Политика безопасности 'Ростелекома'
Введение
Целями производственной практики по профилю
специальности 210723 являются комплексное освоение всех видов профессиональной
деятельности, формирование общих и профессиональных компетенций, также
приобретение необходимых умений и опыта практической работы по специальности.
Задачами производственной практики по профилю
специальности 210723 являются приобретение студентами профессиональных умений,
закрепление, расширение и систематизация знаний, полученных при изучении ПМ 02
«Обеспечение информационной безопасности телекоммуникационных систем и
информационно-коммуникационных сетей связи».
В процессе выполнения практической работы
осваиваются следующие общие компетенции:
ОК1. Понимать сущность и социальную значимость
своей будущей профессии проявлять к ней устойчивый интерес.
ОК2. Решать проблемы, оценивать риски и
принимать решения в нестандартных ситуациях.
ОК3. Осуществлять поиск, анализ и оценку
информации, необходимой для постановки и решения профессиональных задач,
профессионального и личностного развития.
«Ростелеком» - российская
телекоммуникационная компания
<#"802941.files/image001.gif">
Рисунок 4.1 - Общий план аудита
<#"802941.files/image002.gif">
Рисунок 4.2 - Аудит защищённости
web-приложений
Основная задача - выявление причин
найденных ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода
проводится на основе выработанных рекомендаций по созданию безопасного кода. В
случае нахождения формальных признаков новой уязвимости - она проверяется на
предмет возможности её эксплуатации.
В случае размещения web-приложения в
условиях аренды места на сервере хостинга - дополнительно может быть проведена
оценка угроз, исходящих от соседних доменов, размещенных на данном физическом
сервере:
) оценка рисков - на данном этапе
проводится анализ всех найденных в процессе аудита угроз, описание процесса и
причин их возникновения, оценка вероятности возникновения и степени влияния на
бизнес-процессы;
) выработка рекомендаций - на основе
анализа угроз, вырабатывается ряд рекомендаций по их устранению;
) внедрение мер по обеспечению
информационной безопасности - на основе выработанных рекомендаций производится
внедрение мер по обеспечению информационной безопасности, которые включают в
себя настройку системных параметров, изменение исходного кода приложения и
внедрение средств защиты.
По окончании работ производится
оценка остаточного риска.
Отчет, предоставляемый по результатам
проведения аудита Web-приложений, содержит детальное описание проведенных
работ, все выявленные уязвимости приложений, способы их применения и
рекомендации по устранению данных уязвимостей.
Комплексный аудит
Комплексный аудит информационной
безопасности - независимая и объективная комплексная оценка текущего состояния
защищенности информационной системы, позволяющая систематизировать угрозы
информационной безопасности и предложить рекомендации по их устранению.
Комплексный аудит информационной
безопасности позволяет получить наиболее полную оценку защищенности
информационной системы и рекомендуется для первичной оценки, объединяет в себе
другие виды аудита информационной безопасности и предоставляет возможность
оценить уровень и состояние информационной безопасности, как внутренних
ресурсов, так и внешних.
поиск уязвимостей, позволяющих
произвести атаку на информационную систему организации;
комплексная оценка защищенности
информационной системы, отсутствие или недостатки применяемых систем защиты
информации от несанкционированного воздействия;
регулярное отслеживание изменений в
информационной системе;
получение независимой оценки;
соблюдение требований международных
стандартов и нормативных документов в сфере информационной безопасности,
рекомендующие требующие периодического или разового проведения аудита
информационной безопасности.
Основные задачи комплексного аудита
информационной безопасности:
анализ структуры, функций, используемых
технологий обработки, хранения и передачи информации в информационной системе;
выявление уязвимостей информационной
системы с их ранжированием по степени критичности, их идентификация по
международным и собственным классификаторам;
составление модели нарушителя,
применение методики активного аудита для проверки возможности реализации
выявленных угроз информационной безопасности;
требования международных стандартов
и нормативных документов в сфере информационной безопасности;
выработка рекомендаций по повышению
эффективности защиты информации в информационной системе.
В общем виде, комплексный аудит
информационной безопасности включает в себя следующие виды аудита ИБ:
) внешний аудит информационной
безопасности, который включает в себя:
а) технический аудит сети;
б) внешние тесты на проникновение;
в) аудит защищенности
Web-приложений.
) внутренний аудит информационной
безопасности, который включает в себя:
а) технический аудит сети;
б) внутренние тесты на
проникновение;
в) аудит защищенности от утечки информации;
Отчет, предоставляемый организации
по результатам проведения аудита, содержит детальное описание проведенных
работ, все выявленные уязвимости, способы их применения и рекомендации по
устранению данных уязвимостей.
Аудит на соответствие стандартам
Стандарт ГОСТ Р ИСО/МЭК 27001-2006
является признанным стандартом в области построения Системы Управления
Информационной Безопасностью (СУИБ) организации, универсальность данного
стандарта позволяет использовать его во всех типах организаций вне зависимости
от профиля их деятельности. ГОСТ Р ИСО/МЭК 27001-2006 включает в себя
требования для разработки и эксплуатации системы управления информационной
безопасности организации.
Построение системы управления
информационной безопасности в соответствии с требованиями стандарта позволяет
повысить «прозрачность» компании для инвесторов, партнеров и клиентов,
благодаря управлению рисками, а также увеличить защищенность компании от угроз
информационной безопасности.
Проведение аудита заключается в
анализе и оценке:
системы управления рисками
информационной безопасности;
политики безопасности, регламентов,
инструкций, а также других документов, обеспечивающих информационную
безопасность организации;
принципов управления активами и
персоналом;
технических средств обеспечения
информационной безопасности;
существующей системы управления
инцидентами;
процессов управления непрерывностью
бизнеса и восстановления после сбоев.
Результатом проведенных работ
является:
возможность прохождения
сертификации;
повышение конкурентоспособности на
рынке;
повешение доверия со стороны
клиентов, за счет обеспечения высокой защиты информационной безопасности на
мировом уровне;
снижение рисков финансовых потерь,
за счет обеспечения высокой отказоустойчивости и повышенной информационной
безопасности организации;
наличие организационно
распорядительной документации, описывающего полномочия и ответственность
сотрудников организации;
прозрачная система управления
информационной безопасностью предприятия.
Заключение
В соответствии с учебным планом в период с
23.06.2014г. по 05.07.2014г. была пройдена производственная практика ПМ.02
«Техническая эксплуатация телекоммуникационных систем»
Практика началась с вводного инструктажа,
изучения требований к организации определённого рабочего места, ознакомления с
санитарно-гигиеническими нормами и безопасностью работы. Далее осуществлялось
знакомство с направлением деятельности предприятия ОАО «Ростелеком», изучение
её нормативно-правовой базы.
В отчете по практике отражены профессиональные
компетенции:
использование программно-аппаратных средств
защиты информации в телекоммуникационной системе и сетях связи (ПК 2.1):
а) антивирусы;
б) криптографическое программное обеспечение;
в) программное обеспечение для
резервного копирования
<http://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%B5_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BB%D1%8F_%D1%80%D0%B5%D0%B7%D0%B5%D1%80%D0%B2%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BA%D0%BE%D0%BF%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F>ý;
г) межсетевые экраны;
применение системы анализа
защищенности для обнаружения уязвимости информации, выдавать рекомендации по их
устранению (ПК 2.2):
а) физическая безопасность.
Ограничьте физический доступ к оборудованию компьютера;
б) управление доступом к системе.
Ограничьте доступ пользователей с помощью паролей и полномочий;
в) управление доступом к файлам.
Ограничьте доступ к данным путем назначения полномочий на файлы;
г) аудит пользователей.
Контролируйте деятельность пользователей для обнаружения опасности раньше, чем
произойдет повреждение системы;
д) безопасность в сети. Установите
защиту доступа через телефонные линии, последовательные линии связи или через
сеть;
е) обеспечьте защиту доступа с
привилегиями суперпользователя. Установите доступ с привилегиями
суперпользователя только для решения задач системного администрирования;
ответственность за безопасность
информации должна быть возложена на конкретного администратора. Администратор
безопасности сети должен играть роль центра для всех направлений безопасности
сети в рамках организации; тем не менее, администратор безопасности сети может
делегировать другому сотруднику некоторые свои полномочия (ПК 2.3).
В результате прохождения
производственной практики была освоена работа на предприятии связи и
приобретение некоторых практических навыков в технической эксплуатации информационно-коммуникационных
сетей связи.
Для составления отчета
использовалась информация, предоставленная руководителем предприятия, а также
сведения, полученные из технической документации, руководящих документов,
инструкций из Интернета.
Список используемых источников
1. Алиев
Т.И Сети ЭВМ и телекоммуникации Санкт-Петербург 2011год. 400с.
2. Брейман
А.Д Сети ЭВМ и телекоммуникации. Глобальные сети Москва 2006год. 117с.
. Беспроводные
технологии журнал №04 2011 138с.
. Вишневский
В., Портной С., Шахнович И. Энциклопедия WiMAX путь к 4g Москва 2009год. 470с.
. Витаминюк
А.И. Создание, обслуживание и администрирование сетей на 100% - 2010год.
Санкт-Петербург 232с.
. Виснадул
Б.Д., Лупин С.А., Сидоров С.В., Чумаченко П.Ю. - Основы компьютерных сетей.
2007год. 272с.