Построение комплексных систем информационной безопасности

Размещено на http://www.allbest.ru/

Некоммерческое акционерное общество

«ИНСТИТУТ СИСТЕМ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ»

Кафедра Систем информационной безопасности

Курсовой проект

По дисциплине: Моделирование корпоративной комплексной системы защиты информации

На тему: Построение комплексных систем информационной безопасности

Выполнил:

Али А.К.

Алматы 2019



Содержание

Введение

1. Аналитическая часть

1.1 Описание и топология предметной области

1.2 Описание угроз информационной безопасности

1.3 Описание модели системы информационной безопасности

2. Проектная часть

2.1 Оценка рисков информационной безопасности

2.2 Меры защиты системы информационной безопасности

2.3 Обоснование эффективности выбранных решений реализации

2.4 Разработка рекомендаций по дальнейшей эксплуатации системы

Заключение

Список литературы



Введение

На сегодняшний день нет возможности построить неуязвимую систему информационной безопасности, но есть возможность преждевременно выявить атаку и предотвратить ее. Данных подход достигается за счет построения сильной системы информационной безопасности, в основу которой ложится комплексность. Под комплексностью подразумевается защита информации с разных стороны, т.е. безопасность информационных активов должна включать в себя программные, аппаратно-технические и физические средства защиты. Под программными средствами защиты информации понимаются:Firewall, шифровальщики, программы для мониторинга, сетевые программы и т.д. Под физическими средствами защиты информации понимаются: заборы, сейфы, КПП, охраняемые помещения и т.д. Под аппаратно-техническими средствами защиты информации понимаются: камеры видеонаблюдения,Firewall, системы оповещения и т.д.

Важной часть так же является экономическая оценка защищаемой информации. Дело в том, что для построения комплексной системы защиты информации необходимы большие инвестиции. Построение любой системы защиты информации это и есть экономические потери для руководителей любой организации. Поэтому нужно учитывать актуальность системы защиты информации, т.е. необходимо вычислить ценность информации для того что бы система защиты информации не была дороже чем сама информация, ибо нет смысла вкладывать большие финансы в систему защиты информации если сама информация ничего не стоит.

Следующим этапом в построении системы защиты информации является определение самих средств, которые будет включать эта система. Для эффективной работы системы информационной безопасности, все средства должны быть легки в понимании и не создавать между собой конфликт.

Так же одним из основных элементов системы защиты информации является юридическая сторона. Вся система защиты информации должна сопровождаться документами с описанием методик и технологий, принципов и практических приемов.Основным документом является “Политика безопасности”, второстепенными документами являются все документы дополняющие политику безопасности.



1. Аналитическая часть

1.1 Описание и топология предметной области

Аэропомрт-- комплекс сооружений, предназначенный для приёма, отправки, базирования воздушных судов и обслуживания воздушных перевозок, имеющий для этих целей аэродром, аэровокзал (в крупных аэропортах нередко несколько аэровокзалов), один или несколько грузовых терминалов и другие наземные сооружения, и необходимое оборудование.

Основными задачами аэропорта являются:

-выполнение работ и услуг по обслуживанию ВС отечественных и зару- бежных авиакомпаний, обслуживание пассажиров и технологических процес- сов, регулирование воздушного движения в зоне аэродрома;

-обеспечение и выполнение в зоне аэропорта требований авиационной безопасности;

-строительство и эксплуатационное содержание сооружений и объектов для обеспечения взлета, посадки, руления и стоянки ВС, а также для обеспе- чения деятельности служб аэропорта;

-организация и проведение аварийно-спасательных работ;

-осуществление мероприятий по охране окружающей среды на террито- рии аэропорта и сопредельной территории и пр.

Деятельность аэропортов осуществляется в интересах пассажиров и дру- гих клиентов - потребителей авиауслуг. Аэропорты должны удовлетворять потребности населения обслуживаемой территории в авиационных услугах, потребности авиатранспортного рынка при обеспечении безопасности жизни, здоровья, имущественных интересов пользователей и соблюдении при этом отечественных и международных норм, правил.

Технология работы аэропорта и его отдельных зданий и сооружений обес- печивает:

-обслуживание пассажирских, грузовых и почтовых перевозок;

-выполнение специальных авиационных работ;

-эксплуатацию воздушных судов;

-создание условий безопасного, экологически эффективного и гармо- ничного, с точки зрения экологических и санитарных норм, выполнения всех технологических процессов;

-создание социально-нормальных условий для пребывания пассажиров в аэропорту, в том числе для инвалидов и пожилых людей;

-сокращение времени пребывания в аэропорту пассажиров, грузов, по- чты и багажа;

-создание максимальных возможностей для обслуживающего персонала аэропорта и его служб по обеспечению выполнения технологических процессов;

-возможность размещения, функционирования и обслуживания высоко- производительного технологического оборудования, средств механизации и автоматизации технологических процессов;

-технологическое и организационное взаимодействие отдельных служб аэропорта;

-возможность организации и проведения мероприятий по гражданской обороне и предотвращению последствий чрезвычайных ситуаций;

-безопасные условия труда персонала аэропортов.

1.2 Описание угроз информационной безопасности

Основной задачей системы информационной безопасности является предотвращение нарушения трех основных принципов нацеленных на сохранение: конфиденциальности, целостности и доступности.

На сегодняшний день нет возможности построить неуязвимую систему информационной безопасности, но есть возможность преждевременно выявить атаку и предотвратить ее. Данных подход достигается за счет построения сильной системы информационной безопасности, в основу которой ложится комплексность. Под комплексностью подразумевается защита информации с разных стороны, т.е. безопасность информационных активов должна включать в себя программные, аппаратно-технические, физические и организационно-правовые средства защиты.

Программные средства защиты информации:

- Firewall;

- система шифрования

- программы для мониторинга сети и состояния информации;

-программы нацеленные мониторинг и защиту сети;

- система обнаружения вторжений;

- антивирусы.

Программно-аппаратные средства защиты информации:

- камеры видеонаблюдения;

- Firewall;

- система оповещения.

Физические средства защиты информации:

- заборы;

- двери;

- сейфы;

- защищенные от физического доступа помещения;

- КПП;

- карточная система пропуска;

Организационно-правовые средства защиты информации:

- политика безопасности;

- концепция политики безопасности;

- правила проведения аудитов;

- правила работы с конфиденциальной информацией;

- и другие документы сопровождающие политику безопасности.



Таблица 1 - Перечень активов

1	Сервер	2	700 000 тг.	ser
2	Рабочие станции	70	600 000 тг.	kom
3	Сеть LAN	1	20 000 тг.	lan
4	Firewall	7	20 000 тг.	fwr
5	БД	1	400 000 тг.	dba
6	Внутренние телефонные сети	3	120 000 тг.	net
7	Windows 10 x64 Professional	70	200 000 тг.	win
8	Веб сайт	1	140 000 тг.	web
9	Антивирусое ПО	70	70 000 тг.	atv
10	Специализированное ПОобработки данных	7	200 000 тг.	sot

Рисунок 1 - Структура редакция газета

Основной задачей системы информационной безопасности является предотвращение нарушения трех основных принципов, нацеленных на сохранение: конфиденциальности, целостности и доступности.

На сегодняшний день нет возможности построить неуязвимую систему информационной безопасности, но есть возможность преждевременно выявить атаку и предотвратить ее. Данных подход достигается за счет построения сильной системы информационной безопасности, в основу которой ложится комплексность. Под комплексностью подразумевается защита информации с разных стороны, т.е. безопасность информационных активов должна включать в себя программные, аппаратно-технические, физические и организационно-правовые средства защиты.

Рисунок 2 - Структура организации

Программно-аппаратные средства защиты информации:

- камеры видеонаблюдения;

- Firewall;

- система оповещения.

Физические средства защиты информации:

- двери;

- защищенные от физического доступа помещения;

- карточная система пропуска;

Организационно-правовые средства защиты информации:

- политика безопасности;

- концепция политики безопасности;

- правила проведения аудитов;

- правила работы с конфиденциальной информацией;

- и другие документы сопровождающие политику безопасности.

Программные средства защиты информации:

- Firewall;

- криптографические системы

- программы для мониторинга сети и состояния информации;

- программы, нацеленные мониторинг и защиту сети;

- система обнаружения вторжений;

- антивирусы.

Важной часть так же является экономическая оценка защищаемой информации. Дело в том, что для построения комплексной системы защиты информации необходимы большие инвестиции. Построение любой системы защиты информации это и есть экономические потери для руководителей любой организации. Поэтому нужно учитывать актуальность системы защиты информации, т.е. необходимо вычислить ценность информации для того что бы система защиты информации не была дороже чем сама информация, ибо нет смысла вкладывать большие финансы в систему защиты информации если сама информация ничего не стоит.

1.3 Описание модели системы информационной безопасности

Для того чтобы защитить пользователей от несанкционированного вторжения и хищения информационных ресурсов и конфиденциальных данных, специалистами была разработана модель информационной безопасности. Основа модели базируется на том факте, что современная информационная система представляет собой сложный многоуровневый механизм, который состоит из множества компонентов различной степени автономности. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Модель информационной безопасностипредусматривает план защиты каждого из этих компонентов. Компонентами информационной системы являются аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.); программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.; данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д. Модель информационной безопасности подразумевает следующие пути нарушения состояния защищённости: аварийные ситуации из-за стихийных бедствий и отключений электропитания; отказы и сбои аппаратуры; ошибки в программном обеспечении; ошибки в работе персонала; помехи в линиях связи из-за воздействий внешней среды; преднамеренные действия нарушителей. Информационная безопасность персональных данных должна быть обеспечена на всех уровнях угрозы - как преднамеренной, так и незапланированной. Модель информационной безопасностиразрабатывает механизмы и предусматривает практическую реализацию того, как будет осуществляться защита информационных правпользователя.

Информационная безопасность персональных данныхнаходится под угрозой, в первую очередь, в результате неправомерного доступа. Неправомерный доступ к файлам пользователя может быть осуществлен через слабые места в защите системы. Соответственно, самые распространённые преступления в сфере информационной безопасности - это несанкционированный доступ. Как правило, в таких случаях, используется любая ошибка в системе защиты, например, при неверном выборе систем защиты или неправильной их установке. Преступления в сфере информационной безопасностимогут осуществляться через человека: хищения носителей информации, чтение информации без разрешения владельца.

Рисунок 3 - Модели системы информационной безопасности

Через программу преступления в сфере информационной безопасностипроизводятся путём перехвата паролей, дешифровки зашифрованной информации, копированием информации с носителя. Хищение информации может происходить посредством подключения специально разработанных аппаратных средств доступа к информации или путём перехвата побочных электромагнитных излучений от аппаратуры. Кроме того, информационная безопасность персональных данных может подвергаться атаке со стороны компьютерных сетей, так распространяются известные виды троянских программ. Для компьютерных сетей характерно то, что против них предпринимаются удаленные атаки. Преступник может находиться вдали от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи. Специалисты в данных областях занимаются изучением средств, способных обезвредить многие виды вредоносных программ. информационный риск виртуальный сервер



2. Проектная часть

2.1 Оценка рисков информационной безопасности

Рисунок 3 - Формулы расчета рисков

Рисунок 4 - Общее значение, ценность актива

Матрица риска

Матрица риска -- это результат анализов и оценок рисков проекта, поэтому она является важным компонентом в управлении проектами.

Создала матрицу и оценила вероятность возникновения рисков и степень ущерба. Затем отдельно риски вводятся в систему координат в соответствии со значениями на сторонах матрицы.

Как принимать меры?

На матрице все риски располагаются в разных цветовых зонах:

· зелёные -- там, где не требуется никаких мер,

· жёлтые -- риски, которые нужно уменьшить,

· красные -- это неприемлемые риски, которые прямо угрожают проекту.

2 - таблица. Матрица возникновение рисков

2.2 Меры защиты системы информационной безопасности

Меры защиты, полученные при работе оценки рисков организации АО "Алматы - Аэропорт":

1) Разграничение доступа, организация парольной защиты

2) IDS (Система обнаружения ) -- программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. ,

3) Разграничение доступа, организация парольной защиты

4) SNORT - -- свободная сетевая система предотвращения вторжений и обнаружения вторжений с открытым исходным кодом, способная выполнять регистрацию пакетов и в реальном времени осуществлять анализ трафика в IP-сетях.

5) BitLocker - это функция полного шифрования, включенная в версии Microsoft Windows, начиная с Windows Vista. Он предназначен для защиты данных за счет шифрования целых томов. По умолчанию он использует алгоритм шифрования AES в цепочке блоков шифрования или в режиме XTS с 128-битным или 256-битным ключом.

6) Firewall - программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.

7) Advanced IP Scanner - - приложение для сканирования и определения всех устройств, подключенных к какой-либо локальной или виртуальной вычислительной сети.

8) Бэкап - процесс создания копии данных на носителе, предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

9) Шифрование данных алгоритм Blowfish - -- криптографический алгоритм, реализующий блочное симметричное шифрование с переменной длиной ключа.

10) Системы резервного восстановления БД

11) Криптомаршрутизатор ESR-ST - устройство в котором объединены функции VPN-шлюза, межсетевого экрана и мультифункционального сетевого устройства.

12) K-Lite Codec Tweak Tool - программа для работы с кодеками и фильтрами DirectShow, установленными в системе. С ее помощью можно обнаружить, включить/отключить или удалить те или иные кодеки. Но основное назначение K-Lite Codec Tweak Tool -- сканирование системного реестра на предмет наличия «битых» ссылок на кодеки и фильтры с последующим исправлением ситуации.

13) AVG Antivirus -- антивирусная система производства чешской компании AVG Technologies, имеющая сканер файлов, сканер электронной почты и поддерживающая возможность автоматического наблюдения.

14) Web Application Firewall (WAF) - - межсетевой экран, работающий на прикладном уровне и осуществляющий фильтрацию трафика Web-приложений. WAF направлен на блокирование атак, связанных с эксплуатацией уязвимостей исходного кода Web-приложения и, как правило, защищает Web-сервисы гораздо лучше обычных межсетевых экранов и средств обнаружения вторжений (IDS/IPS). WAF может быть представлен как в виде программного продукта, так и в виде аппаратного решения.

15) WASS - сканеры основной функцией которых является является анализ состояния защищенности веб-приложения, включающий в себя поиск уязвимостей, формирование отчетности по результатам проводимых сканирований, а также оперативное оповещение о найденных проблемах. Кроме того, некоторые WASS-сканеры позволяют оценивать соответствие безопасности веб-приложения различным стандартам (например, стандарт PCI DSS).

16) Software Update Monitor - программа предназначена для полного сканирования приложений на ПК и поиска их обновлений. После проверки в автоматическом режимы программа выдает полный список всех программ на компьютере, их версии и информацию о разработчиках.

Рисунок 5 - Меры защиты

2.3 Обоснование эффективности выбранных решений реализации

Концептуальная модель отвечает на общие вопросы и отражает схематично общую структуру модели информационной безопасности, на которой как на стержне строятся остальные модели и концепции информационной безопасности.

Построение концептуальной модели информационной безопасностивиртуального сервера принято разделять на несколько различных уровней. В большинстве случаев достаточно двух уровней -- верхнего, организационно-управленческого, который охватывает всю организацию и корпоративную информационную систему, и нижнего или сервисного, который относится к отдельным подсистемам самой информационной системы и различным сервисам.

Концепцию или программу верхнего уровня возглавляет лицо напрямую отвечающее за информационную безопасность организации. В небольших организациях, это как правило сам руководитель организации, в более крупных эти обязанности выполняет или руководитель IT-подразделения или непосредственно руководитель отдела по обеспечению информационной безопасности, если таковой отдел выделен в отдельную структуру.

Главная цель или концепция программы нижнего уровня это обеспечить надежную и экономически оправданную защиту информационных подсистем, конкретных сервисов или групп сервисов. На этом уровне принимаются решения по вопросам: какие механизмы, средства и методы защиты использовать, закупаются и устанавливаются технические средства, выполняется повседневное администрирование, мониторинг системы информационной безопасности в целом и отслеживание и состояние слабых мест, проводится первичное обучение персонала и т.п.

Обычно за программу нижнего уровня отвечают ответственные руководители подразделений по обеспечению информационной безопасности, системные администраторы и администраторы и руководители сервисов. Важнейшим действием на этом уровне является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться.



2.4 Разработка рекомендаций по дальнейшей эксплуатации системы

Так как постоянно развиваются технологии, появляются новые уязвимости, новые угрозы, новые методы защиты необходимо развивать информационную систему совместно с нововведениями. Данный путь поможет поддерживать систему защиты информации на должном уровне и избежать нарушения конфиденциальности, целостности и доступности.

№	Рекомендация
1	Для повышения надежности и выявления того что система защиты информации нуждается в модификации необходимо увеличить частоту проведения аудитов и ужесточения условий их проведения.
2	Необходимо производить работы над предотвращением появления новых рисков в информационной системе организации.
3	Необходимо повысить частоту проведения ознакомительных мероприятий с персоналом.
4	Необходимо произвести расширение памяти сервера для улучшения его функциональности и создания более сильных RAID массивов, с резервированием данных.
5	Система все еще подвержена многим атакам, необходимо произвести работы по устранению выявленных рисков.
6	Необходимо произвести расширение штаба для повышения производительности отеля.
7	Необходимо внедрить систему по ежемесячному смену парольных данных для повышения защиты от НСД.



Заключение

В данном курсовом проекте я произвела расчеты рисков своей организации с целью выявления уязвимостей информационной системы и их устранения. Подсчет рисков производился на основе двух методов: по двум параметрам и по трем параметрам. Результаты расчетов позволяют наглядно увидеть текущее состояние информационной системы организации. Далее были внедрены средства защиты, направленные на понижение рисков, которые были рассчитаны раньше. После выявления системы защиты информации необходимых для понижения рисков, был произведен перерасчет рисков по тем же самым методам. В результате перерасчета рисков с учетом внедренных систем защиты информации произошло их понижение до приемлемого уровня. Можно сделать вывод что данные методы расчетов рисков действительно являются полезными и позволяют увидеть текущее состояние информационной системы по отношению к защите информации.

На сегодняшний день нет возможности построить неуязвимую систему информационной безопасности, но есть возможность преждевременно выявить атаку и предотвратить ее. Данных подход достигается за счет построения сильной системы информационной безопасности, в основу которой ложится комплексность. Под комплексностью подразумевается защита информации с разных стороны, т.е. безопасность информационных активов должна включать в себя программные, аппаратно-технические и физические средства защиты. Под программными средствами защиты информации понимаются:Firewall, шифровальщики, программы для мониторинга, сетевые программы и т.д. Под физическими средствами защиты информации понимаются: заборы, сейфы, КПП, охраняемые помещения и т.д. Под аппаратно-техническими средствами защиты информации понимаются: камеры видеонаблюдения,Firewall, системы оповещения и т.д.

Важной часть так же является экономическая оценка защищаемой информации. Дело в том, что для построения комплексной системы защиты информации необходимы большие инвестиции. Построение любой системы защиты информации это и есть экономические потери для руководителей любой организации. Поэтому нужно учитывать актуальность системы защиты информации, т.е. необходимо вычислить ценность информации для того что бы система защиты информации не была дороже чем сама информация, ибо нет смысла вкладывать большие финансы в систему защиты информации если сама информация ничего не стоит.

Следующим этапом в построении системы защиты информации является определение самих средств, которые будет включать эта система. Для эффективной работы системы информационной безопасности, все средства должны быть легки в понимании и не создавать между собой конфликт.

Список литературы

1 Международный стандарт ISO 27001:2013 «Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования».

2 Международный стандарт ISO 27002:2013 Информационные технологии - Методы защиты - Свод рекомендуемых правил для управления информационной безопасностью

Размещено на Allbest.ru

...