- •"Предложения по структуре и функционированию системы информационной безопасности организации".
- •1. Введение. Понятие реферата, его назначение и роль в современном организационном управлении.
- •2. Цели и задачи разработки реферата.
- •Прямое переписывание текстов из первичных источников будет считаться плагиатом, а реферат к рассмотрению принят не будет!
- •3. Обязательные разделы содержания реферата, рекомендации по разработке материалов конкретных разделов.
- •4. Реферируемые источники. Специфика работы над реферируемыми источниками.
- •5. Заключение. Оформление Пояснительной записки реферата.
- •Содержание реферата.
- •Факультет Экономики и управления. Кафедра Управления.
- •Средств защиты системы информационной безопасности.
- •Рекомендуемая литература.
3. Обязательные разделы содержания реферата, рекомендации по разработке материалов конкретных разделов.
Реферат предлагается разрабатывать путём последовательного изучения и отработки следующих основных вопросов.
1. Основные характеристики организации и специфика её информационной системы.
2. Классификация, специфика и краткий анализ основных угроз информационной системе организации.
3.Основная цель реферата.
4. Формулировка основных задач СИБ организации и средства их возможной реализации.
5. Средства разграничения доступа к глобальным сетям, данным и программам.
6. Средства идентификации и аутентификации пользователей информационной системы организации.
7. Обоснование необходимости использования ЭЦП и предложения по её внедрению и применению в информационном процессе организации.
8. Предложения по структуре СИБ и размещению её элементов в ЛВС АПКУ организации. Схема ЛВС организации с предлагаемыми элементами СИБ.
9. Основные экономические характеристики СИБ и предложения по этапности её внедрения.
10. Выводы, предложения и рекомендации по дальнейшему развитию и совершенствованию СИБ.
В первом разделе должны быть кратко, но конкретно, описаны следующие основные характеристики организации и её информационной системы.
1. Полное название организации, сфера её деятельности, количество работающих, примерный годовой доход, список организаций, с которыми осуществляется наиболее интенсивный обмен данными с указанием примерного объёма обмениваемых данных за сутки, а также и другие характеристики внешних организаций, которые достойны, по мнению автора реферата, внимания;
2. Основные структурные характеристики информационной системы организации и процессов этой системы. При описании особое внимание следует уделить входам и выходам информационной системы, перечислить все сетевые подключения: Интернет, интранет-сети, виртуальные частные сети, радиосети передачи данных и др.
3.- Структурные характеристики ЛВС на основе прилагаемой схемы (взять из курсового проекта по дисциплине “Аппаратно-программные комплексы управления”). Здесь для основных элементов ЛВС: рабочих станций (РС), серверов, корпоративных сетевых устройств (КСУ) необходимо задать степень их конфиденциальности: высокая (В), средняя (С) или низкая (Н). Задание и обоснование значений этих характеристик далее даст возможность обосновано выбирать и предлагать к применению средства обеспечения безопасного доступа к вышеуказанным ресурсам ЛВС.
Во втором разделе должны быть перечислены и идентифицированы все основные угрозы информационной системе организации, как внешние, так и внутренние, с обязательным указанием степени их опасности, опять же: высокая (В), средняя (С) или низкая (Н). Кроме того, для всех угроз должны быть указаны их предполагаемые (или желательно известные) источники и их известные, или, опять же предполагаемые, характеристики. Все вышеуказанные сведения об угрозах и позволят в дальнейшем обоснованно выбирать средства защиты от них и строить структуру и процесс защиты в СИБ. Целесообразно данные об угрозах представить в виде таблицы со следующими основными атрибутами:
- полное наименование угрозы;
- идентификатор угрозы;
- предполагаемый источник (источники) угрозы;
- частость появления угрозы;
- проявления (результаты) воздействия угрозы;
- степень опасности угрозы;
- оценка вреда угрозы;
- объекты ЛВС, на которые воздействует угроза;
- предполагаемое среднее время восстановления работоспособности ЛВС после воздействия угрозы;
- предполагаемая экономическая оценка вреда от воздействия угрозы;
- важность, весомость угрозы;
- существующие средства борьбы с угрозой.
Как видно из содержательного состава атрибутов таблицы результатов анализа угроз, приведенные в ней данные вполне могут служить основой для поиска средств защиты от описанных угроз, их обоснованного выбора и выработки предложений по их приобретению и внедрению в информационный процесс организации.
В третьем разделе формулируется основная цель реферата, которая основывается на данных, полученных на первом и втором этапах его разработки. Выше, в разделе 2 настоящего пособия, приводятся основные общие положения о формировании конкретной цели реферата, которую необходимо сформулировать на основе двух первых разделов реферата, то есть когда автор уже уяснил основные характеристики информационной системы организации, а также перечень и особенности главных наиболее вероятных информационных угроз её нормальному функционированию
В четвёртом разделе формулируются основные задачи СИБ, и предлагается перечень (пока только перечень!) возможных средств реализации задач СИБ, которые, в конечном итоге, позволят эффективно противостоять всем выявленным угрозам информационной системе организации.
В пятом разделе уже конкретно отрабатывается перечень реальных средств обеспечения безопасности доступа в информационную систему организации из всех внешних сетей, то есть предлагаются средства защиты периметра информационной системы организации – её внешних входов и выходов. Выбор всех средств обязательно обосновывается, указываются ссылки на соответствующие информационные источники и данные об этих средствах заносятся в таблицу (Приложение 2). Причём, конкретные реализации каждого типа средства защиты отбираются и заносятся в Таблицу, как минимум, дважды, чтобы в дальнейшей работе иметь возможность сравнивать, по крайней мере, два конкретных средства защиты, и аргументировано выбирать лучшее из них. Указанный порядок формирования Таблицы должен выполняться и для всех других средств. В этом же разделе реферата аналогичным образом отбираются и средства защиты данных и программ. Но при выборе этого типа средств защиты необходимо иметь в виду, что здесь необходимо предложить как средства общей, коллективной защиты, так и средства защиты программ и данных личного, индивидуального применения. Эта особенность индивидуальных средств защиты должна отмечаться в Таблице в колонке “Тип средства“ (индивидуальный или общий соответственно).
В шестом разделе работы выбираются и предлагаются к применению средства идентификации и аутентификации пользователей – должностных лиц организации. При выборе средств этого типа, кроме учёта их традиционной функциональности необходимо обязательно учесть и их перспективную функциональность – необходимость борьбы с самой актуальной сегодня “бедой“ всех информационных систем управления организациями, пожалуй, без исключения, - это борьба с инсайдерами – “засланными казачками”. Для решения этой комплексной и весьма деликатной задачи необходимо применение и соответствующего комплекса средств и методов борьбы. Кроме того, для должностных лиц, попавших под подозрение, служба безопасности должна иметь и практически использовать дополнительные средства защиты, которые способны выявить инсайдера и убедительно, на конкретных неопровержимых фактах, доказать сотрудничество с “недружественными”, например, с активно конкурирующими с нами организациями. В комплекс средств борьбы с инсайдерами в настоящее время включают такие средства как интеллектуальные турникеты на проходной, фиксирующие для всех без исключения должностных лиц организации факты входа и выхода, время, видеофайл с фактом прохода через турникет и, возможно, прочее. Для подозрительных должностных лиц необходимо иметь средства отслеживания телефонных переговоров со всех видов телефонов, контроля над электронной почтой и посещением “подозрительных сайтов” в Интернет, любые факты обмена во всех доступных глобальных сетях, особенно по адресам подозрительных корреспондентов и прочее. На сервере СИБ обязательно необходимо предусмотреть наличие специальных комплексных средств борьбы с предполагаемыми инсайдерами. При выборе таких средств защиты обязательно нужно учитывать тот весьма важный факт, что при своём функционировании они ни в коем случае не должны накапливать и/или оперировать конфиденциальными личными данными сотрудников, даже в том случае, если они подозреваются в незаконных действиях, так как такие действия со стороны администрации могут преследоваться по закону. Но грань между дозволенным и недозволенным здесь весьма тонкая, но о ней необходимо помнить постоянно, даже при выборе и внедрении средств обеспечения информационной безопасности
Естественно, назначение средств идентификации и особенно аутентификации пользователей не ограничивается только задачей борьбы с инсайдерами. Более распространённой и ощутимой “бедой” в информационном процессе являются самые банальные непредумышленные ошибки должностных лиц при обмене с базами данных, с файлами документов, с различными средствами программного обеспечения. Для предотвращения нежелательных воздействий на программы и данные необходимо предусмотреть основные и резервные средства борьбы, причём, желательно как искусственные, так и естественные, применяемые совместно и функционально дополняющие друг друга. Но все предложения по аутентификации должны быть сделаны в строгом соответствии с требованиями основного регламентирующего документа по аутентификации для информационных систем организационного управления:
ГОСТ Р 51241 – 98 “Средства и системы контроля и управления доступом. Классификация. Общие технические требования и методы испытаний”.
И особенно дополнительного приложения к этому ГОСТ: Приложение Б. “Средства вычислительной техники. Показатели защищённости от несанкционированного доступа к информации по классам защищённости”. Перечисленные выше документы, разработанные Гостехкомиссией Российской Федерации, являются обязательными для всех систем информационной безопасности государственных организаций и всех прочих организаций России, которые обмениваются любыми данными с государственными структурами.
Конкретно, из Приложения Б к ГОСТ Р 51241 – 98 необходимо заполнить Таблицу В.1. (Приложение 3), в которой конкретно по всем 16 строкам с наименованиями показателей защищённости задать для описываемой СИБ конкретные данные по классам защищённости 4, 5 и 6. В таблице Приложения 3 по всем классам защищённости задано исходное состояние, помеченное знаком “-” (отсутствие признака). Задача при разработке реферата состоит в том, чтобы при анализе ситуации, конкретно сложившейся в информационной системе организации, задать в вышеупомянутой Таблице В.1 в соответствующей её строке вместо знаков “-” знаки “+”, определив, таким образом, каждую конкретную характеристику описываемой СИБ.
В седьмом разделе реферата следует рассмотреть применение для целей обеспечения информационной безопасности организации электронной цифровой подписи (ЭЦП). Хотя федеральный закон “Об электронной цифровой подписи” принят Государственной Думой Российской Федерации ещё в самом начале текущего века, но практического применения это универсальное и надёжное средство обеспечения безопасности “электронного” документооборота у нас в стране до сих пор не получило, что является, в частности, и причиной недостаточной защищённости вышеупомянутого документооборота в России. В реферате необходимо показать основные возможности и преимущества отечественных средств обеспечения применения ЭЦП, которые, по общему признанию, являются на текущий момент самыми совершенными в мире и, вместе с тем, предложить конкретные средства и способы использования ЭЦП для борьбы с угрозами информационной системе организации. Необходимо при этом учесть, что в настоящее время необходимость использования ЭЦП признано в мире повсеместно и эти средства поддерживаются сейчас уже некоторыми программными продуктами общего применения, например, OS MS Vista, даже в редакции Home Edition.
В реферате основное внимание рекомендуется сосредоточить в основном на отечественных разработках обеспечения безопасности и выбирать такие из них, которые позволят реализовать комплексную защиту объектов информационной системы организации, что и характерно для таких средств какими является ЭЦП. Ярким примером таких средств может служить комплекс программ шифрования данных на основе ЭЦП “Веста”, который обеспечивает стойкость шифрования данных на уровне более 1055, в то время как алгоритм DES (США) обеспечивает стойкость шифрования только на уровне не лучше чем 1018. Данные закрытые ЭЦП с помощью “Весты” можно, например, гарантированно безопасно передавать сегодня по любым открытым каналам связи. Все предложения по структуре средств выбранных в этом разделе также должны быть занесены в таблицу Приложения 2. После этого указанная таблица может считаться сформированной полностью.
В восьмом разделе реферата необходимо сформулировать основные предложения по структуре СИБ, которая формируется на основании данных таблицы Приложения 2. Основным критерием выбора комплекса средств СИБ считается экономический критерий, точнее min стоимость совокупности отобранных для использования средств обеспечения безопасности. Для достижения указанной цели можно поступить следующим образом. Сначала путём аргументированного сравнения пар одинаковых по функциональности средств безопасности в таблице оставляют единственные средства и, задав по колонке “Цена” функционал суммирования получают некоторую стоимость отобранных для реализации средств СИБ. Указанную операцию повторяют несколько раз до получения функционально полного набора средств при их рациональной приемлемой стоимости.
На основании данных окончательной редакции таблицы и формируется аппаратный комплекс подсистемы управления СИБ, куда включаются следующие обязательные элементы:
- сервер подсистемы управления СИБ;
- рабочая станция администратора СИБ;
- коммутатор подсистемы управления СИБ;
- брандмауэр, который включается в разрыв линии связи соединяющей центральный коммутатор ЛВС организации и коммутатор подсистемы управления СИБ;
- возможно многофункциональное устройство, работающее только на информационные потребности СИБ.
В девятом разделе реферата анализируются путём сравнения, полученные ценовые характеристики стоимости отобранных к реализации средств обеспечения безопасности и данные годового дохода организации. Если стоимость отобранных средств СИБ составляет 5 – 7 % от годового дохода организации, то можно внедрять отобранные средства СИБ сразу полностью. Если же полученная стоимость элементов СИБ превышает установленную заранее ценовую норму, то необходимо выработать предложения по поэтапному внедрению средств СИБ. В этом случае все предлагаемые к внедрению средства СИБ располагаются в таблице Приложения 2 в порядке важности, значимости, весомости угроз информационной безопасности организации, которые соответствующие средства призваны предотвращать. Реализация полнокровной системы информационной безопасности в таком случае может осуществляться на протяжении нескольких лет, поэтапно.
В десятом последнем разделе реферата подводятся итоги проделанной работы, которые должны быть чётко и доказательно сформулированы в виде основных количественных характеристик, главным образом экономического содержания. Например, желательно сравнить объём финансов, затраченных на приобретение и запуск в эксплуатацию средств СИБ и естественное уменьшение объёма убытков от воздействия соответствующих угроз информационной безопасности. Естественно, если результат такого сравнения окажется положительным, то затраты на СИБ следует считать выгодными. В противном же случае надо продолжить исследования комплекса угроз информационной безопасности и соответствующих средств их ликвидации. Кроме того, в Заключении следует оценить хотя бы ближайшие перспективы дальнейшего развития и совершенствования средств СИБ и необходимость, предполагаемую выгодность их внедрения и практического использования в СИБ организации.