- •Глава I. Обзор стандортов и подходов в области
- •Глава II. Анализ информационных
- •Глава III. Проект системы конденциальной информации…41
- •Введение.
- •Глава I. Обзор стандортов и подходов в области информационной безопастности.
- •1.1 Стандарт гост р исо/мэк 17799-2005.
- •1.2 Стандарт гост р исо/мэк 27001-2006.
- •1.3 Стандарт сто бр иббс-1.0-2008
- •1.4. Стандарт bs 7799-3:2006.
- •1.5. Обзор моделей построения информационных рисков.
- •Глава II. Анализ информационных рисков чп зао «лиса»
- •2.1 Информационная сеть и оборудование центрального офиса.
- •2.2 Информационная сеть и оборудование абк асу.
- •2.3 Информационная сеть и оборудование лаборатории физико – механических испытаний. Чп зао «Лиса».
- •2.4. Оценка рисков.
- •2.5 Анализ информационных рисков.
- •Глава III. Проект системы конденциальной информации.
- •3.1 Проект по изменению информационной сети Центрального офиса.
- •3.2 Проект по изменению информационной сети абк асу.
- •3.3 Проект по изменению информационной сети лаборатории физико - механических испытаний.
- •3.4 Система цифровых сертификатов.
- •3.5 Организационные меры по защите информации.
- •3.6. Внедрение системы защиты конфиденциальной информации в чп зао «Лиса»
- •3.7 Выводы.
- •Заключение.
- •Библиография
Заключение.
В работе была рассмотрена информационная структура организации и сделан вывод о ЧП ЗАО «Лиса».том, что информация организации не является защищенной должным образом. От степени защищенности информационной системы компании напрямую зависит доходность, конкурентоспособность и соответствие законодательству. Из этого следует, что для организации решение вопроса связанного с информационной безопасностью является необходимостью и для решения данного вопроса необходима разработка и внедрение системы защиты информации.
Исходя из этого, был произведен обзор основных стандартов в области информационной безопасности, на которые стоит обратить внимание при разработке системы защиты информации.
Был проведен анализ рисков, в ходе которого были выявлены основные потенциальные угрозы. Предложены технические и организационные меры по снижению информационных рисков и повышению информационной безопасности в целом.
В процессе написания работы был выполнен ряд проектов по изменению информационной структуры предприятия, а также разработан ряд руководящих документов – Регламент информационной безопасности, Инструкция антивирусной защиты, Инструкция парольной защиты.
Таким образом, выполнены начальные шаги по созданию системы защиты информации в ЧП ЗАО «Лиса».
- проведена первоначальная оценка ресурсов и анализ рисков.
- выполнен ряд проектов по изменению информационной структуры ЧП ЗАО «Лиса»
- для уменьшения риска угрозы получения полного удаленного контроля над системой приняты следующие решения: Своевременное обновление операционных систем, Развертывание лицензионного антивирусного ПО, Фильтрация сетевого трафика, Инструкция по антивирусной защите.
- для уменьшения риска угрозы нарушения целостности, правильного функционирования системы приняты следующие решения: Своевременное обновление операционных систем, Развертывание лицензионного антивирусного ПО, Регулярное резервное копирование, Инструкция по антивирусной защите, Инструкция по парольной защите.
- для уменьшения риска угрозы нарушения доступности системы приняты следующие решения: Обеспечение резервного питания, Наличие резервного оборудование, Контроль доступа, Регламент ИБ.
- для уменьшения риска угрозы подмена сетевого адреса приняты следующие решения: Разделение на сегменты сети, Внедрение системы сертификатов, Регламент ИБ.
Библиография
1. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;
(дата обращения: 05.02.2013).
2. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;
(дата обращения: 08.02.2013).
3. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
(дата обращения: 10.02.2013).
4. Стандарт Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федирации»;
(дата обращения: 10.02.2013).
5. ISO/IEC 17799:2005. Information technology. Security techniques. Code of practice for information security management. – ISO: 2005;
(дата обращения: 15.02.2013).
6. BS 7779-3:2006 «Системы управления информационной безопасностью. Часть 3: Руководство по управлению рисками информационной безопасности»;
(дата обращения: 17.02.2013).
7. Домарев В. В. Безопасность информационных технологий. Методология создания систем защиты.– К.:ООО «ТИД ДС», 2001.-688 с.;
(дата обращения: 19.02.2013).
8. Зегжда Д. П., Ивашко А. М. Как построить защищенную информационную систему. 1997;
(дата обращения: 20.02.2013).
9. Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000;
(дата обращения: 20.02.2013).
10. Петренко С. А., Курбатов В. А. Политики информационной безопасности. – М.: Компания АйТи, 2006.-400 с.;
(дата обращения: 21.02.2013).
11. Петренко С. А., Петренко А. А. Аудит безопасности IntraNet. –М.: ДМК Пресс, 2002.;
(дата обращения: 22.02.2013).
12. Скот Бармен. Разработка правил информационной безопасности. Вильямс, 2002, -208 с.;
(дата обращения: 25.02.2013).
13. Смит Р. Э. Аутентификация: от паролей до открытых ключей. Вильямс, 2002, -432 с.;
(дата обращения: 27.02.2013).
14. ISO27000.ru - русскоязычный информационный портал, посвященный вопросам управления информационной безопасностью. URL: http://www. iso27000.ru/, 2009;
(дата обращения: 02.03.2013).
15. Михаил Брод. Демилитаризация локальной сети. URL: http://hostinfo. ru/articles/487, 2004;
(дата обращения: 02.03.2013).
16. Владимир Ульянов. Анализ рисков в области информационной безопасности. URL: http://www. pcweek. ru/themes/detail. php? ID=103317, 2007;
(дата обращения: 05.03.2013).
17. Павел Покровский. Защита информации: Анализ рисков. URL: http://www. ot. ru/press20041106.html, 2004;
(дата обращения: 08.02.2013).
18. Олег Бойцев. Многофакторный анализ рисков информационной безопасности. Подходы и методы. URL: http://www. nestor. minsk. by/kg/2008/44/kg84403.html, 2008;
(дата обращения: 08.03.2013).
19. Как самому написать концепцию информационной безопасности. URL: http://linuxportal. ru/entry. php/P2734_0_3_0/, 2007;
(дата обращения: 10.03.2013).
20. Искандер Конеев. Политики информационной безопасности. URL: http://www. osp. ru/cio/2007/11/4569379/, 2007;
(дата обращения: 12.03.2013).
21. Андрей Платонов. Строим защищенную беспроводную сеть: WPA-Enterprise, 802.1X EAP-TLS. URL: http://www. samag. ru/cgi-bin/go. pl? q=articles;n=05.2005;a=03, 2005;
(дата обращения: 12.03.2013).
22. Формат сертификатов открытых ключей X.509. URL: http://www. inssl. com/x509-open-key-specifications. html
(дата обращения: 13.03..2013).
23. Роберт Шотт. О Radius подробно. URL: http://www. osp. ru/lan/2003/01/137078/_p1.html, 2003;
(дата обращения: 15.03.2013).
24. DMZ (компьютерные сети) // wikipedia. org – свободная энциклопедия. URL: http://ru. wikipedia. org/wiki/DMZ_(компьютерные_сети)
(дата обращения: 16.03.2013).
25. Серия ISO 27000 // wikipedia. org – свободная энциклопедия. URL: http://ru. wikipedia. org/wiki/Серия_ISO_27000
(дата обращения: 18.03.2013).
26. RADIUS // wikipedia. org – свободная энциклопедия. URL: http://ru. wikipedia. org/wiki/RADIUS
(дата обращения: 20.03.2013).
27. FreeRADIUS // wikipedia. org – свободная энциклопедия. URL: http://ru. wikipedia. org/wiki/FreeRADIUS
(дата обращения: 20.03.2013).