Анализ рисков информационной безопасности

Изучение возможностей программных комплексов для оценки уровня рисков, выявление принципов их функционирования. Разработка программы с набором улучшенных параметров и характеристик, помогающих оценить уровень информационных угроз и вариантов их защиты.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 19.02.2019
Размер файла 16,7 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Институт технологий (филиал) ДГТУ г. Волгодонска, Россия

Анализ рисков информационной безопасности

студентка 4-го курса Якимова И.С.

к.т.н., доцент Семенов В.В.

Тематика данной работы связана с анализом существующих уязвимостей информационной безопасности. Актуальность этого направления определяется потребностью в защите информации от несанкционированного доступа.

В настоящее время существует очень высокая потребность в защите информации.

Отсюда цель данной работы - анализ существующих угроз информационной безопасности, изучение возможностей существующих программных комплексов для оценки уровня рисков и выявление принципов их функционирования, а так же разработка альтернативной программы с набором улучшенных параметров и характеристик, помогающих оценить уровень информационных угроз и вариантов их защиты.

Современный мир невозможно представить без компьютеров. Они действительно облегчают часть работы человека. Главной их задачей является автоматизировать работу выполняемую людьми. Тем самым позволяет не тратить силы и время на выполнение рутинных задач. Но прогресс не стоит на месте и компьютеры модернизируются, а это значит, что они с лёгкостью могут выполнять и более сложные задания. И тем самым появляется высокая вероятность несанкционированного доступа к информации (деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации НСД) [1].

Все чаще нам приходится сталкиваться с таким понятием как риски. Риски - это намеренное проникновение в информационную систему с целью нанести непоправимый ущерб организации. За последние годы актуальность этого понятия возросла, это связано с появлением новых разновидностей угроз наносящим вред корпоративным информационным системам (КИС).

Например: информационный угроза защита программа

- риск утечки конфиденциальной информации;

- риск потери важных данных или недоступности их;

- риск распространения ложной информации наносящей вред организации.

Необходимо учитывать специфику деления рисков на внешние и внутренние угрозы. К внешним факторам относится:

- НСД со стороны заинтересованных отдельных лиц, организаций;

- Компьютерные вирусы и другие вредоносные программы;

- Стихийные бедствия.

Внутренние факторы:

- Ошибки пользователей, сисадминов;

- Ошибки, возникающие в программном обеспечении;

- Различные виды сбоев;

- Нарушение сотрудниками стандартов по работе с информацией.

Для функциональной работы организации необходимо выполнять следующий разработанный комплекс мероприятий по защите информации:

1. Проводить регулярные совещания руководителей по вопросам обеспечения информационной безопасности, на которых следует рассматривать вопросы, связанные с политикой безопасности. Изучать и анализировать инциденты в области безопасности.

2. Назначить ответственное лицо или группу работников, которые будут заниматься вопросами информационной безопасности.

3. Разработать конкретный порядок действий для обеспечения безопасности организации

4. Поддерживать контакт с правоохранительными органами, поставщиками информационного оборудования, телекоммуникационными операторами, для того чтобы своевременно получить рекомендации в случае инцидента в системе

5. Производить строгий контроль на наличие доступа сторонних организаций к информационным ресурсам предприятия.

6. Необходимо выявить основные угрозы и меры защищенности от них.

7. Необходимо ввести учет криптографических ключей безопасности.

8. Обеспечить безопасность для мобильных компьютеров и пользователей при удаленной работе.

9. Задать необходимое количество часов работы компьютеров на предприятии.

10. Защитить журналы регистрации от таких инцидентов как. Изменение или удаление журналов, выведение из строя системы.

11. Ежедневно проводить мониторинг систем.

12. Расширить параметры фиксирования событий при входе и работе с системой (индикатор пользователя, дата и время входа и выхода, регистрация попыток входа в систему удачных и неудачных, регистрация попыток доступа к защищенным папкам и файлам)

Также необходимо донести до сотрудников информацию об уголовной ответственности, которая наступает в случае не соблюдения регламентируемых требований в сфере информационной безопасности.

Статья 25. Федерального закона "Об обеспечении информационной безопасности" гласит о том, что за правонарушения в сфере обеспечения информационной безопасности необходимо привлечь лица, нарушившие указанные права и свободы, к гражданской, уголовной и административной ответственности в соответствии с законодательством Российской Федерации [3].

В случае разглашения или использования сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе. Наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до 3-х лет [3].

Существуют различные виды программ специализирующихся на анализе рисков информационной безопасности. Например, Digital Security Office, DeviceLock Endpoint DLP и др.

Digital Security Office - это совокупность программ, которые помогают производить комплексные вычисления, различные анализы рисков, управление политиками безопасности [2, 4].

DLP - технология предотвращающая, утечки конфиденциальной информации за пределы корпоративной сети [5].

Использование этих программных комплексов существенно повлияло бы на защиту информации и предотвращение различных видов утечек. Но бесплатных программ в наличии нет. Ценовая политика колеблется от 40 тыс. руб. до 100000 тыс. руб. и выше. Не каждая организация может себе позволить лицензионное программное обеспечение. Следственно возникает потребность в альтернативной программе с набором улучшенных параметров и характеристик, помогающих оценить уровень информационных угроз и вариантов их защиты, доступную для всех желающих.

Для того чтобы создать такую программу необходимо:

1. Изучить все характеристики, параметры, возможности программных комплексов специализирующихся на анализе рисков информационной безопасности;

2. Произвести мониторинг всевозможных инцидентов произошедших в информационных технологиях;

3. Разработать комплекс мероприятий, способствующий защите информации.

4. Ознакомится с международными стандартами, постановлениями информационной безопасности;

5. Сравнить технические характеристики разработанного комплекса мероприятий и международный стандарт ISO/IEC 17799:2005 на наличие возникающих противоречий;

6. Создать алгоритмы функционирования программного продукта и их реализацию на языке высокого уровня.

В настоящий момент авторами разрабатывается такой программный продукт.

Список использованных источников

1. Понятие несанкционированного доступа. [Электронный ресурс]: НОУ ИНТУИТ Лекция 9: Угрозы НСД лингвистических услуг, 2016. URL: https://www.intuit.ru/studies/courses/2291/591/lecture/12691

2. Обзор комплекса для оценки уровня рисков в информационной системе ГРИФ 2005.[Электронный ресурс]. URL: http://www.ixbt.com/soft/grif2005.shtml

3. Уголовная ответственность за преступления в информационной сфере. URL: https://www.intuit.ru/studies/courses/3601/843/lecture/31533?page=4 (дата обращения: 16.12.2017)

4. Digital Security Office. URL: https://dsec.ru/certification/certification-according-to-iso-27001/#1 (дата обращения: 16.12.2017)

5. DLP. URL: https://dsec.ru/certification/certification-according-to-iso-27001/#1 (дата обращения: 16.12.2017)

Размещено на Allbest.ru

...

Подобные документы

  • Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.

    дипломная работа [207,4 K], добавлен 02.08.2012

  • Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.

    курсовая работа [190,1 K], добавлен 25.11.2013

  • Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.

    курсовая работа [57,4 K], добавлен 13.11.2009

  • Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.

    дипломная работа [746,7 K], добавлен 09.11.2016

  • Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

    дипломная работа [4,5 M], добавлен 19.12.2012

  • Основы защиты компьютерной информации: основные понятия и определения. Классификация угроз безопасности информации. Формы и источники атак на объекты информационных систем. Анализ угроз и каналов утечки информации. Анализ рисков и управление ими.

    курс лекций [60,3 K], добавлен 31.10.2009

  • Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

    курсовая работа [28,2 K], добавлен 17.05.2016

  • Особенности защиты информации при построении локальных сетей государственных учреждений, анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности, особенности программных средств защиты, реализующих технологию VPN.

    курсовая работа [762,8 K], добавлен 21.06.2011

  • Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.

    презентация [200,6 K], добавлен 27.12.2010

  • Разработка самообучающейся интеллектуальной информационной системы для анализа кредитоспособности заемщика и оценки кредитных рисков на основе подхода иммунокомпьютинга. Применение процедур кластеризации, классификации и формирования оценок рисков.

    курсовая работа [822,3 K], добавлен 09.06.2012

  • Анализ угроз и проблем информационной безопасности, технологий защиты информационных систем. Применение данных технологий для пресечения возможных нарушителей и угроз. Выработка требований к технологиям в системе Э-Правительства Кыргызской Республики.

    магистерская работа [2,5 M], добавлен 16.05.2015

  • Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.

    курсовая работа [2,4 M], добавлен 30.10.2009

  • Понятие антивирусной защиты информационной инфраструктуры, виды возможных угроз. Характеристика программного обеспечения, используемого в ПАО "РОСБАНК". Средства защиты информационных ресурсов банка от угроз нарушения целостности или конфиденциальности.

    курсовая работа [350,6 K], добавлен 24.04.2017

  • Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

    курсовая работа [269,0 K], добавлен 24.04.2015

  • Понятие компьютерной преступности. Основные понятия защиты информации и информационной безопасности. Классификация возможных угроз информации. Предпосылки появления угроз. Способы и методы защиты информационных ресурсов. Типы антивирусных программ.

    курсовая работа [269,7 K], добавлен 28.05.2013

  • Разработка требований к информационной системе. Бизнес-процессы "сервисное обслуживание клиентов" и "закупка сырья и материалов", их анализ. Выявление проблемных зон и оценка рисков. Описание доступных на рынке информационных систем для автосервиса.

    дипломная работа [2,0 M], добавлен 03.07.2017

  • Концепция обеспечения безопасности информации в ООО "Нейрософт"; разработка системы комплексной защиты. Информационные объекты фирмы, степень их конфиденциальности, достоверности, целостности; определение источников угроз и рисков, выбор средств защиты.

    курсовая работа [458,9 K], добавлен 23.05.2013

  • Рассмотрение основных понятий защиты информации в сетях. Изучение видов существующих угроз, некоторых особенностей безопасности компьютерных сетей при реализации программных злоупотреблений. Анализ средств и методов программной защиты информации.

    дипломная работа [1,5 M], добавлен 19.06.2015

  • Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.

    дипломная работа [2,5 M], добавлен 31.10.2016

  • Классификация основных рисков, их идентификация. Планирование и оценка рисков информационной системы в организации, принятие мер для устранения рисков. Определение точки безубыточности проекта. Расчет цены потерь и вероятности наступления риска.

    лабораторная работа [381,2 K], добавлен 20.01.2016

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.