ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии
Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных технологий это привело к развитию автоматизированных систем. Эффективная система информационной безопасности позволяет минимизировать риски, связанные с информацией, и способствует стабильной деятельности информационных потоков предприятия.
Безопасность государственных учреждений, таких как высшие учебные заведения, также требует высокого уровня информационной защищенности.
Информационные активы ВУЗа составляют огромное количество сведений об учебной деятельности, по деятельности сотрудников с различным уровнем доступа. Работники и студенты ВУЗа также отличный пример лиц с различными правами доступа к информации. Поэтому было решено разработать эффективный комплекс мер для обеспечения информационной безопасности ВУЗа.
Целью дипломной работы является разработка комплекса мер, направленного на обеспечение информационной безопасности ВУЗа на примере Нижегородского Государственного Архитектурно - Строительного Университета.
Предметом исследования в дипломной работе является система защиты информационной безопасности Нижегородского Государственного Архитектурно-Строительного Университета.
Дипломная работа состоит из четырех глав. В первой главе представлено описание информационной системы организации, анализ информационных ресурсов и технических средств. Во второй главе проанализированы потенциальные угрозы системы и определена модель нарушителя. В третьей главе разработана политика информационной безопасности. Четвертая глава в форме пояснительной записки содержит процесс реализации портала первичной авторизации.
На современном этапе развития общества информационные технологии являются неотъемлемой его частью. Информация стала одним из основных средств социального - экономического, технического и научного прогресса мирового сообщества. Развитие информационных технологий и расширение информационного пространства приводит к постоянно растущему уровню атак и нарушений в этой области, что делает проблемы информационной безопасности все более актуальными. Под информационной безопасностью понимается состояние защищенности информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.
Обеспечения информационной безопасности является одним из ключевых факторов стабильного функционирования любого предприятия. На сегодняшний день конфиденциальность, целостность и доступность информации является важным аспектом непрерывности бизнеса, поэтому все большее число организаций сосредоточены на вопросе информационной безопасности. Таким образом, существует необходимость в эффективной и интегрированной системе информационной безопасности.
Довольно часто, при создании информационной системы, организации стремятся обезопасить свои информационные активы лишь на аппаратном и программном уровнях защиты. Но такой уровень безопасности является неэффективным и должен быть подкреплен нормами и правилами в области информационной безопасности.
Подготовка и реализация системы безопасности в учреждении должна осуществляться на основании существующего законодательства и нормативных требований в сфере информационной безопасности. Основным документом является Конституция РФ, согласно которой "сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается". Другими базовыми документами в области информационной безопасности являются Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и защите информации", в соответствии с которым, необходимо обеспечивать защиту информации от несанкционированного доступа, модификации, уничтожения, копирования и распространения данных. Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" регулирует действия, связанные с обработкой персональных данных государственными учреждениями, с использованием автоматизированных систем.
Также следует брать во внимание закон РФ "О государственной тайне" и закон РФ "О коммерческой тайне", который регламентирует порядок отнесения информации к служебной тайне, режим служебной тайны и порядок разглашения служебных данных. Также существует ряд законов, в соответствии с которыми формируются уровни конфиденциальности информации ("Об утверждении Перечня сведений конфиденциального характера"; "Об утверждении Перечня сведений, отнесенных к государственной тайне"; "Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну").
В целом, законодательные РФ не учитывают и регулируют в полной мере хранение и использование конфиденциальных данных.
Основными регламентами обеспечения безопасности со стороны процедурного и аппаратно - программного уровней являются стандарты и спецификации. Это документы, содержащие испытанные, высококачественные методологии и средства обеспечения безопасности.
В соответствии со стандартами, обеспечение безопасности объектов информационной системы должно состоять из следующих этапов:
- - выделение целей обеспечения информационной безопасности; - проектирование действенной системы управления; - анализ и оценка соответствия поставленным целям; - анализ исходного состояния защищенности;
Стандарт ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий) содержит наиболее полные критерии безопасности программно - аппаратного уровня. Общие критерии устанавливают требования по функциональности безопасности. Помимо программно - аппаратного уровня защиты стандарт описывает некоторые требования методов безопасности организационного уровня и физической защиты. Стандарт состоит из трех частей:
- - первая часть включает понятийный аппарат, представление модели и методологию оценки безопасности информационных технологий; - вторая часть содержит непосредственно требования функциональности аппаратно - программных средств; - в третьей части приводятся требования гарантий безопасности;
Стандарт ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) содержит наиболее полные критерии организационного уровня. Стандарт содержит наиболее эффективные правила управления информационной безопасностью и критерии оценки методов безопасности организационного уровня, с учетом административных, процедурных и физических средств защиты. Стандарт содержит следующие разделы:
- - политика безопасности; - организация информационной безопасности; - управление ресурсами; - безопасность человеческих ресурсов; - физическая безопасность; - контроль доступа; - администрирование информационных систем; - разработка и сопровождение информационных систем; - планирование непрерывной работы; - контроль выполнения требований безопасности;
Руководящий документ Гостехкомиссии РФ "Критерии оценки безопасности информационных технологий". Это документ разработан в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 и обеспечивает его практическое использование. Основная цель РД - реализация комплексных методов по обеспечению безопасности информационных систем и использование необходимого функционала. Он направлен на проектирование систем безопасности соответствующих возможным угрозам и сохраняющих баланс между эффективностью и стоимостью.
Руководящий документ Гостехкомиссии РФ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Этот РД определяет классификацию АС и в соответствии с классом определяет требования к возможным подсистемам.
Руководящий документ Гостехкомиссии РФ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Первый РД, который не имеет зарубежных аналогов. Основная идея данного РД - классификация межсетевых экранов в соответствии с сетевой моделью OSI, которая фильтрует потоки данных.
На сегодняшний день в сфере реализации систем безопасности сформировалось такое понятие как "лучшая практика". "Лучшая практика" это такие политики безопасности, которые отражают наилучшие процедуры, средства, руководства и стандарты безопасности и могут быть применимы как эталон при разработке системы безопасности. Эталонными считаются политики таких компаний, как Microsoft, IBM, Symantec и др.
1. Политика Symantec
Специалисты компании Symantec утверждают, что основой эффективной системы безопасности являются руководящие документы, к числу которых можно отнести: политики безопасности, международные стандарты, описание процедур обеспечения безопасности и метрики. Все эти руководящие документы способны ответить на три основных вопроса:
- - почему нужно защищать информацию? - что нужно предпринять для обеспечения безопасности? - как реализовать политику в соответствии с требованиями?
Разработка комплексной системы безопасности должна включать следующие этапы: анализ информационных активов;
- - идентификация возможных угроз; - анализ и оценка рисков безопасности; - назначение лиц, ответственных за обеспечение безопасности; - создание комплексной системы, в соответствии со стандартами, руководствами и процедурами; - управление системой безопасности; 2. Политика Microsoft
Стратегия информационной политики компании Microsoft содержит четыре основных компонента:
- - цель обеспечения информационной безопасности компании; - нормы системной безопасности - схема принятия решений (строится по результатам анализа рисков); - определение действий по минимизации рисков;
Процесс разработки политики безопасности разделен на четыре категории:
- - организационная (направленная на повышение осведомленности и расширение знаний сотрудников в сфере информационной безопасности, а также на поддержку руководства); - данные и пользователи (включает такие средства защиты как: авторизация, защита персональных данных, аутентификация); - разработка системы (разработка защищенной системы, сокращение поверхности атаки, обеспечение простоты использования); - сопровождение (регулярный контроль и журналирование системы, реагирование на происшествия и инциденты);
Для поддержания уровня защищенности компания применяет контроль информационных рисков (идентификация, оценка и минимизация рисков). Такой подход позволяет достигнуть баланса между требованиями и методикой защиты.
3. Политика IBM
Специалисты компании IBM выделяют четыре основных этапа построения системы безопасности:
- - идентификация информационных рисков и методов борьбы с ними; - описание мер защиты активов в соответствии с задачами и целями компании; - описание действий при происшествиях; - анализ остаточных рисков и принятие решение о дополнительном капиталовложении в методы обеспечения безопасности;
Ответ на вопрос "Что нужно защищать?" - основной аспект политики информационной безопасности, в соответствии со стратегией IBM. Политика должна создаваться с целью минимальных ее изменений в будущем. Эффективная политика безопасности должна содержать:
- - цели и задачи обеспечения информационной безопасности; - взаимодействие со стандартами безопасности и законодательством; - расширение знаний по вопросам информационной безопасности; - выявление и ликвидация вирусных атак; - обеспечение непрерывности деятельности; - установление ролей и обязанностей персонала; - журналирование инцидентов нарушения безопасности;
Далее идет процесс создания документации, которая содержит правила анализа рисков компании, описание рекомендуемых методов и средств защиты и так далее. Документация может подлежать изменениям в соответствии с актуальными уязвимостями и угрозами.
Однако, помимо правовой основы, система информационной безопасности и ее функции по обеспечению состоянию защищенности объекта должны быть реализованы в соответствии с нижеизложенными принципами:
- - легитимность (создание системы информационной безопасности, а также реализация мероприятий по защите, не противоречащих законодательству и нормативам); - комплексность (разрабатываемая система защиты предусматривает комплексную реализацию методов, обеспечивает защиту информационных ресурсов на техническом и организационном уровнях и предотвращает возможные пути реализации угроз); - постоянность (обеспечивает непрерывную защиту объектов); - прогрессивность (подразумевает непрерывное развитие средств и методов защиты, в соответствии с развитием технологий и методов атак); - рациональность (использование экономически выгодных и эффективных средств защиты); - ответственность (каждый сотрудник ручается за обеспечение безопасности в рамках своих полномочий); - контроль (предполагает постоянный контроль над обеспечением защиты и своевременное выявление угроз); - использование действующей системы безопасности (проектируемая система создается на основе действующей системы, с использованием штатных аппаратных и программных средств); - использование аппаратно - программных компонентов защиты отечественного производства (проектирование системы безопасности предусматривает преобладание отечественных технических средств защиты); - этапность (проектирование системы безопасности предпочтительнее делать поэтапно);
Проанализировав существующие политики и стандарты информационной безопасности можно утверждать, что для обеспечения надлежащего уровня информационной защиты требуется комплекс мер, включающий в себя функции программного обеспечения, политики безопасности, методы и организационные структуры. В соответствии с этим и с основной целью необходимо выполнить следующие задачи:
- - изучить исходную информационную и организационную структуру ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет"; - по результатам анализа исходной информационной системы определить конкретные угрозы и уязвимости информационной безопасности; - определить уровень и класс исходной защищенности объекта; - выявить актуальные угрозы; - составить модель нарушителя; - сопоставить исходную систему с требованиями стандартов безопасности; - разработать политику безопасности и определить действия по обеспечении информационной безопасности;
Выполнение вышеизложенных целей и задач позволит создать эффективную систему информационной безопасности предприятия, отвечающую требованиям законодательства и стандартам информационной безопасности.
Похожие статьи
-
Анализ на соответствие стандартам и существующим политикам Проанализировав актуальные стандарты и "лучшие практики" в сфере информационной безопасности и...
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
Количество рабочих станций, всего 20 Количество ПК, работающих в сети 21 Характеристики компьютеров От amd phenom 1055t и выше Операционная система...
-
Введение - Обеспечение информационной безопасности на предприятии
Данная статья посвящена важности информационной системы и необходимости ее защиты. В ней говориться о различных средствах и методах, помогающих...
-
1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....
-
Технология как строго научное понятие означает определенный комплекс научных и инженерных знаний, воплощенный в способах, приемах труда, наборах...
-
Решение вопроса о разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев...
-
2.1. ИСПДн класса К3 Заказчика характеризуются сосредоточенностью на территории занимаемого Заказчиком помещения без подключения к сетям общего...
-
Классификация и анализ источников угроз и уязвимостей безопасности В информационной безопасности под угрозой понимают потенциальное событие или действие,...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
Постановление Правительства Российской Федерации №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...
-
Конституция Российской Федерации, принятая 12 декабря 1993 года, имеет высшую юридическую силу, прямое действие и применяется на всей территории...
-
Техническое задание - Разработка информационно-справочной системы "Аптека"
Техническое задание представляет собой документ, в котором сформулированы основные цели разработки, требования к программному продукту, определены сроки...
-
Законодательные средства - законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи...
-
Введение - Функциональная структура информационных систем
Информационная система - это совокупность информации, содержащейся в базах данных, и технических средств и информационных технологий, обеспечивающих ее...
-
Требования к функциональным характеристикам система должна обеспечивать выполнение следующих функций: - Актуальная информативность Исходные данные:...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
Модель нарушителя - Разработка модели системы информационной безопасности на предприятии
Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут...
-
4.1. Работы по аттестации ИСПДн класса К3 Заказчика должны носить комплексный характер, охватывая все элементы системы. 4.2. Работа должна быть выполнена...
-
Должны быть выполнены следующие работы: № п/п Наименование работ Результат работ (отчетная документация) 1 Установка и настройка Microsoft Windows XP...
-
Данный курсовой проект посвящен разработке модели программно-аппаратной защиты информации на предприятии. Проблема защиты информации на предприятии...
-
Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...
-
Введение - Техническое обеспечение автоматизированных информационных систем
Техническое обеспечение -- это комплекс технических средств, предназначенных для работы информационной системы, а также соответствующая документация на...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Информационный безопасность программный сеть Информационная система ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет"...
-
Оценка стоимости разработки программного обеспечения, или, в частности информационной системы, - один из самых важных, сложных и в то же время неизбежных...
-
6.1. "Аттестат соответствия" оформляется и выдается после утверждения заключения по результатам проведенных аттестационных испытаний. 6.2. "Аттестат...
-
- Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...
-
Прогноз погоды - научно обоснованное предположение о будущем состоянии погоды в определенном пункте или регионе на определенный период. Составляется...
-
Постановка задачи Основной целью дипломной работы является создание комплексной системы информационной безопасности предприятия на примере информационной...
-
Введение - Разработка информационно-справочной системы "Аптека"
Для большинства средних и мелких российских предприятий информационные системы с использованием сетей персональных компьютеров являются фактическим...
-
Использование парадигмы ООП. Разрабатываемая АИС является системой с открытым исходным кодом и значит должна являться масштабируемой сторонними...
-
ЗАКЛЮЧЕНИЕ - Разработка модели программно-аппаратной защиты на предприятии
В данном курсовом проекте я рассмотрела и проанализировала часть средств для обеспечения защиты информации на предприятиях разного уровня организации...
-
Введение - Системный подход к анализу информационных рисков и угроз предприятия
Понятия "системный подход" и "информационный риск" употребляются в научно-практической литературе достаточно часто. Вместе с тем, оба эти понятия не...
-
Введение - Поверка и калибровка информационно измерительных систем
На сегодня метрологическая деятельность регулируется Законом Российской Федерации "Об обеспечении единства измерений". Из этого следует, что эта...
-
Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...
-
Введение - Проектирование автоматизированной информационной системы
Информационный интерфейс программа С развитием информационных технологий компьютеры, с их расширенными функциональными возможностями, активно применяются...
-
Графическое отображение нелокальной нейронной сети в системе "Эйдос" Математический метод СК-анализа в свете идей интервальной бутстрепной робастной...
ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии