- •Курсовая работа по дисциплине «Информационные технологии управления» тема: «Защита информации на предприятии»
- •1. Теоретические основы защиты информации на предприятии
- •1.1 Сущность и задачи защиты информации на предприятии
- •1. Нарушение конфиденциальности информации;
- •2. Нарушение целостности информации;
- •3. Нарушение работоспособности информационно-вычислительных систем.
- •1.2 Меры и методы защиты информации
- •1.3 Основные направления защиты документированной информации
- •2. Построение эффективной системы информационной безопасности
- •2.1 Обеспечение информационной безопасности
- •2.2 Построение системы информационной безопасности
- •2.3 Внедрение системы безопасности информации на предприятии
2.2 Построение системы информационной безопасности
Для построения эффективной системы информационной безопасности, выбор и внедрение адекватных технических средств защиты должен предваряться анализом угроз, уязвимостей информационной системы и на их основе - анализом рисков информационной безопасности. Выбор программно-аппаратного обеспечения защиты и проектирование систем ИБ основывается на результатах такого анализа с учетом экономической оценки соотношения «стоимость контрмер по снижению рисков / возможные потери компании от инцидентов информационной безопасности».
Таким образом, построение системы ИБ компании целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы компании, а также существующих средств контроля ИБ. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов компании выдвигаемым требованиям, то есть обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.
Существует несколько видов обследования:
· предпроектное диагностическое обследование, которое выполняется при модернизации или построении системы ИБ;
· аудит системы ИБ (или системы управления ИБ) на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO 27001;
· специальные виды обследования, например, при расследовании компьютерных инцидентов.
При проведении диагностического обследования/аудита системы ИБ последовательно выполняются следующие работы:
Рис.2. Работы, выполняемые при диагностики системы информационной безопасности
Каждый этап работ имеет реальные, контролируемые результаты, что позволяет обеспечить эффективный контроль проекта на всем его протяжении.
В процессе обследования и анализа системы информационной безопасности также идентифицируются «владельцы» ИТ-ресурсов (включая автоматизированные системы и корпоративные данные) и лица, ответственные за целостность этих ресурсов. Устанавливаются требования к системе разделения прав доступа (пароли, разрешения), включая все правила доступа к информационной системе компании. ИТ-ресурсы классифицируются по степени важности/критичности.
Проверяются все процедуры безопасности, в том числе поддержка системы ИБ, процесс расследования нарушений ИБ, организация системы резервного копирования, разграничение прав пользователей, процедуры удаленного доступа, защиты учетных записей и др. Определяются лица, ответственные за развитие и поддержку системы ИБ.
В ходе анализа и моделирования возможных сценариев атак на систему ИБ выявляются ситуации, которые могут привести к нарушению нормального «течения» бизнес-процессов. Определяются возможные последствия несоответствия системы ИБ политике безопасности компании.
Если обследование выполняется сторонней организацией, то на всех стадиях проекта необходимо привлечение к работам персонала компании-заказчика. Это гарантирует учет основных требований, специфики и интересов обследуемой компании.
Следующим этапом построения системы ИБ является ее проектирование, включая систему управления ИБ.
Задача проектирования системы ИБ тесно связана с понятием архитектуры системы ИБ. Построение архитектуры системы ИБ, как интегрированного решения, соблюдение баланса между уровнем защиты и инвестициями в систему ИБ обеспечивают ряд преимуществ: интеграция подсистем позволяет снизить совокупную стоимость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость системы ИБ, а следовательно, возможности отслеживания событий, связанных с ИБ.
Этапы работ по проектированию системы ИБ
1. Разработка Концепции обеспечения информационной безопасности. Определяются основные цели, задачи и требования, а также общая стратегия построения системы ИБ. Идентифицируются критичные информационные ресурсы. Вырабатываются требования к системе ИБ и определяются базовые подходы к их реализации.
2. Создание / развитие политики ИБ.
3. Построение модели системы управления ИБ (на основе процессно-ролевой модели).
4. Подготовка технического задания на создание системы информационной безопасности.
5. Создание модели системы ИБ.
6. Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы.
· Пояснительную записку, содержащую описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации.
· Обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты.
· Спецификацию на комплекс технических средств системы ИБ.
· Спецификацию на комплекс программных средств системы ИБ.
· Определение настроек и режима функционирования компонентов системы ИБ.
7. Тестирование на стенде спроектированной системы ИБ.
8. Разработка организационно-распорядительных документов системы управления ИБ (политик по обеспечению информационной безопасности, процедур, регламентов и др.).
9. Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.