- •Глава I. Обзор стандортов и подходов в области
- •Глава II. Анализ информационных
- •Глава III. Проект системы конденциальной информации…41
- •Введение.
- •Глава I. Обзор стандортов и подходов в области информационной безопастности.
- •1.1 Стандарт гост р исо/мэк 17799-2005.
- •1.2 Стандарт гост р исо/мэк 27001-2006.
- •1.3 Стандарт сто бр иббс-1.0-2008
- •1.4. Стандарт bs 7799-3:2006.
- •1.5. Обзор моделей построения информационных рисков.
- •Глава II. Анализ информационных рисков чп зао «лиса»
- •2.1 Информационная сеть и оборудование центрального офиса.
- •2.2 Информационная сеть и оборудование абк асу.
- •2.3 Информационная сеть и оборудование лаборатории физико – механических испытаний. Чп зао «Лиса».
- •2.4. Оценка рисков.
- •2.5 Анализ информационных рисков.
- •Глава III. Проект системы конденциальной информации.
- •3.1 Проект по изменению информационной сети Центрального офиса.
- •3.2 Проект по изменению информационной сети абк асу.
- •3.3 Проект по изменению информационной сети лаборатории физико - механических испытаний.
- •3.4 Система цифровых сертификатов.
- •3.5 Организационные меры по защите информации.
- •3.6. Внедрение системы защиты конфиденциальной информации в чп зао «Лиса»
- •3.7 Выводы.
- •Заключение.
- •Библиография
3.7 Выводы.
В первой главе были рассмотрены основные документы, являющиеся стандартами в области обеспечения информационной безопасности, как в Российской Федерации, так и на международном уровне. Рассмотрено 3 стандарта:
ГОСТ Р ИСО/МЭК 17799-2005
ГОСТ Р ИСО/МЭК 27001-2006
СТО БР ИББС-1.0-2008
Эти стандарты служат сборником нормативных, руководящих и прочих документов в области обеспечения информационной безопасности.
ГОСТ Р ИСО/МЭК 17799-2005 устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями.
ГОСТ Р ИСО/МЭК 27001-2006 подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности.
СТО БР ИББС-1.0-2008 распространяется на организации банковской системы Российской Федерации (БС РФ) и устанавливает положения по обеспечению ИБ в организациях БС РФ.
Подводя итоги можно сказать, что стандарт ГОСТ Р ИСО/МЭК 17799-2005 имеет довольно широкое применение для построения политики информационной безопасности для компаний среднего бизнеса и дает общие рекомендации по обеспечению информационной безопасности в организации. Стандарт ГОСТ Р ИСО/МЭК 27001-2006 основан на том, что организация должна разработать, внедрить, обеспечить функционирование, вести мониторинг, анализировать, поддерживать и непрерывно улучшать документированную систему менеджмента информационной безопасности (модель PDCA) что подойдет скорее для организаций крупного бизнеса. Стандарт СТО БР ИББС-1.0-2008 имеет прямое отношение к банковской системе Российской Федерации и нацелен в первую очередь на организации банковской сферы.
Во второй главе была рассмотрена существующая схема организации сети в ЧП ЗАО «Лиса». На основе этой схемы были выделены основные ресурсы организации и выполнен анализ рисков.
В ходе проведения анализа рисков были определены следующие, наиболее актуальные, угрозы:
Угроза получения полного удаленного контроля над системой.
Угроза нарушения целостности, правильного функционирования системы.
Угроза нарушения доступности системы.
Подмена сетевого адреса.
Был предложен ряд мер по снижению возникновения этих угроз:
Своевременное обновление операционной системы.
Развертывание лицензионного антивирусного ПО.
Фильтрация сетевого трафика, доверенный список портов.
Вывод в отдельный сегмент сети.
Внедрение системы сертификатов.
Инструкция по обновлению серверных систем.
Инструкция по антивирусной защите серверных систем.
Регламент ИБ.
В третьей главе для уменьшения рисков угроз безопасности коммерческой информации в ЧП ЗАО «Лиса» было предложено принять следующие меры по защите информации:
1. Изменение информационной сети Центрального офиса.
2. Изменение информационной сети Магазинов.
3. Внедрение системы цифровых сертификатов.
4. Внедрение организационных мер по защите информации.
Впоследствии, эти меры системы защиты конфиденциальной информации были успешно внедрены в ЧП ЗАО «Лиса».
Был проведен повторный анализ рисков и описан список мер приведших к снижению тех или иных угроз.