- •Содержание
- •Введение
- •1. Риски информационной безопасности
- •1.1 Анализ рисков информационной безопасности
- •1.2 Классификация активов информационно-телекоммуникационной системы и анализ уязвимостей и вероятности угроз
- •1.3 Оценка уязвимостей активов
- •2. Комплекс организационных мер обеспечения информационной безопасности и защиты информации
- •2.2 Государственное регулирование в области информационной безопасности и защиты информации
- •2.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия
- •3. Выбор и обоснование методики расчёта экономической эффективности
- •Заключение
- •Список используемой литературы
Содержание
Введение 3
1. Риски информационной безопасности 3
1.1 Анализ рисков информационной безопасности 3
1.2 Классификация активов информационно-телекоммуникационной системы и анализ уязвимостей и вероятности угроз 8
1.3 Оценка уязвимостей активов 16
2. Комплекс организационных мер обеспечения информационной безопасности и защиты информации 24
2.2 Государственное регулирование в области информационной безопасности и защиты информации 24
2.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 28
3. Выбор и обоснование методики расчёта экономической эффективности 37
Заключение 41
Список используемой литературы 43
Введение
В качестве предметной области для данного проекта задана область политики информационной безопасности.
Целью данного курсового проекта является раскрытие актуальных проблемы обеспечения информационной безопасности
В соответствии с целью работы были поставлены следующие задачи работы:
- Установление границ рассмотрения и выявление недостатков и отрицательных факторов в существующей системе обеспечения информационной безопасности и защите информации организации;
- Определение существующих способов и методов защиты;
- Определение актуальных планируемых средств защиты;
- Оценивание рисков;
- Выбор необходимых защитных мер (организационных и технических);
- Расчет срока окупаемости выбранных способов и методов защиты.
Объект дипломного исследования – торговая сеть.
Предмет исследования данной дипломной работы –защита информации организации.
Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы.
Первая глава посвящена анализу рассматриваемой информационной системы, составлению модели актуальных угроз.
Во второй главе даны проектные решению по созданию комплексной системы защиты. Разработаны рекомендации по устранению угроз.
В третьей главе рассматривается механизм внедрения системы защиты и дано технико-экономическое обоснования целесообразности внедрения разработанной системы защиты информации.
1. Риски информационной безопасности
1.1 Анализ рисков информационной безопасности
Рассмотрим в работе все аспекты информационной безопасности на примере конкретного предприятия - торговая сеть «Монетка».
Отделы сдают отчеты обо всех случаях нарушения информационной безопасности с целью дальнейшего изучения отделом ИТ и принятия мер по недопущению повторных инцидентов.
Ежеквартально проводится профилактическая проверка линий связи на предмет прослушивания, обрывов и помех.
Ежеквартально проводится профилактическая проверка охранных средств защиты от незаконного проникновения.
Основные аспекты информационной безопасности: 1
-
Выявлением уязвимостей системы защиты и иных проблем при работе с информацией занимается отдел ИТ-безопасности. Отдел ИТ-безопасности выпускает постановление об устранении неполадок, основанное на результатах профилактических проверок и служебных записок от сотрудников, и непосредственно устранением занимается группа системного администрирования.
-
Определением необходимых затрат занимаются сотрудники управления, выделение достаточных затрат на обеспечение информационной безопасности осуществляется после согласования с генеральным директором, а в его отсутствие – с техническим директором.
-
Выбор конкретных мер, методов, средств и системы защиты ложится на сотрудников отдела ИТ-безопасности при согласовании с группой системного администрирования.
Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации
Обоснование выбора активов:
-
Конфиденциальная информация (документы компании, электронные сообщения) – к данному активу относятся документы, содержащие конфиденциальную информацию о финансовой деятельности, сотрудниках, договорах и иной деятельности компании, которая не должна быть доступна для посторонних. Электронная переписка сотрудников должна быть под защитой в виду того, что она может содержать переписку с заказчиками и прикрепленные документы.2
Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. Выполним идентификацию активов.
Основными видами деятельности торговая сеть «Монетка» является предоставление полного спектра услуг в области аутсорсинга IT-инфраструктуры и облачных вычислений для клиентов среднего, малого и крупного бизнеса, холдинговых структур и госсектора.
Выбор информационных активов продиктован следующими факторами:
-
Содержательность и частотой использования при реализации основных бизнес-процессов компании.
-
Наибольшая уязвимость для компании.
Рассмотрим информационные активы торговая сеть «Монетка» подлежащие оценки
- персональные данные о клиентах компании;
- персональные данные о сотрудниках компании;
- договора на осуществление услуг;
- отчеты о выполненных проектах;
- база данных информационной системы компании;
- сведения о провайдерах компании;
Оборудование передачи информации;
- сервер компании.
Владельцами информационных активов, ответственными за их использование, изменение и сопровождение являются:
- отдел IT (начальник отдела, менеджеры отдела);
- отдел кадров предприятия (начальник отдела кадров, инспектор, юрист консульт);
- бухгалтерия предприятия;
- операционный отдел банка;
- отдел информационной безопасности (начальник отдела, системный администратор).3
Идентификация активов информационно-телекоммуникационной системы банка включает в себя анализ и инвентаризацию:
-
помещений с инженерным оборудованием;
-
информации;
-
линий связи и телекоммуникационных сетей, включая доступ к ресурсам сети Интернет;
-
прикладных программно-технических комплексов;
-
персонала.
Любой актив, который является частью информационно-телекоммуникационной системы банка, должен быть четко определен на этом шаге, с определением мест его хранения и/или циркуляции.
К примеру, такими активами могут быть: электронная документация (системная документация, инструкции пользователя/администратора, рабочие процедуры, планы, материалы обучения), письменная документация (контракты, инструкции, финансовые документы, документы, содержащие секретную информацию – конфиденциальную, для служебного пользования, банковскую тайну), программные активы (программно-технические комплексы, системные приложения, средства разработки), физические активы (персональные компьютеры, сервера и сетевое оборудование, хранилища данных и т.д.), человеческий фактор (персонал), службы (компьютерные и телекоммуникационные службы, которыми пользуется банк, включая такие моменты как электропитание и телекоммуникационные подключения – например, провайдеры сети Интернет).
Среди активов удобно отдельно (в отдельных главах) выделить аппаратные, программные и схему сети.
Пример информации, которую можно занести в аппаратную часть активов, и которую полезно получить при инвентаризации серверов: изготовитель и модель, мощность процессора, оперативная память (RAM), память (HDD), сетевое подключение, функция, местоположение. Для персональных/технологических компьютеров: изготовитель и модель, владелец и цель использования, сетевое подключение, соединение с внешними сетями (тип соединения), местоположение. Для сетевого оборудования: изготовитель и модель, тип, IP-адрес.
Для инвентаризации программного обеспечения существует как минимум три вида классификации: операционные системы, прикладное/технологическое программное обеспечение, и так называемое программное обеспечение офисной поддержки. Прикладное программное обеспечение охватывает основные банковские приложения и приложения, используемые в персональных компьютерах банка. Программное обеспечение офисной поддержки должно содержать приложения, используемые для поддержки прикладного программного обеспечения (например, программное обеспечение защиты данных, антивирусное программное обеспечение, сервер Интернета, обработки ошибок, программное обеспечение, контролирующее неисправности, и т.д.). Пример информации, которую можно занести в программную часть активов, и которую полезно получить при инвентаризации приложений: изготовитель или поставщик, серийный номер, номер версии приложения, номер патча, число установленных копий, число поддерживаемых лицензий, тип лицензии.
Схема сети должна полностью показывать подключения всех компонентов информационно-телекоммуникационной системы банка, включая такие подробности, как: идентификация всех внутренних и внешних подключений (Интернет, модемы, беспроводные соединения и т.д.), описание способа и типа подключения (DSL, ADSL, dialup, беспроводное и т.д.), ширина канала подключения, фиксация зашифрованных каналов или других типов каналов для безопасной коммуникации, представление типа и емкости сетевых подключений (роутеры, маршрутизаторы, концентраторы), представление основных компонентов для информационной безопасности системы (межсетевые экраны, системы обнаружения и системы предотвращения вторжений), представление открытых коммуникационных портов между сетевыми устройствами.4
В итоге выполнения этого шага должна быть создана информационно-аппаратная книга, которая содержит все активы информационно-телекоммуникационной системы банка, включая все аппаратные средства, программный и телекоммуникационный инвентарь банка, схему сети. Должно сложиться понимание самых важных компонентов системы, способы передачи и потоки информации через систему.5