связи с централизованностью нахождения ресурсов компании, как БД так и файлового хранилища необходимо соблюдение следующих правил резервного копирования:

- полное резервного копирование БД должно производиться раз в неделю;

- каждый месяц должна записываться копия Базы на съёмный носитель, расположенный удалённо от ГК;

- количество резервных копий хранимых одновременно - 7;

- в течение недели текущая резервная копия должен обновляться каждый вечер в 20:00.

6. Идентификация и аутентификация пользователей

Идентификация и аутентификация пользователей в КС производиться при помощи соотношения учетной записи и Ф.И.О записанных в Active Directory. Учётная запись должна быть уникальна и не должна содержать кириллицу. Создание учётной записи должно производиться, только после принятия сотрудника в штат и после предоставления карточки сотрудника в ОИТ из отдела кадров.

Идентификация и аутентификация пользователей в системе при помощи ключевого съёмного носителя и соответственно пароля на каждую учетную запись . Связь системы “Банк - клиент” должна осуществляться по специально выделенному каналу связи с строго указанным портом для связи.

Для идентификации и аутентификации сотрудников конструкторского бюро должны быть предусмотрены смарт-карты в связи с необходимостью работы с информацией представляющей особую ценность. Так же необходимо наличие аудита файловой системы подсети КБ.

При создание уникального идентификатора учетной записи в КС необходимо наличие пароля. Длинна пароля должна быть не менее 8 символов и должна содержать: большие и малые буквы английского алфавита, цифры. Пароль, должен создаваться специалистом по ИБ и отдаваться в руки конечному пользователю, без сохранения его в ОИТ.

7. Порядок внесения изменений

Внесение изменений в текущий документ возможно только на собрание комиссии, состоящей из:

- руководитель предприятия;

- руководители каждого подразделения;

- сотрудники отдела ОИТ в полном составе.

Данная необходимость вызвана большим количеством аспектов затронутых данным документом. Внесение изменение не может быть осуществлено при отсутствие хотя бы одного из вышеуказанного списка.

Приложение 1

Список защищаемой информации:

- информация о банковских и проводимых торговых операциях;

- информация о договорах заключенных с компанией;

- информация о производстве (чертежи, схемы, сведения о материалах);

- информация о маркетинговой тактики предприятия;

- информация об экономическом развитии и инвестициях;

- информация об инновационных разработках;

- информация о лицензиях;

- информация о планирующемся развитии предприятия;

- информация о конкурентоспособности продукции.

Список защищаемых данных:

- база данных 1С ЗУК ;

- база данных 1С:управление торговлей;

- персональные данные;

- все данные имеющие прямое отношение к производству конечной продукции (Чертежи установок, химический состав материалов, затраты на производство);

Приложение 2

Наименование угрозы информационно-технической безопасности

1

НСД к БД содержащей данные коммерческой тайны

2

Подмена информации

3

Нежелательная корреспонденция

4

DDos- атаки

5

Нарушение режима безопасности злоумышленниками (атаки)

6

Сбои в электроснабжение

7

Отсутствие реализации отказоустойчивости серверов и массивов

8

Отсутствие резервного копирование БД

9

Уязвимости применяемого ПО

10

Аппаратные сбои серверного и пользовательского оборудования

11

Злоупотребление средствами аудита

12

Злоупотребление средствами обработки информации

13

Злоупотребление ресурсами или активами предприятия

14

НСД к ресурсам ЛВС

15

Кража информации

16

Антропогенные катастрофы

17

Активное и пассивное прослушивание каналов связи

18

Ошибка персонала ТП

19

Нарушение прав интеллектуальной собственности

20

Нарушение работоспособности систем или данных, несанкционированное изменение системной конфигурации, файлов данных, отчетов и т.п. со стороны внутренних нарушителей

Приложение 3

Наименование угрозы информационно-технической безопасности

Рейтинг

1

НСД к БД содержащей данные коммерческой тайны

5

2

Подмена информации

5

3

Нежелательная коррепонденция

1

4

DDos- атаки

2

5

Нарушение режима безопасности злоумышленниками (атаки)

5

6

Сбои в электроснабжение

2

7

Отсутствие реализации отказоустойчивости серверов и массивов

1

8

Отсутствие резервного копирование БД

1

9

Уязвимости применяемого ПО

2

10

Аппаратные сбои серверного и пользовательского оборудования

5

11

Злоупотребление средствами аудита

1

12

Злоупотребление средствами обработки информации

1

13

Злоупотребление ресурсами или активами предприятия

1

14

НСД к ресурсам ЛВС

3

15

Кража информации

5

16

Антропогенные катастрофы

4

17

Активное и пассивное прослушивание каналов связи

2

18

Ошибка персонала ТП

2

19

Нарушение прав интеллектуальной собственности

1

20

Нарушение работоспособности систем или данных, несанкционированное изменение системной конфигурации, файлов данных, отчетов и т.п. со стороны внутренних нарушителей

4

Размещено на Allbest.ru

...

Подобные документы

  • Постоянный рост темпов развития и распространения информационных технологий. Концепции информационной безопасности. Объектами защиты на предприятии. Структура, состав и принципы обеспечения информационной безопасности. Постоянный визуальный мониторинг.

    реферат [78,4 K], добавлен 23.07.2013

  • Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

    курсовая работа [28,2 K], добавлен 17.05.2016

  • Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

    дипломная работа [4,5 M], добавлен 19.12.2012

  • Анализ рисков информационной безопасности. Идентификация уязвимостей активов. Оценка существующих и планируемых средств защиты. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности.

    дипломная работа [1,1 M], добавлен 03.04.2013

  • Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.

    курсовая работа [190,1 K], добавлен 25.11.2013

  • Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.

    реферат [51,5 K], добавлен 20.01.2014

  • Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа [319,1 K], добавлен 07.10.2016

  • Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.

    контрольная работа [27,8 K], добавлен 26.02.2016

  • Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

    реферат [30,0 K], добавлен 15.11.2011

  • Государственная политика в сфере формирования информационных ресурсов. Выбор комплекса задач информационной безопасности. Система проектируемых программно–аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.

    курсовая работа [605,0 K], добавлен 23.04.2015

  • Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.

    курсовая работа [2,2 M], добавлен 17.09.2010

  • Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.

    статья [15,9 K], добавлен 24.09.2010

  • Исследование системы безопасности предприятия ООО "Информационное партнерство". Организационная структура компании, направления обеспечения информационной безопасности. Используемые средства защиты; методы нейтрализации и устранения основных угроз.

    курсовая работа [149,1 K], добавлен 18.08.2014

  • Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

    курсовая работа [269,0 K], добавлен 24.04.2015

  • Основные принципы и условия обеспечения информационной безопасности. Защита информации от несанкционированного и преднамеренного воздействия, от утечки, разглашения и иностранной разведки. Цели, задачи и принципы системы ИБ. Понятие политики безопасности.

    презентация [118,4 K], добавлен 19.01.2014

  • Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.

    курсовая работа [30,4 K], добавлен 03.02.2011

  • Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.

    курсовая работа [57,4 K], добавлен 13.11.2009

  • Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.

    дипломная работа [1,1 M], добавлен 15.09.2012

  • Понятие информации и информатизации. Современная концепция безопасности и характеристика средств обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида.

    дипломная работа [208,6 K], добавлен 26.01.2013

  • Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.

    презентация [223,8 K], добавлен 11.04.2018

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.