- •Кафедра прикладной математики и информационных систем а.Н. Силаенков Учебное пособие для выполнения курсовой работы
- •«Информационная безопасность»
- •080801 «Прикладная информатика в экономике » Омск 2009
- •Введение
- •1. Назначение и задачи курсовой работы
- •2. Содержание курсовой работы
- •2.1. Организация курсовой работы
- •2.2. Исходные данные к курсовой работе
- •3. Формирование требований к проектируемой системе защиты информации
- •4. Проектирование системы иб
- •Подсистема межсетевого экранирования
- •Подсистема защиты Web-ресурсов
- •Внутренняя безопасность
- •Аутентификация и авторизация
- •Вредоносный код
- •Контроль и фильтрация трафика
- •Управление компонентами системы иб
- •Этапы работ по проектированию системы иб
- •Создание политики иб
- •Состав и содержание текстовой части тз исб
- •5. Разработка технического проекта системы иб
- •6. Содержание пояснительной записки
- •Оформление текстовых документов
- •6.7. Оформление курсовой работы
- •14. Структура системы информационной безопасности
- •Подсистема резервного копирования и архивирования.
- •Подсистема защиты электронной почты.
- •Подсистема обнаружения атак
- •Подсистема управления информационной безопасностью, централизованного мониторинга и аудита событий
- •Подсистема защиты каналов передачи данных
- •Подсистема идентификации и аутентификации пользователей
- •Подсистема регистрации и учета.
- •Подсистема обеспечения целостности.
- •Список литературы
Создание политики иб
Политика описывает общий подход к ИБ в базовой фирме без специфичных деталей. В курсовой работе рекомендуется ее описать следующими разделами:
- «Введение». Описывает необходимость появления данного документа (в ряде случаев отсутствует);
- «Цель политики». Описывает цели создания данного документа;
- «Область применения». Описывает объекты или субъекты, которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»);
- «Политика». Описывает сами требования;
- «Ответственность». Описывает наказание за нарушение указанных в предыдущем разделе требований;
- «Термины и определения»;
- «История изменений данной политики». Дает возможность отследить все вносимые в документ изменения (дата, автор, краткая суть изменения).
Такая структура позволяет в курсовой работе на 2–3 страницах описать все основные моменты, связанные с предметом политики безопасности базового предприятия. При этом надо постоянно помнить, что концепция – это не описание способа реализации. В ней нельзя «привязываться» к конкретным техническим решениям, продуктам и производителям. Иначе изменение ситуации в компании, уход с рынка какого-либо из вендоров и т. п. приведет к необходимости изменения концепции ИБ, а этого происходить не должно.
Примечание 1. Политика безопасности должна пройти через отдел кадров и юридический департамент. Первый, проверив непротиворечивость документа с КЗОТом, сможет использовать его при приеме на работу новых сотрудников (и при аттестации уже работающих). Без юристов не обойтись, потому что документ должен соответствовать всем действующим в стране нормам и законам. В противном случае отдельные положения политики безопасности в конфликтных ситуациях могут быть оспорены в суде.
Примечание 2. Что надо не забыть включить в политику безопасности?
Обязательно включить вопросов, связанные с безопасностью:
- карманных компьютеров, смартфонов, коммуникаторов или обычных мобильных телефонов. Они настолько прочно вошли в нашу жизнь, что воспринимаются как нечто само собой разумеющееся. При этом как-то упускается из виду, что данные цифровые гаджеты могут служить отличным каналом как утечки информации, так и проникновения злоумышленников или вредоносных программ в обход периметровых средств защиты;
- портативных мобильных устройств – USB-дисков, «флэшек», iPod'ов и MP3-плейеров, цифровых фотоаппаратов. Первые два типа устройств миниатюрны, а значит, их можно незаметно пронести в офис и вынести всю конфиденциальную информацию. Остальные из названных устройств как носители информации не воспринимаются, но при необходимости идеально справятся с этой ролью;
- мобильных пользователей. Их число постоянно растет. Обладая при этом полным доступом к корпоративным ресурсам из любой точки мира, они остаются вне зоны действия периметровых средств корпоративной безопасности и атаковать их гораздо проще, чем центральный офис компании;
- экстранет-пользователей. Концепция «экстранет» или сети, открытой для партнеров, поставщиков, заказчиков и других типов внешних пользователей, позволяет не только улучшить показатели бизнеса (за счет сокращения складских запасов, облегчения и ускорения логистики, снижения стоимости продуктов и т. д.), но и открывает потенциальную брешь в системе защиты;
- беспроводных пользователей. Технология Wi-Fi повышает не только производительность сотрудников, но и опасность неконтролируемого проникновения внутрь защищаемой сети. Необходимо иметь политику использования точек беспроводного доступа в своей компании. Даже если у вас не разрешено использовать эту новую и эффективную ИТ-технологию, то ваши пользователи могут придерживаться противоположного мнения. По статистике, почти 99% всех несанкционированных установок точек беспроводного доступа совершают «нетерпеливые» сотрудники, жаждущие мобильности и повышения эффективности своей работы. Следовательно, вы должны регулярно контролировать радиоэфир в поисках несанкционированных беспроводных включений;
- гостевого доступа. С целью повышения лояльности ваших клиентов вы предлагаете им бесплатный гостевой выход в Интернет из своего офиса? А вы подумали о безопасности такого выхода? Не получат ли они при этом доступ к неразрешенной для них информации? Защищены ли они при выходе в Интернет? Ведь если они пострадают от вирусной эпидемии в момент нахождения в вашем офисе, виноваты будете только вы. При наличии политики безопасности гостевого входа подобных проблем не возникнет;
- аутсорсинга.
Аутсо́рсинг (от англ. outsourcing: внешний источник) — передача организацией определённых бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области. В последнее время компании все чаще избавляются от непрофильных для себя услуг и передают их на аутсорсинг в специализированные компании. Так поступают с хостингом web-сайтов, IP-телефонией и даже управлением средствами защиты. Но безопасно ли осуществляется отданная в чужие руки услуга? Не станет ли внешний подрядчик причиной утечки информации от вас? А если через канал взаимодействия между вами проникнет злоумышленник или вредоносная программа? Во избежание нежелательных последствий лучше предусмотреть все заранее;
- Очень редко разработчики концепции «вспоминают» о наличии лэптопов в компании, а напрасно.
Лэптоп (лептоп) (англ. laptop — lap = колени сидящего человека) — более широкий термин, он применяется как к ноутбукам, так и к планшетным ПК. К ноутбукам обычно относят лэптопы, выполненные в раскладном форм-факторе. Лэптопы (особенно те, которые принадлежат начальству) содержат огромные залежи важнейшей информации по всем аспектам жизнедеятельности компании – ее ноу-хау, перспективным разработкам, политике ценообразования, конфиденциальным контрактам и т. п.
- взаимодействия с прессой в случае успешного взлома или вырвавшейся наружу эпидемии;
- расследования инцидентов;
- обучения всех сотрудников (начиная с высшего руководства и заканчивая низовым звеном);
- взаимодействия с другими сферами безопасности (секретное делопроизводство, физическая безопасность и т. п.);
- взаимодействия с правоохранительными органами или оператором связи и т. п.
ресурсов.
3. Подготовка технического задания на создание системы информационной безопасности
Основным документом на основе которого разрабатывается ТЗ ИСБ, является "Концепция информационной безопасности".
Рекомендованный порядок разработки, согласования и утверждения ТЗ ИСБ определен в приложении №1 ГОСТ 34.602-89.
ТЗ ИСБ является обязательным документом для разработки проектно-сметной документации. ТЗ должна составлять организация-заказчик (далее-заказчик). Учитывая, что далеко не каждая организация имеет в своем штате таких специалистов, то для разработки ТЗ может привлекаться на договорной основе специализированная организация, имеющая опыт работ в данной области и соответствующие лицензии (организация-разработчик, далее - разработчик), а также организации, привлекаемые для реализации различных этапов создания ИСБ (организации-исполнители, далее-исполнитель). ТЗ ИСБ утверждается руководством организации-заказчика и организации-разработчика. При необходимости, ТЗ ИСБ может согласовываться с органами вневедомственной охраны МВД РФ, государственной противопожарной службы МЧС РФ, ведомственной охраны, организациями-исполнителями и другими структурами. Все подписи должностных лиц согласующих и утверждающих организаций оформляются на первой странице ТЗ ИСБ и заверяются печатями данных организаций. Допускается согласование по письму. Все замечания заказчика по проекту ТЗ ИСБ должны быть представлены с техническим обоснованием. При возникновении разногласий оформляется протокол разногласий и обе стороны принимают меры к их устранению. Дополнения и изменения к ТЗ ИСБ утверждаются и согласовываются таким же порядком. Не допускается внесение изменений и дополнений после представление системы или ее части на приемо-сдаточные испытания.