1 Оглавление Введение .........................................................................................................................3 1 Аналитическая часть ..............................................................................................3 Технико-экономическая 1.1 характеристика предметной области и предприятия (Установление границ рассмотрения) ..................................................3 1.1.1 Общая характеристика предметной области ..........................................3 1.1.2 Организационно-функциональная структура предприятия..................4 Анализ рисков информационной безопасности ...........................................4 1.2 1.2.1 Идентификация и оценка информационных активов ............................4 1.2.2 Оценка уязвимостей активов ...................................................................5 1.2.3 Оценка угроз активам ...............................................................................6 1.2.4 Оценка существующих и планируемых средств защиты .....................6 1.2.5 Оценка рисков ...........................................................................................7 Характеристика комплекса задач, задачи и обоснование необходимости 1.3 совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии .........................................................................7 1.3.1 Выбор комплекса задач обеспечения информационной безопасности . .....................................................................................................................7 1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации ....................................................................................................................8 Выбор защитных мер .......................................................................................8 1.4 1.4.1 Выбор организационных мер ...................................................................8 1.4.2 Выбор инженерно-технических мер .......................................................9 2 Проектная часть ......................................................................................................9 2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия....................................................9 2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия .............................................................................................9 2 Организационно-административная 2.1.2 основа создания системы обеспечения информационной безопасности и защиты информации предприятия 10 Комплекс проектируемых программно-аппаратных средств обеспечения 2.2 информационной безопасности и защиты информации предприятия...................10 Структура программно-аппаратного комплекса информационной 2.2.1 безопасности и защиты информации предприятия..................................................10 Контрольный пример реализации проекта и его описание ................11 2.2.2 3 3.1 Обоснование экономической эффективности проекта .....................................12 Выбор и обоснование методики расчёта экономической эффективности 12 3.2 Расчёт показателей экономической эффективности проекта ....................12 Заключение ...................................................................................................................13 Список использованной литературы .........................................................................13 Приложение 1. Регламент использования системы электронного документооборота ....................................................... Error! Bookmark not defined. Приложение2. Правила парольной защиты .............. Error! Bookmark not defined. Приложение 3. Правила защиты от вирусов и злонамеренного программного обеспечения .................................................................. Error! Bookmark not defined. 3 Введение В современных условиях можно утверждать: информация стала стратегическим национальным ресурсом - одним из основных богатств любой страны. Разворачивающееся вокруг информационного ресурса соперничество, борьба за достижение и удержание информационного превосходства начинают занимать все более значимое место в общей геополитической конкуренции развитых стран мира. На новом этапе истории мира, когда возможности экстенсивного роста за счет механического присоединения новых ресурсов путем вооруженного захвата территории других стран и всех имеющихся на этой территории богатств оказались исчерпанными и неэффективными, встал вопрос о более приемлемых формах и способах геополитической конкуренции в информационной сфере. 1 Аналитическая часть 1.1 Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения) 1.1.1 Общая характеристика предметной области Компания «Дина-Транс» занимается продажей авиа-билетов, ж/д билетов, автобусных билетов. На сегодня компания ООО «Дина-Транс» обслужила уже более 20 тысяч пассажиров. Клиенты ценят оперативность и надежность работы, многие из них становятся постоянными клиентами. Корпоративным клиентам предлагается профессиональное содействие в организации деловых и инсентив поездок. Компания все время совершенствует свою работу, чтобы клиенты могли получить наивысочайший уровень . Сотрудники компании обеспечивают соблюдение высоких стандартов обслуживания потребителей, в соответствии с которыми любой заказанный железнодорожный билет подтверждается в течение 5 минут. Основными задачами производственной деятельности ООО «Дина-Транс» являются: 4 1.1.2 Организационно-функциональная структура предприятия Организационно-штатная структура ООО «ДИНА-ТРАНС» представлена на рисунке 1.1. 1.2 Анализ рисков информационной безопасности 1.2.1 Идентификация и оценка информационных активов Идентификация информационных ресурсов должна быть выполнена в отношении поименованных информационных объектов (массивов и баз данных, документов и массивов документов, сообщений и т. д.) с учетом выявления сведений по их владению и использованию. Целесообразно выделить характеристические показатели (признаки) использования: в функциональных подсистемах (прикладных сервисах) АС и автоматизированных задачах функциональных подсистем, для решения которых необходима информация из этих информационных объектов; в подразделениях и службах (возможно, с указанием должностей), в интересах которых решаются автоматизированные задачи; в удаленных объектах ОИ (площадки, представительства и т. д.) (наименование, место расположения объекта). Обязательным характеристическим показателем информационного объекта должен быть уровень конфиденциальности. Категорирование информационных активов компании является необходимым элементом организации работ по обеспечению информационной безопасности компании, целями которого является: создание нормативно-методической основы для дифференцированного подхода к защите ресурсов АС компании, (информации, задач, специализированных АРМ, рабочих станций); 5 1.2.2 Оценка уязвимостей активов Уязвимость информационных активов — тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов). Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей. 6 1.2.3. Оценка угроз активам Основными источниками угроз безопасности в рассматриваемой компании информации являются: угрозы по каналам утечки вещественной информации (незаконный доступ к физическим объектам защиты); угрозы утечки информации по техническим каналам; угрозы НСД к данным, обрабатываемым в локальной сети. Угрозы утечки информации по техническим каналам включают в себя: угрозы утечки акустической (речевой) информации; угрозы утечки видовой информации; угрозы утечки информации по каналу ПЭМИН. 1.3.3. Оценка существующих и планируемых средств защиты Организация режима информационной безопасности и эксплуатация систем защиты информации в компании осуществляется специалистами, входящими в группу информационной безопасности отдела информационных технологий. В состав группы входят: Начальник группы; Администратор системы информационной безопасности; Операторы системы информационной безопасности; Операторы системы видеонаблюдения. Основными задачами группы информационной безопасности являются: участие в разработке и проведении политики в сфере внедрения и сопровождения информационных технологий и технических средств по обеспечению информационной безопасности; обеспечение информационной безопасности при создании единого информационного пространства; участие в разработке и реализации программ в сфере внедрения современных информационных технологий обеспечению информационной безопасности; и технических средств по 7 1.2.3 Оценка рисков Оценка рисков в рассматриваемой организации организуется в соответствии с требованиями ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» на основе использования общего подхода. Оценка рисков нарушения ИБ проводится на основании базового подхода. Риск нарушения ИБ определяется на основании качественных оценок: степени возможности реализации угроз ИБ (далее — СВР угроз ИБ) выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов информационных активов; степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов. 1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 1.3.1 Выбор комплекса задач обеспечения информационной безопасности В таблице 1.10 показано, какие виды деятельности имеют отношение к обеспечению информационной безопасности организации, и кто несет за них ответственность, – при условии, что все службы добросовестно исполняют свои обязанности. Таблица 1.1 Информационная безопасность в ООО «Дина-Транс» Информационные ресурсы Виды операций 8 1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации Политика информационной безопасности - самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности. Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое. 1.4 Выбор защитных мер 1.4.1 Выбор организационных мер В качестве основных организационных мер предполагается модернизация существующей политик безопасности путем разработки дополняющих ее документов, которые бы конкретизировали выполнение мер обеспечения информационной безопасности по отдельным вопросам и угрозам. Политика информационной безопасности — самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности. Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое. 9 1.4.2 Выбор инженерно-технических мер Инженерно-техническая защита информации - одна из основных составляющих комплекса мер по защите информации, составляющей государственную, коммерческую и личную тайну. Этот комплекс включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации. Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами и решает следующие задачи: Предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения. Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении. Предотвращение утечки информации по различным техническим каналам. 2 Проектная часть 2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия Правоотношения субъектов в информационной сфере определяются различными правовыми, нормативными и подзаконными актами. Все они имеют разную степень приоритетности исполнения. Среди документов, составляющих нормативно-правовую базу обеспечения информационной безопасности выделяются документы, формирующие правовое поле отношений субъектов (правовое обеспечение) и 10 2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия Таким образом, основываясь на необходимых мерах по защите информации на рассматриваемом предприятии, определим состав разрабатываемой политики безопасности. В состав политики безопасности должны входить документы, регламентирующие работу следующих подсистем (рисунок 2.1): подсистема управления политикой информационной безопасности; подсистема анализа и управления рисками; подсистема идентификации и аутентификации; подсистема разграничения доступа; подсистема протоколирования и пассивного аудита; 2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия Технология ViPNet осуществляет функции межсетевого экрана как для открытых соединений, так и для защищенных, системы обнаружения вторжений (IDS), IM-клиента, почтовой службы (защищенной от спама и несанкционированного доступа), назначения виртуальных адресов видимости. Для развертывания сети ViPNet достаточно установить на рабочие станции программное обеспечение ViPNet. При этом практически не требуется менять топологию существующей сети или приобретать дополнительное оборудование. В технологии ViPNet для организации защищенного соединения используется схема с автоматически распределенными на этапе установки ПО симметричными ключами шифрования и автоматизированной процедурой их синхронного обновления. Каждый пакет, который отправляется в сеть, 11 2.2.2 Контрольный пример реализации проекта и его описание Рассмотрим порядок настройки выбранного программного обеспечения. Узлы сети ViPNet могут быть подключены к внешней сети непосредственно либо взаимодействовать с внешней сетью через различные межсетевые экраны (МЭ), в том числе ViPNet-координатор. Информацию об узлах ViPNet, параметрах доступа и их активности в данный момент каждый компьютер получает от своего сервера IP-адресов (см. «Выбор сервера IP-адресов» на стр. 90) или от других координаторов (если узел сам является координатором). Таким образом, координатор отвечает за сбор и рассылку информации о сетевых узлах на узлы, для которых он выполняет функции сервера IP-адресов. Сетевые узлы ViPNet могут располагаться внутри локальных сетей любого типа, поддерживающих IP-протокол. Способ подключения к сети может быть любой: сеть Ethernet, PPPoE через XDSL-подключение, PPP через подключение Dial-up или ISDN, сеть сотовой связи GPRS или UMTS, устройства Wi-Fi, сети MPLS или VLAN. ПО ViPNet автоматически поддерживает разнообразные протоколы канального уровня. Для создания защищенных VPN-туннелей между сетевыми узлами используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются пакеты любых других IP-протоколов. 12 3 Обоснование экономической эффективности проекта 3.1 Выбор и обоснование методики расчёта экономической эффективности В соответствии с современной теорией оценки эффективности систем [22], качество любого объекта, в том числе и СЗИ, проявляется лишь в процессе его использования по назначению (целевое функционирование), поэтому наиболее объективным является оценивание по эффективности применения. Проектирование, организация и применение СЗИ фактически связаны с неизвестными событиями в будущем и поэтому всегда содержат элементы неопределенности. Кроме того, присутствуют и другие причины неоднозначности, такие как недостаточно полная информация для принятия управленческих решений или социально-психологические факторы. Поэтому, например, этапу проектирования СЗИ естественным образом сопутствует значительная неопределенность. По мере реализации проекта ее уровень снижается, но никогда эффективность СЗИ не может быть адекватно выражена и описана детерминированными показателями. Процедуры испытаний, сертификации или лицензирования не устраняют полностью неопределенность свойств СЗИ или ее отдельных элементов и не учитывают случайный характер атак. 3.2 Расчёт показателей экономической эффективности проекта В предыдущей главе была рассчитана суммарная величина потерь в случае реализации рассмотренных угроз (таблица 3.1). В данном пункте рассчитаем постоянные и переменные затраты на разработку документов для обеспечения системы защиты информации и внедрение аппаратно-программного комплекса, определим экономическую эффективность ее внедрения и срок окупаемости предлагаемых мер. В ходе проектирования, внедрения и эксплуатации системы безопасности возможны разовые и постоянные затраты. К разовым затратам относятся следующие: 13 Заключение Одним из основных сдерживающих факторов внедрения информационных систем и информационных и коммуникационных технологий в сферы экономики и бизнеса является их принципиальная уязвимость от различного рода угроз. Информационная безопасность компьютерных систем, рассматриваемая как состояние их защищенности от воздействий деструктивного характера, является в настоящее время одной из самых существенных проблем, причем их значимость по мере масштабов внедрения компьютерной техники во все жизненно важные сферы жизнедеятельности общества, будет только возрастать. Однако отсутствие надлежащих знаний, умений и навыков в области ИБКС чревато серьезными издержками при использовании ИКТ в сфере экономики и бизнеса, поскольку одним из основных сдерживающих факторов их внедрения является принципиальная уязвимость от различного рода угроз информационной безопасности. Сложность, многоаспектность и чрезвычайная важность для пользователей ИКТ проблематики ИБКС (в условиях конкурентной борьбы в рамках современных рыночных отношений, когда понятия информационного противоборства и информационного оружия отражают реалии современного бизнеса) требуют комплексного, системного подхода к её изучению. Список использованной литературы 1. Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2010 г.- 399 с. 2. Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2011.-193 с. 3. Бузов Г.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.- Горячая линияТелеком.-2012.-416 с. 4. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и