Информационная безопасность предприятия

Автор работы: Пользователь скрыл имя, 09 Ноября 2013 в 16:59, курсовая работа

Описание работы

Информационная безопасность предприятия - это защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.

Файлы: 1 файл

НИР 3 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КАК СОСТАВЛЯЮЩАЯ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ.docx

— 114.28 Кб (Скачать файл)

Пароль может использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а  также для обратного установления подлинности компьютера по отношению  к пользователю.

Для идентификации пользователей  могут применяться сложные в  плане технической реализации системы, обеспечивающие установление подлинности  пользователя на основе анализа его  индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др.

Широкое распространение  нашли физические методы идентификации  с использованием носителей кодов  паролей. Такими носителями являются пропуска в контрольно-пропускных системах; пластиковые карты с именем владельца, его кодом, подписью; пластиковые  карточки с магнитной полосой; пластиковые  карты с встроенной микросхемой (smart-card); карты оптической памяти и др.

Средства защиты информации по методам реализации можно разделить  на три группы:

  • программные;
  • программно-аппаратные;
  • аппаратные.

Программными средствами защиты информации называются специально разработанные программы, которые реализуют функции безопасности вычислительной системы, осуществляют функцию ограничения доступа пользователей по паролям, ключам, многоуровневому доступу и т.д. Эти программы могут быть реализованы практически в любой операционной системе, удобной для пользователя. Как правило, эти программные средства обеспечивают достаточно высокую степень защиты системы и имеют умеренные цены. При подключении такой системы в глобальную сеть вероятность взлома защиты увеличивается. Следовательно, этот способ защиты приемлем для локальных замкнутых сетей, не имеющих внешний выход.

Программно-аппаратными средствами называются устройства, реализованные на универсальных или специализированных микропроцессорах, не требующие модификаций в схемотехнике при изменении алгоритма функционирования. Эти устройства также адаптируются в любой операционной системе, имеют большую степень защиты. Они обойдутся несколько дороже (их цена зависит от типа операционной системы). При этом данный тип устройств является самым гибким инструментом, позволяющим вносить изменения в конфигурацию по требованию заказчика. Программно-аппаратные средства обеспечивают высокую степень защиты локальной сети, подключенной к глобальной.

Аппаратными средствами называются устройства, в которых функциональные узлы реализуются на сверхбольших интегральных системах (СБИС) с неизменяемым алгоритмом функционирования. Этот тип устройств адаптируется в любой операционной системе, является самым дорогим в разработке, предъявляет высокие технологические требования при производстве. В то же время эти устройства обладают самой высокой степенью защиты, в них невозможно внедриться и внести конструктивные или программные изменения. Применение аппаратных средств затруднено из-за их высокой стоимости и статичности алгоритма.

Программно-аппаратные средства, уступая аппаратным по скорости, позволяют  в то же время легко модифицировать алгоритм функционирования и не обладают недостатками программных методов.

К отдельной группе мер  по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени.

 

2. Построение  эффективной системы информационной  безопасности

2.1 Обеспечение  информационной безопасности

 

Сегодня многие российские компании решают задачи создания системы информационной безопасности (системы ИБ), которая  соответствовала бы «лучшим практикам» и стандартам в области ИБ и  отвечала современным требованиям  защиты информации по параметрам конфиденциальности, целостности и доступности. Причем, этот вопрос важен не только для  «молодых» компаний, развивающих  свой бизнес с использованием современных  информационных технологий управления. Не менее, а скорее и более важной эта проблема является для предприятий  и организаций, давно работающих на рынке, которые приходят к необходимости  модернизировать существующую у  них систему ИБ.

С одной стороны, необходимость  повышения эффективности системы  ИБ связана с обострением проблем  защиты информации. Здесь можно упомянуть, во-первых, растущую потребность обеспечения  конфиденциальности данных. Российские компании, вслед за своими западными  коллегами, приходят к необходимости  учитывать так называемые репутационные риски, ответственность по обеспечению конфиденциальности данных своих клиентов, субподрядчиков, партнеров. Вместе с тем, в большинстве российских компаний организационная составляющая системы ИБ проработана слабо. Например, данные как таковые зачастую не классифицированы, то есть компания не имеет четкого представления о том, какие у нее есть типы данных с позиций их конфиденциальности, критичности для бизнеса. А это влечет за собой целый ряд проблем, начиная от сложностей в обосновании адекватности мероприятий по защите информации и заканчивая невозможностью при возникновении инцидента использовать правовые методы их расследования.

Еще одна острая проблема в сфере  защиты данных связана с обеспечением непрерывности функционирования информационных систем. Для многих современных компаний, прежде всего, финансовых организаций, производственных холдингов, крупных  дистрибьюторов бесперебойная работа информационных систем, поддерживающих основной бизнес, и доступность данных становятся критичным вопросом. Сбои в работе систем ведут к прерыванию бизнес-процессов и, соответственно, к недовольству клиентов, штрафам и другим потерям. А в обеспечении доступности данных немаловажную роль играют системы защиты, предотвращающие злонамеренные атаки на информационную систему (атаки типа «отказ в обслуживании» и др.).

С другой стороны, в большинстве  крупных компаний имеет место  унаследованная «лоскутная» автоматизация. Развитие корпоративной информационной системы (ИС) осуществляется довольно хаотично; немногие компании опираются  на продуманную ИТ-стратегию или  планы развития ИС. Обычно используется политика «латания дыр», новые ИТ-сервисы  добавляются без привязки к уже  существующим и без учета их взаимосвязи. И точно так же отсутствует продуманная архитектура системы ИБ, мало кто до настоящего времени определял, насколько система ИБ полная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно – система ИБ редко бывает обоснованной экономически.

Опыт работы нашей компании свидетельствует, что построение эффективной системы  ИБ должно опираться на анализ рисков (в том числе анализ возможного ущерба), который является основой  при выборе технических подсистем, их экономическом обосновании. Плюс комплекс организационных мер и  создание системы управления ИБ (системы  управления информационными рисками). И, наконец, соблюдение выверенных на практике принципов построения системы ИБ, например, принципа «многоэшелонированной» защиты.

 

Рис. 1. Полный цикл работ по обеспечению  информационной безопасности

 

Таким образом, при построении (модернизации) системы ИБ целесообразно реализовывать  цикл работ (рис. 1), включающий обязательный этап диагностического обследования с  оценкой уязвимостей информационной системы и угроз, на основе которого производится проектирование системы  и ее внедрение.

 

2.2 Построение  системы информационной безопасности

 

Для построения эффективной системы  информационной безопасности, выбор  и внедрение адекватных технических  средств защиты должен предваряться анализом угроз, уязвимостей информационной системы и на их основе - анализом рисков информационной безопасности. Выбор программно-аппаратного обеспечения защиты и проектирование систем ИБ основывается на результатах такого анализа с учетом экономической оценки соотношения «стоимость контрмер по снижению рисков / возможные потери компании от инцидентов информационной безопасности».

Таким образом, построение системы  ИБ компании целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы компании, а также существующих средств контроля ИБ. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует  ли уровень безопасности информационно-технологических  ресурсов компании выдвигаемым требованиям, то есть обеспечиваются ли необходимые  параметры конфиденциальности, целостности  и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы  противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять  тесты на проникновение.

Существует несколько видов  обследования:

  • предпроектное диагностическое обследование, которое выполняется при модернизации или построении системы ИБ;
  • аудит системы ИБ (или системы управления ИБ) на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO 27001;
  • специальные виды обследования, например, при расследовании компьютерных инцидентов.

При проведении диагностического обследования/аудита системы ИБ последовательно выполняются  следующие работы:

 

 

Рис.2. Работы, выполняемые при диагностики системы информационной безопасности

 

Каждый этап работ имеет реальные, контролируемые результаты, что позволяет  обеспечить эффективный контроль проекта  на всем его протяжении.

В процессе обследования и анализа  системы информационной безопасности также идентифицируются «владельцы»  ИТ-ресурсов (включая автоматизированные системы и корпоративные данные) и лица, ответственные за целостность  этих ресурсов. Устанавливаются требования к системе разделения прав доступа (пароли, разрешения), включая все  правила доступа к информационной системе компании. ИТ-ресурсы классифицируются по степени важности/критичности.

Проверяются все процедуры безопасности, в том числе поддержка системы  ИБ, процесс расследования нарушений  ИБ, организация системы резервного копирования, разграничение прав пользователей, процедуры удаленного доступа, защиты учетных записей и др. Определяются лица, ответственные за развитие и  поддержку системы ИБ.

В ходе анализа и моделирования  возможных сценариев атак на систему  ИБ выявляются ситуации, которые могут  привести к нарушению нормального  «течения» бизнес-процессов. Определяются возможные последствия несоответствия системы ИБ политике безопасности компании.

Если обследование выполняется  сторонней организацией, то на всех стадиях проекта необходимо привлечение  к работам персонала компании-заказчика. Это гарантирует учет основных требований, специфики и интересов обследуемой  компании.

Следующим этапом построения системы  ИБ является ее проектирование, включая  систему управления ИБ.

Задача проектирования системы  ИБ тесно связана с понятием архитектуры  системы ИБ. Построение архитектуры  системы ИБ, как интегрированного решения, соблюдение баланса между  уровнем защиты и инвестициями в  систему ИБ обеспечивают ряд преимуществ: интеграция подсистем позволяет  снизить совокупную стоимость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость  системы ИБ, а следовательно, возможности отслеживания событий, связанных с ИБ.

Этапы работ по проектированию системы ИБ

1. Разработка Концепции обеспечения информационной безопасности. Определяются основные цели, задачи и требования, а также общая стратегия построения системы ИБ. Идентифицируются критичные информационные ресурсы. Вырабатываются требования к системе ИБ и определяются базовые подходы к их реализации.

2. Создание / развитие политики ИБ.

3. Построение модели системы управления ИБ (на основе процессно-ролевой модели).

4. Подготовка технического задания на создание системы информационной безопасности.

5. Создание модели системы ИБ.

6. Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы.

  • Пояснительную записку, содержащую описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации.
  • Обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты.
  • Спецификацию на комплекс технических средств системы ИБ.
  • Спецификацию на комплекс программных средств системы ИБ.
  • Определение настроек и режима функционирования компонентов системы ИБ.

7. Тестирование на стенде спроектированной системы ИБ.

8. Разработка организационно-распорядительных документов системы управления ИБ (политик по обеспечению информационной безопасности, процедур, регламентов и др.).

9. Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.

2.3 Внедрение системы  безопасности информации на предприятии

 

После проведения полного тестирования спроектированной системы ИБ, можно  приступать к ее внедрению. Работы по внедрению системы включают выполнение следующих задач:

  • поставку программных и технических средств защиты информации;
  • инсталляцию программных компонентов;
  • настройку всех компонентов и подсистем;
  • проведение приемо-сдаточных испытаний;
  • внедрение системы управления ИБ;
  • обучение пользователей;
  • ввод системы ИБ в промышленную эксплуатацию.

Информация о работе Информационная безопасность предприятия