Разработка комплексной системы защиты информации для ООО 'Нейрософт'
Федеральное агентство по образованию
Государственное образовательное
учреждение высшего профессионального образования
Ивановский государственный
энергетический университет имени В.И. Ленина
Кафедра информационных технологий
Курсовая работа
по дисциплине:
Информационная безопасность и защита
информации
на тему:
Разработка комплексной системы защиты
информации для ООО «Нейрософт»
Выполнила Н.А. Кондратенко
студентка 4 курса 46 группы
Руководитель Д.О. Сонин
Иваново 2010
Содержание:
Введение
. Предпроектные исследования
.1 Преимущества компании
Нейрософт
1.2
Организационно-правовая форма
.3
Организационная структура фирмы «НейроСофт»
.4 Процессы,
протекающие в организации
2. Информационные объекты
. Определение степени
конфиденциальности, достоверности, целостности информационных объектов
.1 Категории целостности
защищаемой информации
. Технорабочее проектирование
.1 Определение угроз и
источников их возникновения
.2 Определение рисков
информационной безопасности
. Выбор средств защиты
информационной безопасности
. Определение остаточного
риска информационной безопасности
Заключение
Приложение 1. Разработка
политики безопасности
Приложение 2. Разработка
инструкции по организации парольной защиты
Введение
Информация давно перестала быть просто необходимым для производства
вспомогательным ресурсом или побочным проявлением всякого рода деятельности.
Информация является одним из важнейших факторов эффективного управления
деятельностью любого предприятия. Она приобрела ощутимый стоимостный вес, который
четко определяется размерами ущерба, с разной степенью вероятности наносимого
владельцу информации.
Роль информации в процессе управления велика - на всех его уровнях и во
всех сферах: политической, экономической, научной, культурной и т.д.
В связи с этим возникает повышенная опасность в виде возможного ущерба
тем информационным ресурсам, которые используются информационными технологиями.
Для снижения возможности причинения ущерба информационным ресурсам до
приемлемого минимума необходимо серьезно заниматься таким понятием как
информационная безопасность.
Под информационной безопасностью понимается состояние защищенности
информации и поддерживающих инфраструктур от случайных или преднамеренных
воздействий естественного либо искусственного характера, связанных с нанесением
ущерба субъектам информационных отношений.
1.
Предпроектные исследования
Компания Нейрософт основана 29 января 1992 года преподавателями и
научными сотрудниками двух ивановских вузов - медицинского и энергетического.
Именно объединение сил инженеров-электронщиков, программистов и ученых-медиков
позволило ей в короткий срок занять лидирующие позиции на рынке российского
диагностического электрофизиологического оборудования. Политика компании
состоит в том, чтобы всегда быть на переднем крае электронной, компьютерной и
медицинской технологии, разрабатывать высококачественные приборы и
предоставлять современные достижения науки практическому здравоохранению.
1.1
Преимущества компании Нейрософт
Отличная
подготовка персонала
По количеству студентов на душу населения Иваново занимает одно из первых
мест среди городов России. В городе действует около двух десятков высших
учебных заведений, семь из которых имеют высокий образовательный рейтинг и как
минимум полувековую историю. Это позволяет использовать в качестве персонала
ведущих научных сотрудников вузов и наиболее талантливых студентов. Сегодня в
компании Нейрософт на постоянной основе трудится 100 человек. На предприятии
существуют отделы маркетинга, конструкторско-экспериментальный, программного
обеспечения, производственный, транспортный, финансовый, отделы рекламы и
продаж. Все, начиная от разработки продукции и заканчивая ее производством,
реализацией, гарантийным и послегарантийным обслуживанием, выполняется силами
сотрудников компании.
Крепкие
научные и дружественные связи с ведущими специалистами и учреждениями
Компания Нейрософт является коллективным членом Академии
медико-технических наук Российской Федерации. За годы деятельности компания
установила крепкие научные и дружественные связи со многими научными
учреждениями, крупными медицинскими центрами и именитыми учеными. Среди них:
· Отдел электрофизиологии ММА им. Сеченова / г. Москва (академик М.А.
Ронкин);
· Отдел нервно-мышечной патологии человека НИИ общей патологии
и патофизиологии / г. Москва;
· НИИ скорой помощи им. Склифосовского / г. Москва (профессор
Л.И. Сумский);
· Сомнологический центр МЗ РФ (профессор Я.И. Левин);
· НИИ неврологии / г. Москва (профессор В.В. Гнездицкий);
· НИИ глазных болезней им. Гельмгольца / г. Москва (ведущий
научный сотрудник д.м.н. А.М. Шамшинова);
· НИИ нейрохирургии им. Бурденко / г. Москва (д.м.н. Г.А.
Щекутьев);
· НИИ материнства и детства им. В.Н. Городкова / г. Иваново
(профессор Л.В. Посисеева);
· Российская военно-медицинская академия / г. Санкт-Петербург
(профессор М.М. Одинак);
· Ивановская государственная медицинская академия / г. Иваново
(профессор Р.Р. Шиляев);
· Академия медико-технических наук / г. Москва (академик Б.И.
Леонов, академик О.Я. Боксер);
· Центр подготовки космонавтов им. Ю.А. Гагарина / Звездный
городок (полковник Н.А. Филатов);
· Всероссийский центр медицины катастроф «Защита» / г. Москва
(профессор В.Н. Преображенский);
· Российский научный центр восстановительной медицины и
курортологии МЗ РФ (действительный член РАМН директор А.Н. Разумов);
· Арктический и антарктический НИИ / г. Санкт-Петербург (Ю.И.
Сенкевич);
· Институт медико-биологических проблем РАН / г. Москва
(профессор Р.М. Баевский);
· НИИ нормальной физиологии им. П.К. Анохина РАМН / г. Москва
(академик К.В. Судаков);
· Центральный клинический санаторий им. Ф.Э. Дзержинского ФСБ
РФ / г. Сочи (чл.-корр. РАМН профессор А.Т. Быков);
· Ассоциация специалистов восстановительной медицины / г.
Москва (президент к.т.н. А.И. Труханов).
Высокий
потенциал разработок
Все производимое предприятием оборудование - результат собственных
разработок. С 1992 года конструкторы и инженеры-электронщики создали 47 моделей
различных медицинских приборов. Все программное обеспечение для выпускаемых
приборов является продуктом творческой мысли высококвалифицированных
программистов компании. Каждый второй продаваемый прибор разработан в течение
последних двух лет, каждый третий - в течение последних четырех.
Ежегодно
в России врачам, биологам, ученым, совершившим открытия, не имеющие мировых
аналогов, вручается национальная премия в области медицины «Призвание». В 2004
году в номинации «За вклад в развитие медицины, внесенный представителями
фундаментальной науки и немедицинских профессий» были выдвинуты руководители
отделов программного обеспечения и схемотехники компании Нейрософт М.Б. Бабаев
и Е.А. Романов, создавшие уникальный прибор для исследования состояния нервной
системы - электронейромиограф Нейро-МВП
<#"656572.files/image001.gif">
1.4
Процессы, протекающие в организации
Процесс
|
Владелец процесса
|
Порядок разработки, согласования, утверждения, внесения
изменений, учета, изъятия и архивирования документов Системы менеджмента
качества
|
Руководитель отдела стандартизации и управления качеством
|
Проведение внутренних аудитов Системы менеджмента качества.
|
Руководитель отдела стандартизации и управления качеством
|
Порядок проведения корректирующих и предупреждающих действий
|
Руководитель отдела стандартизации и управления качеством
|
Порядок проведения анализа эффективности Системы
менеджмента качества.
|
Руководитель отдела стандартизации и управления качеством
|
Порядок изготовления изделий номенклатурного перечня
|
Начальник производства
|
Сбыт готовой продукции, товаров и аксессуаров
|
Руководитель коммерческого отдела
|
Порядок управления нормативно-технической документацией.
|
Руководитель отдела стандартизации и управления качеством
|
Порядок проведения входного контроля ПКИ, материалов и
полуфабрикатов
|
Руководитель отдела МТС
|
Порядок проектирования, разработки и постановки продукции
на производство
|
Технический директор
|
Порядок разработки аппаратной частии встроенного
программного обеспечения
|
Руководитель отдела схемотехники Инженер-электроник (СХТ)
|
Управление персоналом
|
Руководитель отдела по работе с персоналом
|
Порядок организации и проведения работ по ремонту,
модернизациии техническому обслуживанию продукции, поступающей от потребителя
в сервисный центр
|
Руководитель сервисного центра.
|
Определение спецификации и анализ заказа
|
Руководитель коммерческого отдела
|
Организация обучения персонала заказчика
|
Директор по развитию
|
Организация материально-технического обеспечения
|
Руководитель отдела МТС
|
Запись дистрибутивов программного обеспечения на
компакт-диски
|
Руководитель службы ИТ
|
Процесс обработки заказа на поставку оргтехники
|
Руководитель службы ИТ
|
Порядок связи с потребителем и работа с обращениями
|
Руководитель коммерческого отдела
|
Порядок разработки и внесения изменений в программное
обеспечение
|
Руководитель отдела программного обеспечения Руководитель
отдела инноваций
|
Процесс разработки и изготовления опытных образцов изделий
для продукции, выпускаемой ООО «Нейрософт»
|
Руководитель технологического отдела
|
Порядок разработки информационно-декоративных панелей
|
Руководитель технологического отдела
|
Управление конструкторской документацией
|
Главный механик (конструкторский отдел)
|
Управление технологической документацией
|
Руководитель технологического отдела
|
Порядок управления записями Системы менеджмента качества.
|
Руководитель отдела стандартизации и управления качеством
|
Порядок управления эксплуатационной документацией
|
Директор по развитию
|
Менеджмент риска
|
Руководитель отдела стандартизации и управления качеством
|
Метрологическое обеспечение производства
|
Руководитель отдела стандартизации и управления качеством
|
Порядок внесения изменения в аппаратную часть серийно
выпускаемой продукции
|
Руководитель лаборатории Инженер-электроник (СХТ)
|
Порядок внесения изменений в серийновыпускаемую продукцию
|
Технический директор
|
Порядок проведения работ по ремонту, модернизации и
техническому обслуживанию продукции,поступающей в производство из сервисного
центра
|
Начальник производства
|
Порядок технической подготовки производства
|
Начальник производства
|
Управление комплектамипоставки продукции
|
Руководитель отдела стандартизации и управления качеством
|
2.
Информационные объекты
Информационный объект - информационные массивы, наборы данных,
технические средства, участвующие в обработке и хранении информации, персонал,
информационные продукты. Информационным продуктом может быть объектом
интеллектуальной собственности, если он содержит новую, ценную, уникальную для
общечеловеческого тезауруса информацию.
Основные информационные объекты в системе:
Профиль информации
|
Наименование сведений, документов и другой информации,
составляющих коммерческую тайну
|
1. Производственная информация
|
1.1 Сведения о структуре производства и производственных
мощностях. 1.2 Сведения о типе и размещении оборудования. 1.3 Сведения о
запасах и движении сырья, материалов, комплектующих и готовой продукции за
месяц. 1.4 Сведения о модификации и модернизации ранее известных технологий,
процессов, оборудования. 1.5 Перспективные планы развития производства. 1.6
Технические спецификации существующей и перспективной продукции.
|
2. Управленческая информация
|
2.1 Сведения о подготовке, принятии и исполнении отдельных
решений руководства предприятия по производственным, научно-техническим,
коммерческим, организационным и иным вопросам. 2.2 Предмет совещаний у
руководства. 2.3 Сведения о целях, рассматриваемых вопросах, результатах,
фактах проведения совещаний и заседаний органов управления предприятием.
|
3. Информация о рынке
|
3.1 Сведения о рыночной политике и планах. 3.2 Сведения о
каналах и методах сбыта. 3.3 Сведения о политике сбыта. 3.4 Сведения о ценах,
скидках, условиях договоров, спецификации продукции.
|
4. Финансовая информация
|
4.1 Сведения об источниках финансирования, финансовой
устойчивости, размерах и условиях банковских кредитов. 4.2 Сведения о
состоянии материально-технической базы ООО.
|
5. Информация по безопасности и персональным данным
|
5.1 Сведения о важных элементах систем безопасности, кодов
и процедур доступа к информационным сетям и центрам; 5.2 Принципы организации
защиты коммерческой тайны.
|
6. Научно-техническая информация
|
6.1 Новые технические, технологические и физические
принципы, планируемые к использованию в продукции предприятия; 6.2 Программы
НИР; 6.3 Новые алгоритмы; 6.4 Оригинальные программы.
|
3.
Определение степени конфиденциальности, достоверности, целостности
информационных объектов
Для эффективной деятельности предприятия информационные объекты должны
обладать следующими свойствами:
- своевременность доступа;
- конфиденциальность;
доступность;
достоверность;
разграничение ответственности;
защищенность от нежелательного искажения, утраты.
Данный этап является начальным при проектировании системы защиты
информации, т.к. от правильности определения информационных объектов зависит
адекватность функционирования выбираемых в последующем средств защиты.
Безопасность любого информационного объекта может быть заключена в
обеспечении трех основных характеристик: конфиденциальность, доступность и
достоверность.
Конфиденциальность информации - субъективно определяемая
характеристика (свойство) информации, указывающая на необходимость введения
ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и
обеспечиваемая способностью системы (среды) сохранять указанную информацию в
тайне от субъектов, не имеющих полномочий на доступ к ней.
Целостность информации - защита от несанкционированного изменения или разрушения
информации и программно-технической информационно среды.
Доступность информации - защита от несанкционированного сокрытия информации.
3.1 Категории целостности защищаемой информации:
«Высокая» - к данной категории относится информация, несанкционированная
модификация (искажение, уничтожение) или фальсификация которой может привести к
нанесению значительного прямого ущерба предприятию, ее партнерам, целостность и
аутентичность (подтверждение подлинности источника) которой должна
обеспечиваться гарантированными методами (например, средствами электронной
цифровой подписи) в соответствии с обязательными требованиями действующего законодательства;
«Средняя» - к данной категории относится информация, несанкционированная
модификация, удаление или фальсификация которой может привести к нанесению
незначительного косвенного ущерба предприятию, ее партнерам, целостность (а при
необходимости и аутентичность) которой должна обеспечиваться в соответствии с
решением руководства (методами подсчета контрольных сумм, электронной цифровой
подписи и т.п.);
«Нет требований» - к данной категории относится информация, к обеспечению
целостности (и аутентичности) которой требований не предъявляется.
С целью упрощения операций по категорированию конфиденциальности и
целостности защищаемой информации объединяются и устанавливаются четыре
обобщенных категории информации: «жизненно важная», «очень важная», «важная» и
«неважная». Отнесение информации к той или иной обобщенной категории
осуществляется на основе ее категорий конфиденциальности и целостности в
соответствии со следующей таблицей.
Проведем категоризацию информационных объектов по свойствам: целостность,
доступность, конфиденциальность. Оценку выделенных свойств будем проводить по
номинальной шкале.
Обобщенная категория информации (конфиденциальность-целостность)
Определение обобщенной категории информации
|
Категория конфиденциальности информации
|
Категория целостности информации
|
|
«высокая»
|
«средняя»
|
«нет требований»
|
«высокая»
|
1
|
1
|
2
|
«средняя»
|
1
|
2
|
3
|
«нет требований»
|
2
|
3
|
4
|
- «Жизненно важная» информация:
2 - «Очень важная» информация:
3 - «Важная» информация
- «Неважная» информация
Обобщенная категория информации с учетом доступности
Определение обобщенной категории с учетом доступности
|
Обобщенная категория информации
|
Требуемая степень доступности выполнения задачи
|
|
«Высокая»
|
«Средняя»
|
«Низкая»
|
«Жизненно важная»
|
1
|
1
|
2
|
«Очень важная»
|
1
|
2
|
2
|
«Важная»
|
2
|
2
|
3
|
«Неважная»
|
2
|
3
|
4
|
- «первая» категория:
- «вторая» категория:
3 - «третья» категория:
- «четвертая» категория:
В соответствии с порядком категорирования, нам необходимо
прокатегорировать перечень сведений, составляющих конфиденциальную тайну
организации.
Оценка ценного информационного ресурса
Тематическая группа
|
Конфиденциальность
|
Целостность
|
Обобщенная категория
|
Доступность
|
Итоговая категория
|
1. Производственная информация
|
Высокая
|
Средняя
|
1
|
Средняя
|
1
|
2. Управленческая информация
|
Высокая
|
Средняя
|
1
|
Высокая
|
1
|
3. Информация о рынке
|
Высокая
|
Высокая
|
1
|
Высокая
|
1
|
4. Финансовая информация
|
Средняя
|
Высокая
|
1
|
Высокая
|
1
|
5. Информация по безопасности и персональным данным
|
Высокая
|
Высокая
|
1
|
Высокая
|
1
|
6. Научно-техническая информация
|
Высокая
|
Высокая
|
1
|
Средняя
|
1
|
Имеем три категории конфиденциальности информации: высокая, средняя, нет
требований. Определение возможного ущерба для категорий конфиденциальности,
целостности и доступности были получены в результате экспертного опроса
должностных лиц предприятия:
Категория конфиденциальности
|
Величина возможного ущерба (руб.)
|
Высокая
|
150 000
|
Средняя
|
110 000
|
Нет требований
|
10 000
|
Имеем три категории целостности информации: высокая, средняя, нет
требований.
Категория целостности
|
Величина возможного ущерба, (руб.)
|
Высокая
|
100 000
|
Средняя
|
85 000
|
Нет требований
|
15 000
|
Имеем три категории доступности информации: высокая, средняя, низкая.
Категория доступности
|
Величина возможного ущерба, (руб.)
|
Высокая
|
95 000
|
Средняя
|
53 000
|
Низкая
|
7 000
|
Определение ущерба категориям конфиденциальности и
категориям целостности
|
Ущерб категории конфиденциальности
|
Ущерб категории целостности
|
|
«высокая» - 100 000
|
«средняя» - 85 000
|
«нет требований» - 15 000
|
«высокая» - 150 000
|
250 000 Предельно важная
|
235 000 Предельно важная
|
165 000 Важная
|
«средняя» - 110 000
|
210 000 Очень важная
|
195 000 Очень важная
|
125 000 Важная
|
«нет требований» - 10 000
|
110 000 Важная
|
95 000 Несущественная
|
25 000 Несущественная
|
Величины возможных ущербов для обобщенной категории конфиденциальности и
целостности (выбирается максимум из ущербов для каждой из обобщенных категорий:
максимум для предельно важной категории (1), максимум для очень важной
категории (2) и т.д.):
Обобщенная категория
|
Величина возможного ущерба, (руб.)
|
«Предельно важная»
|
250 000
|
«Очень важная»
|
210 000
|
«Важная»
|
165 000
|
«Несущественная»
|
95 000
|
Величины возможных ущербов для обобщенной категории конфиденциальности и
целостности и категорий доступности - итоговых категорий рассчитываются как:
Определение обобщенной категории с учетом доступности
|
Обобщенная категория информации
|
Требуемая степень доступности выполнения задачи
|
|
«Высокая» - 95 000
|
«Средняя» - 53 000
|
«Низкая» - 7000
|
«Предельно важная» - 250 000
|
345 000 «Первая»
|
303 000 «Первая»
|
257 000 «Вторая»
|
«Очень важная» - 210 000
|
305 000 «Первая»
|
263 000 «Вторая»
|
217 000 «Вторая»
|
«Важная» - 165 000
|
260 000 «Вторая»
|
218 000 «Вторая»
|
172 000 «Третья»
|
«Несущественная» - 95 000
|
190 000 «Третья»
|
148 000 «Третья»
|
102 000 «Четвертая»
|
Величины возможных ущербов для итоговой категории c учетом доступности (выбирается
максимум из ущербов для каждой из обобщенных категорий: максимум для первой
категории (1), максимум для второй категории (2) и т.д.):
Итоговая категория
|
Величина возможного ущерба, (руб.)
|
«Первая»
|
345 000
|
«Вторая»
|
263 000
|
«Третья»
|
190 000
|
«Четвертая»
|
102 000
|
Теперь рассчитаем общий вероятный ущерб предприятию от нарушения
требований всем составляющим ценного информационного ресурса по формуле
,
где
№- количество выделенных информационных объектов в j-ой итоговой
категории
S=(345000+263000+190000+102
000)*6=900000*6=5400000 (руб.)
4.
Технорабочее проектирование
.1
Определение угроз и источников их возникновения
Выделим угрозы, классифицируем их и определим источники этих угроз, а
также для источников - субъекты построим модель нарушителя.
Естественные угрозы (стихийные бедствия): вызваны воздействием на информационную
систему стихийными, природными явлениями, физическими процессами, различного
рода катастрофами, не зависящими от человека:
ü Пожар
ü Ураган
ü Смерч
ü Наводнение
Искусственные угрозы вызваны непосредственно деятельностью человека, среди
которых выделяют преднамеренные и случайные угрозы.
Преднамеренные угрозы:
ü Целенаправленная кража или уничтожение данных на рабочей
станции или сервере
ü Внедрение агентов в число персонала системы, либо вербовка
путем подкупа, шантажа с целью завладения конфиденциальной информацией или
полномочиями лиц, обладающими этой информацией.
ü Физическое разрушение системы (путем взрыва, поджога и т.п.)
или вывод из строя всех или отдельных наиболее важных компонентов компьютерной
системы (устройств, носителей важной системной информации, лиц из числа
персонала и т.п.)
ü Несанкционированное копирование носителей информации
ü Несанкционированное получение паролей и других реквизитов
разграничения прав доступа с целью использовании информации под видом
пользователя.
ü Преднамеренное заражение программного обеспечения
вредоносными программами
Отдельная категория электронных методов воздействия - компьютерные вирусы
и другие вредоносные программы. Они представляют собой реальную опасность для
современного бизнеса, широко использующего компьютерные сети, интернет и
электронную почту. Проникновение вируса на узлы корпоративной сети может
привести к нарушению их функционирования, потерям рабочего времени, утрате
данных, краже конфиденциальной информации и даже прямым хищениям финансовых
средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить
злоумышленникам частичный или полный контроль над деятельностью компании.
ü Хищение документации (распечаток, записей, документов и т.д.)
ü Несанкционированное проникновение в компьютерные сети
Целью несанкционированного проникновения извне в сеть предприятия может
быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и
использование ее в незаконных целях, использование сетевой инфраструктуры для
организации атак на узлы третьих фирм, кража средств со счетов и т. п.
ü DOS-атаки
Атака типа DOS (сокр. от De№ial of Service - "отказ в
обслуживании") - это внешняя атака на узлы сети предприятия, отвечающие за
ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники
организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их
перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило,
влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов,
ущерб репутации и т. п.
Случайные угрозы:
ü Повреждение данных пользователем в результате неосторожных
действий
ü Ввод в систему ошибочных данных в силу некомпетентности
ü Отправка конфиденциальной информации по ошибочным адресам
ü Запись файлов в папки и на носители общего доступа
ü Заражение вирусами
ü СПАМ
Всего за несколько лет спам из незначительного раздражающего фактора
превратился в одну из серьезнейших угроз безопасности: электронная почта в
последнее время стала главным каналом распространения вредоносных программ;
спам отнимает массу времени на просмотр и последующее удаление сообщений,
вызывает у сотрудников чувство психологического дискомфорта; как частные лица,
так и организации становятся жертвами мошеннических схем, реализуемых спамерами
(зачастую подобного рода события потерпевшие стараются не разглашать); вместе
со спамом нередко удаляется важная корреспонденция, что может привести к потере
клиентов, срыву контрактов и другим неприятным последствиям.
ü Разглашение, передача или утрата атрибутов разграничения
доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и
т.п.)
ü Запуск технологических программ, способных вызвать потерю
работоспособности ЭВМ, осуществить неустранимые изменения (потеря данных);
ü Неумышленная порча или потеря носителей информации
ü Неумышленные действия, приводящие к частичному или полному
отказу системы или разрушению аппаратных, программных, информационных ресурсов
системы (неумышленная порча оборудования, удаление, искажение файлов с важной
информацией или программ, в том числе системных и т.п.);
Техногенные угрозы, источниками которых являются различные технические
неполадки.
ü Отключение электрической энергии, приводящее к потери не
сохраненных файлов, данных
ü Старение носителей информации и средств обработки
ü Замыкание электрической сети
ü Отказ функционирования вычислительной техники и программного
обеспечения
.2
Определение рисков информационной безопасности
В данной работе необходимо определить вероятности реализации возможных
угроз Pi и степени уязвимости ценного
информационного ресурса Pij в
условиях действующей системы средств защиты информационной безопасности, где i - порядковый номер угрозы, j - порядковый номер категории ценного
информационного ресурса.
Перечень угроз ценному информационному ресурсу
Обозначение
|
Угроза
|
Вероятность
|
Естественные угрозы
|
У1 У2 У3 У4
|
Пожар Ураган Смерч Наводнение
|
0,01 0,005 0,005 0,005
|
Искусственные преднамеренные угрозы
|
У5
|
Целенаправленная кража или уничтожение данных на сервере
|
0,01
|
У6
|
Внедрение агентов в число персонала системы, либо вербовки
путем подкупа, шантажа с целью завладения конфиденциальной информацией или
полномочиями лиц, обладающих этой информацией
|
0,02
|
У7
|
Физическое разрушение системы (путем взрыва, поджога и т.п.)
или вывод из строя всех или отдельных наиболее важных компонентов
компьютерной системы (устройств, носителей важной системной информации, лиц
из числа персонала и т.п.)
|
0,2
|
У8
|
Несанкционированное копирование носителей информации
|
0,2
|
У9
|
Несанкционированное получение паролей и других реквизитов
разграничения прав доступа с целью использовании информации под видом
пользователя.
|
0,2
|
У10
|
Преднамеренное заражение программного обеспечения
вредоносными программами
|
0,25
|
У11
|
DOS-атаки
|
0,15
|
У12
|
Хищение документации (распечаток, записей, документов и
т.д.)
|
0,4
|
У13
|
Несанкционированное проникновение в компьютерные сети
|
0,2
|
Искусственные случайные угрозы
|
У14
|
Повреждение данных пользователем в результате неосторожных
действий
|
0,3
|
У15
|
Ввод в систему ошибочных данных в силу некомпетентности
|
0,05
|
У16
|
Отправка конфиденциальной информации по ошибочным адресам
|
0,3
|
У17
|
Запись файлов в папки и на носители общего доступа
|
0,35
|
У18
|
Заражение вирусами
|
0,15
|
У19
|
Разглашение, передача или утрата атрибутов разграничения
доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и
т.п.)
|
0,05
|
У20
|
Запуск технологических программ, способных вызвать потерю
работоспособности ЭВМ, осуществить неустранимые изменения (потеря данных);
|
0,1
|
У21
|
Неумышленная порча или потеря носителей информации
|
0,1
|
У22
|
Неумышленные действия, приводящие к частичному или полному
отказу системы или разрушению аппаратных, программных, информационных
ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов
с важной информацией или программ, в том числе системных и т.п.);
|
0,15
|
У23
|
СПАМ
|
0,4
|
Техногенные угрозы
|
У24
|
Отключение электрической энергии, приводящее к потери не
сохраненных файлов, данных
|
0,45
|
У25
|
Старение носителей информации и средств обработки
|
0,1
|
У26
|
Замыкание электрической сети
|
0,15
|
У27
|
Отказ функционирования вычислительной техники и
программного обеспечения
|
0,48
|
Далее необходимо определить вероятности уязвимости категорий ценного
информационного ресурса предприятия для реализации той или иной угрозы информационной
безопасности.
Уязвимость ценного информационного ресурса
|
Угроза
|
Вероятность реализации угрозы
|
Объект воздействия Категория ЦИР
|
Вероятность уязвимости объекта
|
Естественные угрозы
|
У1 Стихийные бедствия Пожар Ураган Смерч Наводнение
|
0,005
|
Первая
|
0,005
|
|
|
|
Вторая
|
0,01
|
|
|
|
Третья
|
0,015
|
|
|
|
Четвертая
|
0,2
|
Искусственные преднамеренные угрозы
|
У2. Целенаправленная кража или уничтожение данных на
сервере
|
0,01
|
Первая
|
0,02
|
|
|
|
Вторая
|
0,025
|
|
|
|
Третья
|
0,03
|
|
|
|
Четвертая
|
0,035
|
|
У3. Внедрение агентов в число персонала системы, либо
вербовки путем подкупа с целью завладения конфиденциальной информацией или
полномочиями лиц, обладающих этой информацией
|
0,002
|
Первая
|
0,09
|
|
|
|
Вторая
|
0,04
|
|
|
|
Третья
|
0,04
|
|
|
|
Четвертая
|
0,04
|
|
У4. Физическое разрушение системы (путем взрыва, поджога и
т.п.) или вывод из строя всех или отдельных наиболее важных компонентов
компьютерной системы (устройств, носителей важной системной информации, лиц
из числа персонала и т.п.)
|
0,02
|
Первая
|
0,05
|
|
|
|
Вторая
|
0,04
|
|
|
|
Третья
|
0,035
|
|
|
|
Четвертая
|
0,032
|
|
У5. Несанкционированное копирование носителей информации
|
0,02
|
Первая
|
0,03
|
|
|
|
Вторая
|
0,025
|
|
|
|
Третья
|
0,01
|
|
|
|
Четвертая
|
0,005
|
|
У6. Несанкционированное получение паролей и других
реквизитов разграничения прав доступа с целью использовании информации под
видом пользователя
|
0,002
|
Первая
|
0,04
|
|
|
|
Вторая
|
0,03
|
|
|
|
Третья
|
0,03
|
|
|
|
Четвертая
|
0,02
|
|
У7. Преднамеренное заражение программного обеспечения
вредоносными программами
|
0,025
|
Первая
|
0,01
|
|
|
|
Вторая
|
0,015
|
|
|
|
Третья
|
0,023
|
|
|
|
Четвертая
|
0,029
|
|
У8. DOS-атаки
|
0,015
|
Первая
|
0,002
|
|
|
|
Вторая
|
0,003
|
|
|
|
Третья
|
0,01
|
|
|
|
Четвертая
|
0,015
|
|
У9. Хищение документации (распечаток, записей, документов и
т.д.)
|
0,02
|
Первая
|
0,03
|
|
|
|
Вторая
|
0,035
|
|
|
|
Третья
|
0,04
|
|
|
|
Четвертая
|
0,045
|
|
У10. Несанкционированное проникновение в компьютерные сети
|
0,02
|
Первая
|
0,02
|
|
|
|
Вторая
|
0,023
|
|
|
|
Третья
|
0,025
|
|
|
|
Четвертая
|
0,027
|
|
У11. Повреждение данных пользователем в результате
неосторожных действий
|
0,03
|
Первая
|
0,0035
|
|
|
|
Вторая
|
0,003
|
|
|
|
Третья
|
0,003
|
|
|
|
Четвертая
|
0,003
|
|
У12. Ввод в систему ошибочных данных в силу
некомпетентности
|
0,05
|
Первая
|
0,05
|
|
|
|
Вторая
|
0,05
|
|
|
|
Третья
|
0,056
|
|
|
|
Четвертая
|
0,06
|
|
У13. Отправка конфиденциальной информации по ошибочным
адресам
|
0,03
|
Первая
|
0,001
|
|
|
|
Вторая
|
0,001
|
|
|
|
Третья
|
0,0012
|
|
|
|
Четвертая
|
0,0015
|
|
У14. Запись файлов в папки и на носители общего доступа
|
0,035
|
Первая
|
0,001
|
|
|
|
Вторая
|
0,001
|
|
|
|
Третья
|
0,001
|
|
|
|
Четвертая
|
0,001
|
|
У15. Заражение вирусами
|
0,015
|
Первая
|
0,0012
|
|
|
|
Вторая
|
0,001
|
|
|
|
Третья
|
0,001
|
|
|
|
Четвертая
|
0,001
|
|
У16. Разглашение, передача или утрата атрибутов
разграничения доступа (паролей, ключей шифрования, идентификационных
карточек, пропусков и т.п.)
|
0,05
|
Первая
|
0,0034
|
|
|
|
Вторая
|
0,0034
|
|
|
|
Третья
|
0,003
|
|
|
|
Четвертая
|
0,003
|
|
У17. Запуск технологических программ, способных вызвать
потерю работоспособности ЭВМ, осуществить неустранимые изменения (потеря
данных);
|
0,01
|
Первая
|
0,001
|
|
|
|
Вторая
|
0,001
|
|
|
|
Третья
|
0,001
|
|
|
|
Четвертая
|
0,001
|
|
У18 Неумышленная порча или потеря носителей информации
|
0,01
|
Первая
|
0,005
|
|
|
|
Вторая
|
0,0051
|
|
|
|
Третья
|
0,0052
|
|
|
|
Четвертая
|
0,0053
|
|
У19. Неумышленные действия, приводящие к частичному или
полному отказу системы или разрушению аппаратных, программных, информационных
ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов
с важной информацией или программ, в том числе системных и т.п.);
|
0,015
|
Первая
|
0,003
|
|
|
|
Вторая
|
0,003
|
|
|
|
Третья
|
0,0031
|
|
|
|
Четвертая
|
0,0032
|
|
У20. СПАМ
|
0,004
|
Первая
|
0,001
|
|
|
|
Вторая
|
0,0015
|
|
|
|
Третья
|
0,002
|
|
|
|
Четвертая
|
0,003
|
Техногенные угрозы
|
У21. Отключение электрической энергии, приводящее к потери
не сохраненных файлов, данных
|
0,45
|
Первая
|
0,002
|
|
|
|
Вторая
|
0,0025
|
|
|
|
Третья
|
0,0025
|
|
|
|
Четвертая
|
0,0025
|
|
У22. Старение носителей информации и средств обработки
|
0,001
|
Первая
|
0,0001
|
|
|
|
Вторая
|
0,0001
|
|
|
|
Третья
|
0,0001
|
|
|
|
Четвертая
|
0,0001
|
|
У23. Замыкание электрической сети
|
0,15
|
Первая
|
|
|
|
Вторая
|
0,003
|
|
|
|
Третья
|
0,0035
|
|
|
|
Четвертая
|
0,0035
|
|
У24. Отказ функционирования вычислительной техники и
программного обеспечения
|
0,4
|
Первая
|
0,001
|
|
|
|
Вторая
|
0,002
|
|
|
|
Третья
|
0,0025
|
|
|
|
Четвертая
|
0,0025
|
Далее необходимо определить риски угроз категориям ценного
информационного ресурса по формуле:
где
- вероятность реализации угрозы информационной
безопасности;
-
вероятность уязвимости объекта;
- ущерб
от реализации угроз информационной безопасности.
В результате получаем таблицу рисков информационной безопасности и
величину суммарного риска до проектирования системы защиты информационной
безопасности.
Оценка рисков
Угроза
|
Вероятность угрозы
|
Объект воздействия
|
Вероятность уязвимости объекта
|
Уровень ущерба (денежный или качественный)
|
Оценка риска
|
У1. Пожар Ураган Смерч Наводнение
|
0,005
|
1.Производственная информация
|
0,005
|
345 000
|
60,8
|
|
|
2. Управленческая информация
|
0,005
|
345 000
|
|
|
|
3. Информация о рынке
|
0,005
|
345 000
|
|
|
|
4. Финансовая информация
|
0,01
|
263
000
|
|
|
|
5. Информация по безопасности и персональным данным
|
0,005
|
345 000
|
|
|
|
6. Научно-техническая информация
|
0,01
|
263 000
|
|
У2. Целенаправленная кража или уничтожение данных на
рабочей станции или сервере
|
0,01
|
Производственная информация
|
0,02
|
345 000
|
69
|
У3. Внедрение агентов в число персонала системы, либо
вербовки путем подкупа с целью завладения конфиденциальной информацией или
полномочиями лиц, обладающих этой информацией
|
0,002
|
1.Производственная информация
|
0,09
|
345 000
|
161,96
|
|
|
2. Управленческая информация
|
0,09
|
345 000
|
|
|
|
3. Информация о рынке
|
0,09
|
345 000
|
|
|
|
4. Финансовая информация
|
0,04
|
236 000
|
|
|
|
5. Информация по безопасности и персональным данным
|
0,09
|
345 000
|
|
|
|
6. Научно-техническая информация
|
0,04
|
263 000
|
|
У4. Физическое разрушение системы (путем взрыва, поджога и
т.п.) или вывод из строя всех или отдельных наиболее важных компонентов
компьютерной системы (устройств, носителей важной системной информации, лиц
из числа персонала и т.п.)
|
0,02
|
Производственная информация
|
0,05
|
345 000
|
345
|
У5. Несанкционированное копирование носителей информации
|
0,02
|
Производственная информация
|
0,03
|
345 000
|
207
|
У6. Несанкционированное получение паролей и других
реквизитов разграничения прав доступа с целью использовании информации под
видом пользователя
|
0,002
|
Производственная информация
|
0,04
|
345 000
|
27,6
|
У7. Преднамеренное заражение программного обеспечения
вредоносными программами
|
0,025
|
Производственная информация
|
0,01
|
345 000
|
86,25
|
У8. DOS-атаки
|
0,015
|
Производственная информация
|
0,002
|
345 000
|
10,35
|
У9. Хищение документации (распечаток, записей, документов и
т.д.)
|
0,02
|
1.Производственная информация
|
0,03
|
345 000
|
1196,2
|
|
|
2. Управленческая информация
|
0,03
|
345 000
|
|
|
|
3. Информация о рынке
|
0,03
|
345 000
|
|
|
|
4. Финансовая информация
|
0,035
|
236 000
|
|
|
|
5. Информация по безопасности и персональным данным
|
0,03
|
345 000
|
|
|
|
6. Научно-техническая информация
|
0,035
|
263 000
|
|
У10. Несанкционированное проникновение в компьютерные сети
|
0,02
|
Производственная информация
|
0,02
|
345 000
|
138
|
У11. Повреждение данных пользователем в результате
неосторожных действий
|
0,03
|
Производственная информация
|
0,0035
|
345 000
|
36,225
|
У12. Ввод в систему ошибочных данных в силу
некомпетентности
|
0,05
|
Производственная информация
|
0,05
|
345 000
|
862,5
|
У13. Отправка конфиденциальной информации по ошибочным
адресам
|
0,03
|
Производственная информация
|
0,001
|
345 000
|
10,35
|
У14. Запись файлов в папки и на носители общего доступа
|
0,035
|
Производственная информация
|
0,001
|
345 000
|
12,075
|
У15. Заражение вирусами
|
0,015
|
Производственная информация
|
0,0012
|
345 000
|
6,21
|
У16. Разглашение, передача или утрата атрибутов
разграничения доступа (паролей, ключей шифрования, идентификационных
карточек, пропусков и т.п.)
|
0,05
|
Производственная информация
|
0,0034
|
345 000
|
58,65
|
У17. Запуск технологических программ, способных вызвать
потерю работоспособности ЭВМ, осуществить неустранимые изменения (потеря
данных);
|
0,01
|
Производственная информация
|
0,001
|
345 000
|
3,45
|
У18. Неумышленная порча или потеря носителей информации
|
0,01
|
1.Производственная информация
|
0,005
|
345 000
|
1850,99
|
|
|
2. Управленческая информация
|
0,005
|
345 000
|
|
|
|
3. Информация о рынке
|
0,005
|
345 000
|
|
|
|
4. Финансовая информация
|
0,0051
|
236 000
|
|
|
|
5. Информация по безопасности и персональным данным
|
0,005
|
345 000
|
|
|
|
6. Научно-техническая информация
|
0,0051
|
263 000
|
|
У19. Неумышленные действия, приводящие к частичному или
полному отказу системы или разрушению аппаратных, программных, информационных
ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов
с важной информацией или программ, в том числе системных и т.п.);
|
0,015
|
Производственная информация
|
0,003
|
345 000
|
15,525
|
У20. СПАМ
|
0,004
|
Производственная информация
|
0,001
|
345 000
|
1,38
|
У21. Отключение электрической энергии, приводящее к потери
не сохраненных файлов, данных
|
0,4
|
Производственная информация
|
0,002
|
345 000
|
276
|
У22. Старение носителей информации и средств обработки
|
0,001
|
Производственная информация
|
0,0001
|
345 000
|
0,0345
|
У23. Замыкание электрической сети
|
0,15
|
Производственная информация
|
0,003
|
345 000
|
155,25
|
У24. Отказ функционирования вычислительной техники и
программного обеспечения
|
0,2
|
Производственная информация
|
0,01
|
345 000
|
1380
|
|
|
Управленческая информация
|
0,01
|
345 000
|
|
Определим
величину суммарного риска по формуле = 6694,79
Исходя
из таблицы оценки рисков видно, что наиболее опасными угрозами являются:
· Внедрение агентов в число персонала системы, либо вербовки путем подкупа,
шантажа с целью завладения конфиденциальной информацией или полномочиями лиц,
обладающих этой информацией
· Физическое разрушение системы (путем взрыва, поджога и т.п.)
или вывод из строя всех или отдельных наиболее важных компонентов компьютерной
системы (устройств, носителей важной системной информации, лиц из числа
персонала и т.п.)
· Несанкционированное копирование носителей информации
· Хищение документации (распечаток, записей, документов и т.д.)
· Ввод в систему ошибочных данных в силу некомпетентности
· Отказ функционирования вычислительной техники и программного
обеспечения
Для борьбы с выделенными информационными угрозами необходимо разработать
соответствующие мероприятия, направленные на защиту ценного информационного
ресурса.
информация
конфиденциальность безопасность защита
5. Выбор
средств защиты информационной безопасности
Безопасность связана с защитой активов от угроз, где угрозы
классифицированы на основе потенциала злоупотребления защищаемыми активами. Во
внимание следует принимать все разновидности угроз, но в сфере безопасности
наибольшее внимание уделяется тем из них, которые связаны с действиями
человека, злонамеренными или иными. Защита информации представляет собой
принятие правовых, организационных и технических мер, направленных на:
) Обеспечение защиты информации от неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления, распространения, а
также от иных неправомерных действий в отношении такой информации;
) соблюдение конфиденциальности информации ограниченного доступа;
) реализацию права на доступ к информации. Обладатель информации,
оператор информационной системы в случаях, установленных законодательством
Российской Федерации, обязаны обеспечить:
) предотвращение несанкционированного доступа к информации и (или)
передачи ее лицам, не имеющим права на доступ к информации;
) своевременное обнаружение фактов несанкционированного доступа к
информации;
) предупреждение возможности неблагоприятных последствий нарушения
порядка доступа к информации;
) недопущение воздействия на технические средства обработки информации, в
результате которого нарушается их функционирование;
) возможность незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие несанкционированного доступа к
ней;
) постоянный контроль за обеспечением уровня защищенности информации.
Средства защиты информационной безопасности могут быть
направлены на отражение угроз, уменьшение степени уязвимости ЦИР и на снижение
ущерба.
В практике обеспечения информационной безопасности существует несколько
эшелонов защиты информационных объектов:
· организационные (административные) методы (включают правовые методы
защиты);
· инженерно-технические методы защиты;
· технические методы защиты;
· программно-аппаратные методы защиты.
1. Правовое обеспечение: Нормативные документы, положения, инструкции,
являющиеся носителями тех требований, которые обязательны в рамках действий
системы защиты
. Организационные методы защиты
Организационные методы защиты в основном ориентированы на работу с
персоналом, выбор местоположения и размещения объектов корпоративной сети,
организацию систем физической и противопожарной защиты, организацию контроля
выполнения принятых мер, возложение персональной ответственности за выполнение
мер защиты. Применение организационных мер весьма эффективно и сокращает общее
число угроз.
. Технические (физические) методы защиты
Технические методы основаны на применении специальных технических средств
защиты информации и контроля обстановки и дают значительный эффект при
устранении угроз безопасности информации, связанных с действиями криминогенных
элементов по добыванию информации незаконными техническими средствами. Кроме
того, ряд методов, например резервирование средств и каналов связи, эффективен
при некоторых техногенных факторах.
Реализация защиты информации определенными структурными подразделениями,
такими как служба защиты документов, служба режимного доступа сотрудников,
служба охраны, службы информационно-аналитической деятельности и т.д.
. Программно-аппаратные методы защиты
Программно-аппаратные методы в основном нацелены на устранение угроз,
непосредственно связанных с процессом обработки и передачи информации. Без этих
методов невозможно построение целостной комплексной системы информационной
безопасности.
Методы защиты
Информационная угроза
|
Причина возникновения
|
Комплекс мероприятий по защите
|
Внедрение агентов в число персонала системы, либо вербовки
путем подкупа с целью завладения конфиденциальной информацией или
полномочиями лиц, обладающих этой информацией
|
Искусственные (вызваны непосредственно деятельностью
человека), преднамеренные угрозы
|
Технические (физические) методы защиты: организация охраны
и режима работы организации с целью исключения тайного проникновения на её
территорию, контроля за перемещением по зданию сотрудников и посетителей
(видеоконтроль, пропуски)
|
Физическое разрушение системы (путем взрыва, поджога и
т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной
системы (устройств, носителей важной системной информации, лиц из числа
персонала и т.п.)
|
Искусственные (вызваны непосредственно деятельностью
человека), преднамеренные угрозы
|
Технические (физические) методы защиты: организация охраны
и режима работы организации с целью исключения тайного проникновения на её
территорию, контроля за перемещением по зданию сотрудников и посетителей
(видеоконтроль, пропуски) Технические методы защиты: создание резервных копий
|
Несанкционированное копирование носителей информации
|
Искусственные (вызваны непосредственно деятельностью
человека), преднамеренные угрозы
|
Аппаратно-программные методы защиты: Внедрение системы
индивидуальных паролей для каждого сотрудника
|
Хищение документации (распечаток, записей, документов и
т.д.)
|
Искусственные (вызваны непосредственно деятельностью
человека), преднамеренные угрозы
|
Технические (физические) методы защиты: организация охраны
и режима работы организации с целью исключения тайного проникновения на её
территорию, контроля за перемещением по зданию сотрудников и посетителей
(видеоконтроль, пропуски)
|
Ввод в систему ошибочных данных в силу некомпетентности
|
Искусственные (вызваны непосредственно деятельностью
человека), случайные угрозы
|
Организационные методы защиты: обучение персонала,
повышение степени квалификации, проведение контроля деятельности
|
Отказ функционирования вычислительной техники и
программного обеспечения
|
Техногенные угрозы, источниками которых являются
различные технические неполадки.
|
Технические методы защиты: создание резервных копий
Технические (физические) методы защиты: использование источников
бесперебойного питания Аппаратно-программные методы защиты: система
антивирусной защиты
|
Правовая защита информационного ресурса признана как на международных так
и государственных уровнях. На международном уровне она определяется
соответствующими конвенциями, декларациями и реализуется путем патентования,
защитой авторских прав и лицензированием на определенный вид деятельности и
владение соответствующей информацией.
На государственном уровне правовая защита реализуется государственными и
ведомственными нормативными актами.
1. ФЗ «Об информации, информатизации и защите информации» от 20.02.1995
№24-ФЗ (ред. от 10.01.2003).
2. "Кодекс РФ об административных правонарушениях» от 30.12.2001
№195-ФЗ (принят ГД ФС РФ 20.12.2001) (ред. от 02.07.2005).
3. "Уголовный Кодекс РФ" от 13.06.1996 №63-ФЗ (принят ГД
ФС РФ 24.05.1996) (ред. от 28.12.2004) (с изм. и доп., вступающими в силу с
30.01.2005).
. Закон РФ от 21.07.1993 №5485-1 (ред. от 22.08.2004) "О
государственной тайне".
5. ФЗ «Об информации, информационных технологиях и о защите информации»
от 27 июля 2006 года №149-ФЗ.
Организационные методы защиты информации
Это в первую очередь обучение персонала, повышение степени его квалификации,
проведение контроля деятельности. Современные подходы к мотивации учитывают два
важнейших момента в работе организаций: решающую роль образованного и
квалифицированного персонала, обладающего необходимыми знаниями и свободой
выбора; мотивированность самих работников к обучению и самообучению.
В кадровом бизнесе методы обучения подразделяют на два больших блока, а
именно: обучение на рабочем месте (Trai№i№g O№the Job) и вне рабочего места (Trai№i№g Off the Job). Рассмотрим некоторые методы обучения:
Методы обучения на рабочем месте:
· Инструктаж - разъяснение приемов работы с их некоторой демонстрацией
непосредственно на рабочем месте
· Метод усложняющихся заданий - предоставление сотруднику
возможности выполнения сначала достаточно легких, а затем все более сложных
заданий и производственных операций.
· Ротация персонала - эта регулярная сменяемость кадров в
соответствии с принципом «найти нужному работнику нужное место».
· Использование специальных инструкций - метод заключается в
том, что сотруднику до начал работы предоставляется возможность изучить
специальную методику, инструкцию, положение и т.п.
Методы обучения вне рабочего места.
· Учеба в вузах, колледжах
· Электронное обучение
· Самостоятельное обучение
· Учебные материалы и т.д.
Технические (физические) методы защиты:
На мой взгляд, обязательным элементом системы информационной безопасности
является введение системы пропусков, которая позволит контролировать
посетителей приёмной и исключит возможности тайного проникновения в помещение и
завладения ценным информационным ресурсом.
Кроме того, возможно установление систем наблюдения (видеокамер).
Создание резервных копий является важным средством защиты информации и
при порче технических средств (умышленном или случайном), так и при отказе функционирования
офисной техники.
Кроме того, использование источников бесперебойного питания позволит
обеспечить нормальное рабочее состояние компьютеров и другой техники при
различных критических условиях.
Аппаратно-программные методы защиты:
Внедрение системы индивидуальных паролей для каждого сотрудника, которая
позволит ограничить доступ к техники посторонних лиц.
Кроме того, необходима регулярная смена паролей для уменьшения риска его
взлома, а, следовательно, потери данных.
Система антивирусной защиты - внедрение программ антивирусов.
Антивирусная защита - комплекс мер, направленных на предотвращение, обнаружение
и обезвреживание действий компьютерного вируса при помощи антивирусных
программ. Вирусные программы могут нанести существенный ущерб предприятия в
целом (потеря, модификация данных и др.).
Чтобы уберечь компьютер от взломов, атак и воровства информации
необходимо обеспечить компьютер надежной защитой, следовательно, нужно
установить специальную программу, которая возьмет на себя контроль над всеми
портами и сможет оперативно оповестить нас об атаке, а то и просто отразить ее.
Такие программы называются файрволлами (firewall) или брандмауэрами. Обнаружив
попытку несанкционированного проникновения в компьютер, программа может просто
подать сигнал тревоги, а может сразу заблокировать доступ нападающим.
Необходимая проектная документация:
· Концепция политики безопасности (Приложение 1).
· Инструкция по организации парольной
защиты (Приложение 2).
· Инструкция по организации системы
пропусков.
· Инструкция по организации
антивирусной защиты.
6.
Определение остаточного риска информационной безопасности
Определим остаточный риск для информационных угроз,
выделенных в результате ранжирования. Для этого необходимо оценить, на сколько
средство защиты способно снизить риск по шкале отражения угроз информационной
безопасности. Полученный результат сведем в таблицу.
Остаточный риск
Вид угроз информационной безопасности
|
Угроза
|
Оценка риска до
|
Величина парирования
|
Оценка риска после
|
Искусственные преднамеренные угрозы
|
Внедрение агентов в число персонала системы, либо вербовки
путем подкупа с целью завладения конфиденциальной информацией или
полномочиями лиц, обладающих этой информацией
|
161,96
|
2
|
80,98
|
|
Физическое разрушение системы (путем взрыва, поджога и т.п.)
или вывод из строя всех или отдельных наиболее важных компонентов
компьютерной системы (устройств, носителей важной системной информации, лиц
из числа персонала и т.п.)
|
345
|
3
|
115
|
|
Несанкционированное копирование носителей информации
|
207
|
4
|
51,75
|
|
Хищение документации (распечаток, записей, документов и
т.д.)
|
1196,2
|
2
|
598,1
|
Ввод в систему ошибочных данных в силу некомпетентности
|
862,5
|
2
|
431,25
|
Техногенные угрозы
|
Отказ функционирования вычислительной техники и
программного обеспечения
|
1380
|
3
|
460
|
Таким образом, по данным, приведенным в таблице, можно сделать вывод о
том, что вводимые меры защиты ценного информационного ресурса являются
целесообразными и эффективными. Величина рисков значительно уменьшилась с
внедрением определенных мер защиты. На мой взгляд, на данном этапе организации
системы безопасности, рассмотренные меры защиты информации являются
достаточными.
= 4152,66
=1737,08
< , значит, выбор средств защиты является оправданным.
Заключение
В курсовой работе была разработана система комплексной информационной
защиты для разрабатываемой информационной системы ООО «Нейрософт», что
проявляется в снижении риска информационной безопасности после внедрения
предложенных в работе средств защиты.
Список литературы
1. Баллод
Б.А. Курс лекций по дисциплине «Информационная безопасность» ИГЭУ, Иваново 2009
2. Международный
стандарт безопасности ISO 15408, интернет-сайт
Приложение
1
Разработка
политики безопасности ООО "НЕЙРОСОФТ", 153032, г. Иваново, ул. Воронина, д. 5
Концепция обеспечения безопасности информации
Настоящая концепция предназначена для сотрудников ООО «Нейрософт» для
организации системы информационной безопасности.
Термины, используемые в настоящей Концепции, их определения:
информация - сведения о лицах, предметах, фактах, событиях, явлениях и
процессах независимо от формы их представления;
информационные ресурсы - отдельные документы и отдельные массивы
документов, документы и массивы документов в информационных системах
(библиотеках, архивах, фондах, банках данных, других информационных системах);
пользователь (потребитель) информации - субъект, обращающийся к
информационной системе или посреднику за получением необходимой ему информации
и пользующийся ею.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Назначение и правовая основа документа
Защите подлежит любая информация, неправомерное обращение с которой может
нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Данная концепция определяет общее представление системы безопасности
информационного ресурса организации, цели, задачи и основные принципы
информационной безопасности.
Концепция обеспечения информационной безопасности предназначена для:
ü организации и проведения единой политики в области
обеспечения безопасности Информационной системы
ü разработки предложений по совершенствованию правового,
нормативного, методического, технического и организационного обеспечения
безопасности информации
ü координации деятельности сотрудников
Нормативно-правовой базой данной концепции являются:
ü Федеральный Закон от 20.02.1995 №24-ФЗ (ред. от 10.01.2003)
"Об информации, информатизации и защите информации" (принят ГД ФС РФ
25.01.1995).
ü "Кодекс РФ Об административных правонарушениях" от
30.12.2001 №195-ФЗ (принят ГД ФС РФ 20.12.2001) (ред. от 02.07.2005).
ü "Уголовный кодекс РФ" от 13.06.1996 №63-ФЗ (принят
ГД ФС РФ 24.05.1996) (ред. от 28.12.2004) (с изм. и доп., вступающими в силу с
30.01.2005).
ü Закон РФ от 21.07.1993 №5485-1 (ред. от 22.08.2004) "О
государственной тайне»
ü Федеральный Закон «Об информации, информационных технологиях
и о защите информации» от 27 июля 2006 года №149-ФЗ
Научно-методической основой Концепции является системный подход,
предполагающий проведение исследований, разработку системы защиты информации и
процессов ее обработки в Информационной Системе с единых методологических
позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с
позиции комплексного применения различных мер и средств защиты.
1.2 Объекты защиты
Основными объектами информационной безопасности в информационной системе
являются:
Профиль информации
|
Наименование сведений, документов и другой информации,
составляющих коммерческую тайну
|
1. Производственная информация
|
1.1 Сведения о структуре производства и производственных
мощностях. 1.2 Сведения о типе и размещении оборудования. 1.3 Сведения о
запасах и движении сырья, материалов, комплектующих и готовой продукции за
месяц. 1.4 Сведения о модификации и модернизации ранее известных технологий,
процессов, оборудования. 1.5Перспективные планы развития производства. 1.6
Технические спецификации существующей и перспективной продукции.
|
2. Управленческая информация
|
2.1 Сведения о подготовке, принятии и исполнении отдельных
решений руководства предприятия по производственным, научно-техническим,
коммерческим, организационным и иным вопросам. 2.2 Предмет совещаний у
руководства. 2.3 Сведения о целях, рассматриваемых вопросах, результатах,
фактах проведения совещаний и заседаний органов управления предприятием.
|
3. Информация о рынке
|
3.1 Сведения о рыночной политике и планах. 3.2 Сведения о
каналах и методах сбыта. 3.3 Сведения о политике сбыта. 3.4 Сведения о ценах,
скидках, условиях договоров, спецификации продукции.
|
4. Финансовая информация
|
4.1 Сведения об источниках финансирования, финансовой
устойчивости, размерах и условиях банковских кредитов. 4.2 Сведения о
состоянии материально-технической базы ООО.
|
5. Информация по безопасности и персональным данным
|
5.1 Сведения о важных элементах систем безопасности, кодов
и процедур доступа к информационным сетям и центрам; 5.2 Принципы организации
защиты коммерческой тайны.
|
6. Научно-техническая информация
|
6.1 Новые технические, технологические и физические
принципы, планируемые к использованию в продукции предприятия; 6.2 Программы
НИР; 6.3 Новые алгоритмы; 6.4 Оригинальные программы.
|
Пользователи системы
Непосредственными конечными пользователями разрабатываемой системы будут
являться администратор системы, сотрудники организации, работающие в сфере
документационного обеспечения, президент ООО.
2. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Субъектами правоотношений при использовании Информационной Системы и
обеспечении безопасности информации являются:
ü ООО «Нейрософт» во главе с Президентом ООО «Нейрософт»
ü должностные лица и сотрудники ООО, как пользователи и
поставщики информации в информационную систему в соответствии с возложенными на
них функциями
Перечисленные субъекты заинтересованы в обеспечении:
) предотвращения несанкционированного доступа к информации и (или)
передачи ее лицам, не имеющим права на доступ к информации;
) своевременного обнаружения фактов несанкционированного доступа к
информации;
) предупреждения возможности неблагоприятных последствий нарушения
порядка доступа к информации;
) недопущения воздействия на технические средства обработки информации, в
результате которого нарушается их функционирование;
5) возможности незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие несанкционированного доступа к
ней;
6) постоянного контроля за обеспечением уровня защищенности информации.
2.1 Цели защиты
Основной целью, на достижение которой направлены все положения настоящей
Концепции, является защита субъектов информационных отношений от возможного
нанесения им ощутимого материального, физического, морального или иного ущерба
посредством случайного или преднамеренного несанкционированного вмешательства в
процесс функционирования ИС или несанкционированного доступа к циркулирующей в
ней информации и ее незаконного использования.
2.2 Основные задачи системы обеспечения безопасности
Указанная цель достигается посредством обеспечения и постоянного
поддержания следующих свойств информации и систем ее обработки:
доступность информации, то есть свойство системы (среды, средств и технологии ее
обработки), в которой циркулирует информация, характеризующееся способностью
обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их
информации и готовность соответствующих автоматизированных служб к обслуживанию
поступающих от субъектов запросов всегда, когда в обращении к ним возникает
необходимость;
целостность информации, то есть свойство информации, заключающееся в ее
существовании в неискаженном виде (неизменном по отношению к некоторому
фиксированному ее состоянию).
конфиденциальность информации - субъективно определяемую
(приписываемую) характеристику (свойство) информации, указывающую на
необходимость введения ограничений на круг субъектов, имеющих доступ к данной
информации, и обеспечиваемую способностью системы (среды) сохранять указанную
информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.
Для достижения основной цели защиты и обеспечения указанных свойств
информации и системы ее обработки система безопасности должна обеспечивать
эффективное решение следующих задач:
ü защита от вмешательства в процесс функционирования
Информационной Системы посторонних лиц;
ü разграничение доступа зарегистрированных пользователей к
аппаратным, программным и информационным ресурсам ИС (защита от
несанкционированного доступа);
ü защита от несанкционированной модификации и контроль
целостности информационной системы
ü защита системы от внедрения несанкционированных программ,
включая компьютерные вирусы;
ü обеспечение аутентификации пользователей, участвующих в
информационном обмене;
ü своевременное выявление источников угроз безопасности
информации, причин и условий, способствующих нанесению ущерба заинтересованным
субъектам информационных отношений, создание механизма оперативного
реагирования на угрозы безопасности информации и негативные тенденции;
3. ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
С позиции системного подхода защита информации должна обеспечиваться с
соблюдением ряда требований
Непрерывность - Защита информации должна быть непрерывной, т.е. рассматривать
источники информации, каналы передач к месту хранения и обработки, системы
предоставления информации, а также отходы информационной деятельности в виде
испорченных носителей информации, либо модифицированных или уничтожаемых
массивов
Плановость - Защита должна быть плановой. Любой службой должны
разрабатываться планы защиты в сфере ее компетенции с учетом общих целей
Целенаправленность - Защита должна быть целенаправленной, при этом защищаться
должно то, что может привести к нанесению конкретного ущерба субъектам
информационной деятельности
Конкретность - Защита должна быть конкретной: защищаются конкретные данные,
надлежащие охране с указанием возможных каналов реализации угроз.
Надежность - Защита должна быть надежной: методы и средства защиты
должны надежно перекрывать возможные пути неправомерного доступа к охраняемым
секретам, независимо от форм их предоставления
Системность - Системный подход к построению системы защиты информации в
предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во
времени элементов, условий и факторов, существенно значимых для понимания и
решения проблемы обеспечения безопасности информации.
При создании системы защиты должны учитываться все слабые и наиболее
уязвимые места системы обработки информации, а также характер, возможные
объекты и направления атак на систему со стороны нарушителей (особенно
высококвалифицированных злоумышленников), пути проникновения к информации.
Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности
информации и системы ее обработки на каждого сотрудника в пределах его
полномочий. В соответствии с этим принципом распределение прав и обязанностей
сотрудников строится таким образом, чтобы в случае любого нарушения круг
виновников был четко известен или сведен к минимуму.
4. СРЕДСТВА ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ
Организационные
Организационные методы защиты в основном ориентированы на работу с
персоналом, выбор местоположения и размещения объектов корпоративной сети,
организацию систем физической и противопожарной защиты, организацию контроля
выполнения принятых мер, возложение персональной ответственности за выполнение
мер защиты
ü обучение персонала,
ü повышение степени квалификации,
ü проведение контроля деятельности
ü разработка организационной документации
Технические
Технические методы основаны на применении специальных технических средств
защиты информации и контроля обстановки и дают значительный эффект при
устранении угроз безопасности информации, связанных с действиями криминогенных
элементов по добыванию информации незаконными техническими средствами.
ü организация охраны и режима работы ООО с целью исключения
тайного проникновения на его территорию, контроля за перемещением по зданию
сотрудников и посетителей, граждан (пропуски, видеоконтроль)
ü создание резервных копий
ü использование источников бесперебойного питания
Аппаратно-программные
Программно - аппаратные методы в основном нацелены на устранение угроз,
непосредственно связанных с процессом обработки и передачи информации. Без этих
методов невозможно построение целостной комплексной системы информационной
безопасности.
ü Система антивирусной защиты
ü Внедрение системы индивидуальных паролей для каждого
сотрудника для ограничения доступа к объектам
Правовые меры
К правовым мерам защиты относятся действующие в стране законы, указы и
нормативные акты, регламентирующие правила обращения с информацией,
закрепляющие права и обязанности участников информационных отношений в процессе
ее обработки и использования, а также устанавливающие ответственность за
нарушения этих правил, препятствуя тем самым неправомерному использованию
информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
Правовые меры защиты носят в основном упреждающий, профилактический характер и
требуют постоянной разъяснительной работы с пользователями и обслуживающим
персоналом системы.
Приложение
2.
Разработка
инструкции по организации парольной защиты ООО "НЕЙРОСОФТ", 153032, г. Иваново, ул. Воронина, д. 5
Инструкция по организации парольной защиты
Настоящая инструкция предназначена для сотрудников ООО «Нейрософт» для
организации системы информационной безопасности.
Данная инструкция регламентирует организационно-техническое обеспечение
процессов генерации, смены и прекращения действия паролей в информационной
системе, а также контроль за действиями пользователей и обслуживающего
персонала системы при работе с паролями.
Термины
информационная система - организационно упорядоченная совокупность
документов (массивов документов) и информационных технологий, в том числе с
использованием средств вычислительной техники и связи, реализующих
информационные процессы;
информационная безопасность - защищенность информации и поддерживающей ее
инфраструктуры от любых случайных или злонамеренных воздействий, результатом
которых может явиться нанесение ущерба самой информации, ее владельцам или
поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к
минимизации ущерба, а также к прогнозированию и предотвращению таких
воздействий.
. Организационное и техническое обеспечение процессов генерации,
использования, смены и прекращения действия паролей и контроль за действиями
исполнителей и обслуживающего персонала системы при работе с ними возлагается
на администратора информационной системы, содержащих механизмы идентификации и
аутентификации (подтверждения подлинности) пользователей по значениям паролей.
. Личные пароли сотрудников должны генерироваться централизовано с учетом
следующих требований:
ü длина пароля должна быть не менее 6 символов;
ü в числе символов пароля обязательно должны присутствовать
буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $,
&, *, % и т.п.);
ü пароль не должен включать в себя легко вычисляемые сочетания
символов (имена, фамилии, дата рождения и т.д.), а также общепринятые
сокращения (ПК, ЛВС, USER и т.п.);
ü при смене пароля новое значение должно отличаться от
предыдущего не менее чем в 4 позициях;
ü сотрудник не должны разглашать свой личный пароль.
3. Владельцы паролей должны быть ознакомлены под роспись с перечисленными
выше требованиями и предупреждены об ответственности за использование паролей,
не соответствующих данным требованиям, а также за разглашение парольной
информации.
. Ответственность за правильность централизованного формирования паролей
и распределения возлагается на уполномоченного сотрудника (администратора).
. Полная плановая смена паролей сотрудников должна проводиться регулярно,
не реже одного раза в полгода.
. Внеплановая смена личного пароля или удаление учетной записи
пользователя информационной системы в случае прекращения его полномочий
(увольнение, переход на другую работу и т.п.) должна производиться
администратором информационной системы немедленно.
. Полная смена паролей всех пользователей должна производиться в случае
прекращения полномочий (увольнение, переход на другую работу и другие
обстоятельства) администраторов средств защиты и других сотрудников, которым
были предоставлены соответствующие полномочия по управлению парольной защитой
информационной системы.
. Не допускается хранение личных паролей сотрудников на бумажных
носителях или другом виде, доступном посторонним лицам.
. Ответственность за обеспечение конфиденциальности значений своих
паролей возлагается на сотрудника.
. Повседневный контроль за действиями пользователей системы при работе с
паролями, соблюдением порядка их смены, хранения и использования возлагается на
администратора.
. Действия пользователя, связанные с использованием чужой учетной записи
и пароля, рассматриваются как нарушение информационной безопасности с
привлечением нарушителя к административной ответственности.