1.2. Анализ рисков информационной безопасности

реклама
ОГЛАВЛЕНИЕ
Введение .................................................................................................................................... 2
1.1. Технико-экономическая характеристика предметной области и предприятия. ..... 3
1.1.1. Общая характеристика предметной области. ...................................................... 3
1.1.2. Организационно-функциональная структура предприятия.Error! Bookmark
not defined.
1.2. Анализ рисков информационной безопасности ......................................................... 4
1.2.1 Идентификация и оценка информационных активов. ......................................... 4
1.2.2. Оценка уязвимостей активов. .............................. Error! Bookmark not defined.
1.2.3. Оценка угроз активам. ......................................... Error! Bookmark not defined.
1.2.4. Оценка существующих и планируемых средств защиты.Error!
Bookmark
not defined.
1.2.5. Оценка рисков. ...................................................... Error! Bookmark not defined.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости
совершенствования системы обеспечения информационной безопасности и защиты
информации на предприятии............................................................................................... 5
1.3.1. Выбор комплекса задач обеспечения информационной безопасности. ........... 5
1.3.2. Определение места проектируемого комплекса задач в комплексе задач
предприятия, детализация задач информационной безопасности и защиты
информации..................................................................... Error! Bookmark not defined.
1.4. Выбор защитных мер .................................................................................................... 6
1.4.1. Выбор организационных мер. ............................................................................... 6
1.4.2. Выбор инженерно-технических мер. .................. Error! Bookmark not defined.
1.5. Основные компетенции, приобретенные в ходе практикиError! Bookmark not
defined.
Заключение................................................................................................................................ 7
Список литературы ................................................................................................................... 8
Введение
На рынке недвижимости, где конкуренция очень высока особую роль
отводят для обеспечения безопасности данных, и информации с которой работают
организации занимающиеся оформлению сделок с недвижимости.
Особенно остро этот вопрос стоит по отношению к информационным
системам (ИС), функционирование которых критично для бизнес-процессов
организации. Т.е. тех, при нарушении работы которых или деструктивном
воздействии на активы, компания несет прямые или косвенные потери в виде
финансов, репутации, доли рынка и т.д.
Таким образом, для успешного ведения бизнеса в равной степени важно не
только эффективно управлять самой информационной системой компании, но и
защитой ИС.
Объект исследования – ООО «МГСН».
Предмет исследования преддипломной практики – инженерно-техническая и
программная защита информации.
Цель
преддипломной
практики
–
изучение
способов
организации
информационной безопасности и развитие системы информационной безопасности
и защиты информации в ООО «МГСН»
Задачи для достижения цели:
 Установление границ рассмотрения ООО «МГСН» и выявление недостатков
в существующей системе обеспечения информационной безопасности и
защите информации;
 Идентификация активов предприятия (оценка активов, оценка уязвимостей
активов, оценка угроз активам;
 Идентификация существующих средств защиты;
 Идентификация планируемых средств защиты;
 Оценка рисков;
 Выбор защитных мер (организационных и технических);
 Описание мероприятий инженерно-технической защиты.
1.1. Технико-экономическая характеристика предметной области и
предприятия.
1.1.1. Общая характеристика предметной области.
ООО «МГСН» - агентство недвижимости, которое работает на рынке
недвижимости Москвы и Подмосковья более 17 лет, является одним из лидеров
рынка и одним из наиболее узнаваемых имен.
На начальном этапе своей деятельности компания специализировалась на
рынке вторичного жилья, теперь же, накопив огромный опыт, и системные знания
рынка недвижимости, мы предоставляем услуги в масштабных строительных
проектах Москвы и Подмосковья.
ООО «МГСН» входит в 5-ку самых узнаваемых агентств, недвижимости
профессиональной репутации которого доверяют тысячи клиентов Москвы и
Московской области.
В нашей компании работает сложившийся коллектив опытных риелторов,
которые окажут консультационные услуги и практическую помощь по сделкам
любой сложности, обеспечат резервирование выбранной клиентом квартиры, как в
доме-новостройке, так и на вторичном рынке, сформируют необходимый для
конкретной сделки пакет документов, окажут услуги по оформлению квартир в
собственность, предоставят консультации по юридическим вопросам, связанным с
приобретением жилья в Москве и Московской области, помогут провести обмен
любой сложности, окажут содействие в проведении альтернативных сделок.
Одним из направлений ООО
«МГСН» является инвестирование в
строящиеся объекты Москвы и Подмосковья .
Репутация ООО «МГСН», как безупречного партнера, заложила фундамент
прочных, долгосрочных отношений с банковскими структурами, с известными и
надежными застройщиками, а также с Правительством Москвы, администрациями
городов Подмосковья и регионов.
За годы успешной инвестиционной деятельности, объем инвестиций в
ключевые проекты новостроек Подмосковья и эксклюзивные проекты в Москве
составил 500 000 кв. м.
1.2. Анализ рисков информационной безопасности
В организации несколько раз в год проводится исследование, с целью
определения общего списка информационных активов и их владельцев, для
последующего анализа. Данное исследование позволяет выявить угрозы активам,
которые имеются в организации, и предполагается выработка мер по обеспечению
их безопасности.
Совершенствование
системы
безопасности
не
разовый
процесс,
он
бесконечен, поскольку всегда появляются новые активы, и соответственно новые
угрозы. Особенно чувствительно это в организациях, где используются передовые
технологии обмена и консолидации в мировое информационное пространство.
Решение об анализе активов, рисков и угрозах принимается непосредственно
генеральным директором, анализ проводится ИТ отделом.
На основе анализа полученных данных и установленных зависимостей
схематически представляется модель информационной инфраструктуры для
установления границ рассмотрения информационных активов (Выполнение
процедур данного этапа позволяет определить, какие объекты информационной
инфраструктуры выбраны для анализа ИТ-рисков, а какие остались за его рамками
на основании анкетирования).
1.2.1 Идентификация и оценка информационных активов.
Активы, имеющие наибольшую ценность:
1. Сведения о продаже и покупке недвижимости
2. Сведения об участниках продаже и покупке недвижимости.
3. Сведения об объектах недвижимости.
4. Информация об активах компании и ее деятельности.
В ходе выполнения рассмотрения активов были выявлены внутренние и
внешние источники угроз безопасности информационных систем. Внутренними
источниками угроз безопасности функционирования ИС являются:
- системные ошибки при постановке целей и задач проектирования ИС,
формулировке требований к функциям и характеристикам решения задач,
1.3.
Характеристика
комплекса
задач,
задачи
и
обоснование
необходимости совершенствования системы обеспечения информационной
безопасности и защиты информации на предприятии
1.3.1.
Выбор
комплекса
задач
обеспечения
информационной
безопасности.
Принцип
обеспечения
надежности
системы
защиты
информации
и
информационная безопасность – это невозможность снижения уровня надежности
системы во время сбоев, отказов, ошибок и взломов.
Обязательно
необходимо
обеспечить
контроль
и
управление
информационной безопасностью, для отслеживания и регулирования механизмов
защиты (скачать защита информации).
Обеспечение средств борьбы с вредоносным ПО. Например, всевозможные
программы для защиты информации и система защиты информации от вирусов.
Идентификация
пользователей,
ресурсов
и
персонала
системы
информационной безопасности сети;
Опознание и установление подлинности пользователя по вводимым учетным
данным (на данном принципе работает большинство моделей информационной
безопасности);
Допуск
к
определенным
условиям
работы
согласно
регламенту,
предписанному каждому отдельному пользователю, что определяется средствами
защиты
информации
и
является
основой
информационной
безопасности
большинства типовых моделей информационных систем;
Механизмами шифрования данных для обеспечения информационной
безопасности
общества
является
криптографическая
защита
информации
посредством криптографического шифрования.
Криптографические
методы
защиты
информации
применяются
для
обработки, хранения и передачи информации на носителях и по сетям связи.
Криптографическая защита информации при передаче данных на большие
расстояния является единственно надежным способом шифрования.
Информационная безопасность - это комплекс организационно-технических
мероприятий, обеспечивающих целостность данных и конфиденциальность
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер.
Стратегия – средство достижения желаемых результатов. Комбинация из
запланированных действий и быстрых решений по адаптации фирмы к новым
возможностям получения конкурентных преимуществ и новым угрозам ослабления
её конкурентных позиций [9]. То есть стратегию информационной безопасности
(СИБ) нужно определять с учетом быстрого реагирования на новые угрозы и
возможности.
Организационные
(административные)
меры
защиты
-
это
меры,
регламентирующие процессы функционирования АСОЭИ, использование ее
ресурсов, деятельности персонала, а также порядок взаимодействия пользователей
системой таким образом, чтобы максимально затруднить или исключить
возможность реализации угроз безопасности информации.
К организационно-административным мероприятиям защиты информации
относятся:
- организация хранения конфиденциальной информации на специальных
промаркированных магнитных носителях;
- организация регламентированного доступа пользователей к работе на ЭВМ,
средствам связи и к хранилищам носителей конфиденциальной информации;
- постоянный контроль за соблюдением установленных требований по защите
информации.
Нормативная документация ООО «МГСН» в области информационной
безопасности состоит из:
- политика информационной безопасности и защиты информации;
- процедура
управления
информационной
безопасности
и
защиты
информации;
- положение о ролевой структуре информационной безопасности и защиты
информации.
Главной целью информационной безопасности в ООО «МГСН» является
обеспечение
устойчивого
функционирования
предприятия
и
защита
информационных ресурсов, принадлежащих компании, ее акционерам, инвесторам
Заключение
В ходе преддипломной практике рассмотрены возможности организации
безопасности при работе с ИС и документами.
На
основании
рассмотрения
предметной
области
и
деятельности
организации и документов регламентирующих деятельность организации с
данными и информацией рассмотрены активы организации, угрозы и уязвимости,
оценены риски информационных активов. Предложены варианты по обеспечению
безопасности организации.
Изучен рынок программного обеспечения и инженерно-технических средств
для обеспечения информационной безопасности организации.
В ходе прохождения преддипломной практики была разработаны комплекс
мер по совершенствованию системы защиты информации ООО «МГСН», как
комплекс мер направленных на защиту БД, каналов передачи данных, файловой
системы и непосредственно помещения с помощью пожарной, охранной систем и
системы видеонаблюдения
Выполнены поставленные задачи:
 Установлены границы рассмотрения ООО «МГСН» и выявлены недостатки
в существующей системе обеспечения информационной безопасности и
защите информации;
 Идентификация активов предприятия (оценка активов, оценка уязвимостей
активов, оценка угроз активам;
 Идентификация существующих средств защиты;
 Идентификация планируемых средств защиты;
 Оценка рисков;
 Выбор защитных мер (организационных и технических);
 Описание мероприятий инженерно-технической защиты.
Список литературы
1. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник /
Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР
СЭ-Пресс, 2005.
2. Белов
Е.Б,
Лось
В.П.,
Мещеряков
Р.В.,
Шелупанов
А.А.
Основы
информационной безопасности: Учебное пособие для вузов. М.: Горячая линия,
2006.
3. Галатенко В.А. Основы информационной безопасности. – М.: ИНТУИТ.РУ
«Интернет-университет Информационных Технологий», 2003.- 280 с.
4. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая.
Алгоритм криптографического преобразования.
5. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита
информации. Процессы формирования и проверки цифровой подписи.
6. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита
информации. Функция хеширования.
7. ГОСТ
Р
50739-95.
Средства
вычислительной
техники.
Защита
от
несанкционированного доступа к информации. Общие технические требования.
8. ГОСТ Р 50922-96. Защита информации. Основные термины и определения
9. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на
наличие компьютерных вирусов. Типовое руководство
10. ГОСТ
Р
ИСО/МЭК
15408-1-2002.
Методы
и
средства
обеспечения
безопасности. Критерии оценки безопасности информационных технологий.
Часть 1.
11. ГОСТ
Р
ИСО/МЭК
15408-1-2002.
Методы
и
средства
обеспечения
безопасности. Критерии оценки безопасности информационных технологий.
Часть 1. Введение и общая модель
12. ГОСТ
Р
ИСО/МЭК
15408-1-2002.
Методы
и
средства
обеспечения
безопасности. Критерии оценки безопасности информационных технологий.
Часть 2. Функциональные требования безопасности
Скачать