ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии

Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных технологий это привело к развитию автоматизированных систем. Эффективная система информационной безопасности позволяет минимизировать риски, связанные с информацией, и способствует стабильной деятельности информационных потоков предприятия.

Безопасность государственных учреждений, таких как высшие учебные заведения, также требует высокого уровня информационной защищенности.

Информационные активы ВУЗа составляют огромное количество сведений об учебной деятельности, по деятельности сотрудников с различным уровнем доступа. Работники и студенты ВУЗа также отличный пример лиц с различными правами доступа к информации. Поэтому было решено разработать эффективный комплекс мер для обеспечения информационной безопасности ВУЗа.

Целью дипломной работы является разработка комплекса мер, направленного на обеспечение информационной безопасности ВУЗа на примере Нижегородского Государственного Архитектурно - Строительного Университета.

Предметом исследования в дипломной работе является система защиты информационной безопасности Нижегородского Государственного Архитектурно-Строительного Университета.

Дипломная работа состоит из четырех глав. В первой главе представлено описание информационной системы организации, анализ информационных ресурсов и технических средств. Во второй главе проанализированы потенциальные угрозы системы и определена модель нарушителя. В третьей главе разработана политика информационной безопасности. Четвертая глава в форме пояснительной записки содержит процесс реализации портала первичной авторизации.

На современном этапе развития общества информационные технологии являются неотъемлемой его частью. Информация стала одним из основных средств социального - экономического, технического и научного прогресса мирового сообщества. Развитие информационных технологий и расширение информационного пространства приводит к постоянно растущему уровню атак и нарушений в этой области, что делает проблемы информационной безопасности все более актуальными. Под информационной безопасностью понимается состояние защищенности информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.

Обеспечения информационной безопасности является одним из ключевых факторов стабильного функционирования любого предприятия. На сегодняшний день конфиденциальность, целостность и доступность информации является важным аспектом непрерывности бизнеса, поэтому все большее число организаций сосредоточены на вопросе информационной безопасности. Таким образом, существует необходимость в эффективной и интегрированной системе информационной безопасности.

Довольно часто, при создании информационной системы, организации стремятся обезопасить свои информационные активы лишь на аппаратном и программном уровнях защиты. Но такой уровень безопасности является неэффективным и должен быть подкреплен нормами и правилами в области информационной безопасности.

Подготовка и реализация системы безопасности в учреждении должна осуществляться на основании существующего законодательства и нормативных требований в сфере информационной безопасности. Основным документом является Конституция РФ, согласно которой "сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается". Другими базовыми документами в области информационной безопасности являются Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и защите информации", в соответствии с которым, необходимо обеспечивать защиту информации от несанкционированного доступа, модификации, уничтожения, копирования и распространения данных. Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" регулирует действия, связанные с обработкой персональных данных государственными учреждениями, с использованием автоматизированных систем.

Также следует брать во внимание закон РФ "О государственной тайне" и закон РФ "О коммерческой тайне", который регламентирует порядок отнесения информации к служебной тайне, режим служебной тайны и порядок разглашения служебных данных. Также существует ряд законов, в соответствии с которыми формируются уровни конфиденциальности информации ("Об утверждении Перечня сведений конфиденциального характера"; "Об утверждении Перечня сведений, отнесенных к государственной тайне"; "Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну").

В целом, законодательные РФ не учитывают и регулируют в полной мере хранение и использование конфиденциальных данных.

Основными регламентами обеспечения безопасности со стороны процедурного и аппаратно - программного уровней являются стандарты и спецификации. Это документы, содержащие испытанные, высококачественные методологии и средства обеспечения безопасности.

В соответствии со стандартами, обеспечение безопасности объектов информационной системы должно состоять из следующих этапов:

    - выделение целей обеспечения информационной безопасности; - проектирование действенной системы управления; - анализ и оценка соответствия поставленным целям; - анализ исходного состояния защищенности;

Стандарт ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий) содержит наиболее полные критерии безопасности программно - аппаратного уровня. Общие критерии устанавливают требования по функциональности безопасности. Помимо программно - аппаратного уровня защиты стандарт описывает некоторые требования методов безопасности организационного уровня и физической защиты. Стандарт состоит из трех частей:

    - первая часть включает понятийный аппарат, представление модели и методологию оценки безопасности информационных технологий; - вторая часть содержит непосредственно требования функциональности аппаратно - программных средств; - в третьей части приводятся требования гарантий безопасности;

Стандарт ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) содержит наиболее полные критерии организационного уровня. Стандарт содержит наиболее эффективные правила управления информационной безопасностью и критерии оценки методов безопасности организационного уровня, с учетом административных, процедурных и физических средств защиты. Стандарт содержит следующие разделы:

    - политика безопасности; - организация информационной безопасности; - управление ресурсами; - безопасность человеческих ресурсов; - физическая безопасность; - контроль доступа; - администрирование информационных систем; - разработка и сопровождение информационных систем; - планирование непрерывной работы; - контроль выполнения требований безопасности;

Руководящий документ Гостехкомиссии РФ "Критерии оценки безопасности информационных технологий". Это документ разработан в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 и обеспечивает его практическое использование. Основная цель РД - реализация комплексных методов по обеспечению безопасности информационных систем и использование необходимого функционала. Он направлен на проектирование систем безопасности соответствующих возможным угрозам и сохраняющих баланс между эффективностью и стоимостью.

Руководящий документ Гостехкомиссии РФ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Этот РД определяет классификацию АС и в соответствии с классом определяет требования к возможным подсистемам.

Руководящий документ Гостехкомиссии РФ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Первый РД, который не имеет зарубежных аналогов. Основная идея данного РД - классификация межсетевых экранов в соответствии с сетевой моделью OSI, которая фильтрует потоки данных.

На сегодняшний день в сфере реализации систем безопасности сформировалось такое понятие как "лучшая практика". "Лучшая практика" это такие политики безопасности, которые отражают наилучшие процедуры, средства, руководства и стандарты безопасности и могут быть применимы как эталон при разработке системы безопасности. Эталонными считаются политики таких компаний, как Microsoft, IBM, Symantec и др.

1. Политика Symantec

Специалисты компании Symantec утверждают, что основой эффективной системы безопасности являются руководящие документы, к числу которых можно отнести: политики безопасности, международные стандарты, описание процедур обеспечения безопасности и метрики. Все эти руководящие документы способны ответить на три основных вопроса:

    - почему нужно защищать информацию? - что нужно предпринять для обеспечения безопасности? - как реализовать политику в соответствии с требованиями?

Разработка комплексной системы безопасности должна включать следующие этапы: анализ информационных активов;

    - идентификация возможных угроз; - анализ и оценка рисков безопасности; - назначение лиц, ответственных за обеспечение безопасности; - создание комплексной системы, в соответствии со стандартами, руководствами и процедурами; - управление системой безопасности; 2. Политика Microsoft

Стратегия информационной политики компании Microsoft содержит четыре основных компонента:

    - цель обеспечения информационной безопасности компании; - нормы системной безопасности - схема принятия решений (строится по результатам анализа рисков); - определение действий по минимизации рисков;

Процесс разработки политики безопасности разделен на четыре категории:

    - организационная (направленная на повышение осведомленности и расширение знаний сотрудников в сфере информационной безопасности, а также на поддержку руководства); - данные и пользователи (включает такие средства защиты как: авторизация, защита персональных данных, аутентификация); - разработка системы (разработка защищенной системы, сокращение поверхности атаки, обеспечение простоты использования); - сопровождение (регулярный контроль и журналирование системы, реагирование на происшествия и инциденты);

Для поддержания уровня защищенности компания применяет контроль информационных рисков (идентификация, оценка и минимизация рисков). Такой подход позволяет достигнуть баланса между требованиями и методикой защиты.

3. Политика IBM

Специалисты компании IBM выделяют четыре основных этапа построения системы безопасности:

    - идентификация информационных рисков и методов борьбы с ними; - описание мер защиты активов в соответствии с задачами и целями компании; - описание действий при происшествиях; - анализ остаточных рисков и принятие решение о дополнительном капиталовложении в методы обеспечения безопасности;

Ответ на вопрос "Что нужно защищать?" - основной аспект политики информационной безопасности, в соответствии со стратегией IBM. Политика должна создаваться с целью минимальных ее изменений в будущем. Эффективная политика безопасности должна содержать:

    - цели и задачи обеспечения информационной безопасности; - взаимодействие со стандартами безопасности и законодательством; - расширение знаний по вопросам информационной безопасности; - выявление и ликвидация вирусных атак; - обеспечение непрерывности деятельности; - установление ролей и обязанностей персонала; - журналирование инцидентов нарушения безопасности;

Далее идет процесс создания документации, которая содержит правила анализа рисков компании, описание рекомендуемых методов и средств защиты и так далее. Документация может подлежать изменениям в соответствии с актуальными уязвимостями и угрозами.

Однако, помимо правовой основы, система информационной безопасности и ее функции по обеспечению состоянию защищенности объекта должны быть реализованы в соответствии с нижеизложенными принципами:

    - легитимность (создание системы информационной безопасности, а также реализация мероприятий по защите, не противоречащих законодательству и нормативам); - комплексность (разрабатываемая система защиты предусматривает комплексную реализацию методов, обеспечивает защиту информационных ресурсов на техническом и организационном уровнях и предотвращает возможные пути реализации угроз); - постоянность (обеспечивает непрерывную защиту объектов); - прогрессивность (подразумевает непрерывное развитие средств и методов защиты, в соответствии с развитием технологий и методов атак); - рациональность (использование экономически выгодных и эффективных средств защиты); - ответственность (каждый сотрудник ручается за обеспечение безопасности в рамках своих полномочий); - контроль (предполагает постоянный контроль над обеспечением защиты и своевременное выявление угроз); - использование действующей системы безопасности (проектируемая система создается на основе действующей системы, с использованием штатных аппаратных и программных средств); - использование аппаратно - программных компонентов защиты отечественного производства (проектирование системы безопасности предусматривает преобладание отечественных технических средств защиты); - этапность (проектирование системы безопасности предпочтительнее делать поэтапно);

Проанализировав существующие политики и стандарты информационной безопасности можно утверждать, что для обеспечения надлежащего уровня информационной защиты требуется комплекс мер, включающий в себя функции программного обеспечения, политики безопасности, методы и организационные структуры. В соответствии с этим и с основной целью необходимо выполнить следующие задачи:

    - изучить исходную информационную и организационную структуру ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет"; - по результатам анализа исходной информационной системы определить конкретные угрозы и уязвимости информационной безопасности; - определить уровень и класс исходной защищенности объекта; - выявить актуальные угрозы; - составить модель нарушителя; - сопоставить исходную систему с требованиями стандартов безопасности; - разработать политику безопасности и определить действия по обеспечении информационной безопасности;

Выполнение вышеизложенных целей и задач позволит создать эффективную систему информационной безопасности предприятия, отвечающую требованиям законодательства и стандартам информационной безопасности.

Похожие статьи




ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии

Предыдущая | Следующая