Назначение и структура системы защиты информации коммерческого предприятия (Составление перечня информации, требующей защиты)
Содержание:
Введение
Целью данной работы является закрепление и углубление теоретических знаний в области теории информационной безопасности, в частности в области анализа и синтеза систем защиты информации в корпоративных информационных системах, а также приобретение навыков расчета уровня угроз и рисков по уязвимостям информационных ресурсов, а также оценки эффективности применяемых мер (комплекса мер). Обеспечение информационной безопасности действующей коммерческой организации представляет собой комплекс взаимоувязанных правовых, организационных, инженерно-технических мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления.
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO/IEC 27001:2013. Система менеджмента информационной безопасности (СМИБ), представленная в данном стандарте, представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения деловых целей, основанную на оценке риска и на принятии уровней риска организации, разработанную для эффективного рассмотрения и управления рисками. Организации, использующие СМИБ, могут проводить ее аудиторскую проверку и сертификацию соответствия установленным требованиям государственных органов и компаний, желающих вступить в информационное взаимодействие с оцениваемой организацией.
Задачи курсовой работы:
1. Изучить теоретические основы анализа и синтеза систем защиты информации (СЗИ) корпоративных информационных систем и сетей.
2. На этапе проектирования СЗИ уметь определять приемлемый для компании уровень риска, обеспечивающий ей выполнение своих задач.
3. Для оценки рисков информационной системы организации уметь определять защищенность каждого ценного ресурса при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы.
4. Оценить вероятность реализации актуальных для ценного ресурса угроз и степень влияния реализации угрозы на ресурсы.
5. Уметь анализировать информационные риски ресурсов организации.
6. Уметь на заключительном этапе проводить анализ эффективности предложенных мероприятия по устранению выявленных уязвимостей.
7. При выполнении задания курсовой работы необходимо получить следующие данные:
• риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для ресурса;
• риск реализации суммарно по всем угрозам для ресурса;
• риск реализации по трем базовым угрозам (или по одной суммарной угрозе) для информационной системы;
• риск реализации по всем угрозам для информационной системы;
• риск реализации по всем угрозам для информационной системы после задания контрмер;
• эффективность контрмер;
• эффективность комплекса контрмер.
1. Составление перечня информации, требующей защиты
Объектом защиты являются автоматизированные системы (как собственной, так и сторонней разработки), входящие в состав информационной системы предприятия.
Информационная система предприятия представляет собой совокупность территориально разнесенных объектов, информационный обмен между которыми осуществляется посредством использования открытых каналов связи, предоставленных сторонними операторами электросвязи. Передача информации осуществляется в кодированном виде на основе протокола кодирования, проверки целостности и конфиденциальности информационных потоков HASH64. Кодирование входящих и исходящих информационных потоков осуществляется на магистральных маршрутизаторах.
ИС предназначена для обеспечения работоспособности информационной инфраструктуры предприятия, предоставления сотрудникам структурных подразделений различных видов информационных сервисов, автоматизации финансовой и производственной деятельности, а также бизнес-процессов предприятия.
Корпоративная сеть предприятия предназначена для обеспечения автоматизации бизнес-процессов организационной структуры предприятия. Решение функциональных задач реализуется на базе информационной инфраструктуры корпоративной сети с использованием специализированных программных приложений и общедоступных информационных сервисов.
К специализированным приложениям относится система бухгалтерского учета, геоинформационная система, а также система электронного документооборота на базе сервисного программного обеспечения Lotus Notes Server.
К общедоступным сетевым сервисам относятся средства обработки информационных потоков на сетевом и операционном уровне, такие как:
- Система обмена электронной почтой на основе специализированных протоколов Lotus внутри предприятия и протокола SMTP для внешнего информационного обмена.
- Файловый сервис на основе протоколов Netware.
Пользователем ИС является любой сотрудник предприятия, зарегистрированный в сети, в соответствии с установленным порядком, и прошедший идентификацию в службе каталогов, которому предоставляется доступ к информационным ресурсам корпоративной сети и приложениям, в соответствии с его должностными обязанностями.
Доступ к специализированным автоматизированным системам утверждается руководством департамента ИТ в соответствии должностными инструкциями, утвержденными руководством предприятия.
Особую категорию пользователей корпоративной сети составляет руководство предприятия. АРМ данной категории пользователей подключены к ИС и нуждаются в использовании дополнительных (усиленных) мер защиты информации, с целью предотвращения кражи информации, составляющей коммерческую тайну предприятия.
Административно-техническая поддержка ИС предприятия осуществляется департаментом информационных технологий, в состав которого входят:
- Отдел развития и эксплуатации информационных систем.
- Отдел информационной безопасности.
- Отдел технической поддержки.
- Информационно-аналитический отдел.
- Сотрудники отделов информационных технологий филиалов предприятия.
ИС объекта защиты включает в себя корпоративную сеть предприятия в составе:
- Серверы.
- Рабочие станции.
- Линии связи и активное сетевое оборудование.
- Магистральные средства передачи данных.
- Корпоративную телефонную систему.
В качестве базового сетевого протокола в корпоративной сети используется протокол TCP/IP.
В качестве адресного пространства используется сеть класса А – 10.0.0.0/8, определенная документом IETF RFC 1597 для частных IP-сетей. В корпоративной сети предприятия выделяются следующие типы адресных пространств:
- адресные пространства, выделенные филиальным фрагментам;
- адресные пространства, выделенные аппарату управления предприятием;
- адресное пространство для адресации магистрального сегмента корпоративной сети;
- резервное адресное пространство.
Используемая схема распределения адресного пространства маркируется следующим образом 10.x.y.z, где: x – номер филиала; y – номер виртуальной сети (VLAN) внутри филиала; z – номер устройства внутри виртуальной сети.
Серверная группа корпоративной сети работает под управлением ОС Microsoft Windows. Функционально она подразделяется на серверы поддержки специализированных приложений, серверы поддержки общедоступных сервисов и серверы, поддерживающие технологические службы корпоративной сети.
К информационной системе предприятия подключены автоматизированные рабочие места пользователей, функционирующих на базе ОС Microsoft Windows.
Основу ИС составляет стек коммутаторов Cisco Catalyst, производства компании Cisco Systems Inc.
Выделенные магистральные каналы обмена данными используются для обеспечения внешнего информационного взаимодействия ИС с филиалами предприятия, районными эксплуатационными службами, а также для доступа к глобальной информационной сети Интернет.
В ИС предприятия хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации.
К конфиденциальной и служебной информации, циркулирующей в КСПД, относятся:
- персональные данные сотрудников предприятия и партнеров, хранимые в БД и передаваемые по сети;
- сообщения электронной почты и информация БД, содержащие служебные сведения, информацию о деятельности предприятия и т.п.;
- конструкторская и технологическая документация, перспективные планы развития, модернизации производства, реализации продукции и другие сведения, составляющие научно-техническую и технологическую информацию, связанную с деятельностью предприятия;
- финансовая документация, бухгалтерская отчетность, аналитические материалы исследований о конкурентах и эффективности работы на финансовых рынках;
- другие сведения, составляющие деловую информацию о внутренней деятельности предприятия.
К строго конфиденциальной информации, которая потенциально может циркулировать в ИС, относятся сведения стратегического характера, разглашение которых может привести к срыву выполнения функций предприятия, прямо влияющих на его жизнедеятельность и развитие, нанести невосполнимый ущерб деятельности и престижу предприятия, сорвать решение стратегических задач, проводимой ей политики и, в конечном счете, привести к ее краху.
К категории открытой относится вся прочая информация, не относящаяся к конфиденциальной.
- Структура информационных потоков
- Внутренние информационные потоки
Внутри ИС выделяются следующие информационные потоки:
- Передача файлов между файловыми серверами и пользовательскими рабочими станциями по протоколу SMB (протокол открытого обмена информацией между АРМ пользователей и серверами на основе стека TCP/IP).
- Передача сообщений электронной почты, посредством использования хешированного соединения программного обеспечения Lotus Notes.
- Передача юридической и справочной информации между серверами БД и пользовательскими рабочими станциями.
- Деловая переписка.
- Передача отчетной информации.
- Передача бухгалтерской информации между пользовательскими рабочими станциями и сервером БД в рамках автоматизированных систем «1С Бухгалтерия», «1С Зарплата и Кадры», «Оперативный учет».
В качестве внешних информационных потоков используются:
- Передача отчетных документов (производственные данные) от филиалов предприятия, по каналам корпоративной сети, а также с использованием магнитных носителей.
- Передача платежных документов в Банки.
- Передача финансовых и статистических отчетных документов от филиалов предприятия;
- Внутриведомственный и межведомственный обмен электронной почтой.
- Передача информации по коммутируемым каналам удаленным пользователям.
- Различные виды информационных обменов между ИС и сетью Интернет.
В ИС предприятия используются следующие каналы взаимодействия с внешними сетями:
- Выделенный магистральный канал взаимодействия с корпоративной сетью, посредством использования технологии VPN.
- Резервная линия связи с сетью Интернет.
- Коммутируемый канал связи, посредством использования технологии GPRS.
- Защита подключений к внешним сетям осуществляется при помощи МЭ и встроенных средств защиты магистрального роутера.
Доступ к информационным ресурсам сети Интернет открыт для всех пользователей ИС, посредством использования кеширующего прокси сервера на основе программного обеспечения Squid.
В состав СОИБ должны входить следующие подсистемы:
подсистема управления политикой информационной безопасности;
подсистема анализа и управления рисками;
подсистема идентификации и аутентификации;
подсистема разграничения доступа;
подсистема протоколирования и пассивного аудита;
подсистема активного аудита;
подсистема контроля целостности данных;
подсистема контроля защищенности;
подсистема удостоверяющий центр;
подсистема сегментирования ЛВС и межсетевого экранирования;
подсистема VPN;
подсистема антивирусной защиты;
подсистема фильтрации контента;
подсистема управления безопасностью;
подсистема предотвращения утечки информации по техническим каналам.
1.1. Требования к подсистеме управления политикой безопасности
Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по обеспечению ИБ, ознакомление всех пользователей и технического персонала ИС с содержанием этих документов, контроля осведомленности и контроля выполнения требований политики безопасности и других регламентирующих документов. Всем сотрудникам предприятия предоставляется персонифицированный доступ к внутреннему информационному Web-серверу, на котором публикуются действующие нормативные документы, списки контрольных (проверочных) вопросов, предназначенных для контроля осведомленности, а также Web-формы для составления сообщений и отчетов об инцидентах, связанных с нарушением правил политики безопасности.
Подсистема управления политикой безопасности должна:
поддерживать, актуализировать и контролировать исполнение корпоративной политики безопасности;
обеспечивать определение единого набора правил обеспечения безопасности;
позволять создавать новые и модифицировать уже созданные политики, правила и инструкции для обеспечения информационной безопасности;
учитывать отраслевую специфику;
обеспечивать централизованный персонифицированный доступ сотрудников к текстам корпоративных политик на основе Web-доступа;
информировать пользователей о создании и утверждении новых политик;
фиксировать факт ознакомления пользователя с политиками;
проверять усвоенные знания политик;
контролировать нарушение политик пользователями;
контролировать выполнение единого набора правил защиты информации;
информировать административный персонал о фактах нарушения политик безопасности пользователями;
иметь средства создания отчетов.
1.2. Требования к подсистеме анализа и управления рисками
Подсистема анализа и управления рисками представляет собой комплекс инструментальных средств, установленных на рабочем месте специалиста по анализу рисков и предназначенных для сбора и анализа информации о состоянии защищенности ИС, оценки рисков, связанных с реализацией угроз ИБ, выбора комплекса контрмер (механизмов безопасности), адекватных существующим рисками и контроля их внедрения.
Подсистема анализа и управления рисками должна обеспечивать:
автоматизацию идентификации рисков;
возможность создания шкал и критериев, по которым можно измерять риски;
оценку вероятностей событий;
оценку угроз;
анализ допустимого уровня риска;
выбор контрмер и оценку их эффективности;
позволять контролировать необходимый уровень обеспечения информационной и физической безопасности (информационные риски, сбои в системах, служба охраны, охранно-пожарная сигнализация и пожаротушение, охрана периметра и т.п.).
1.3. Требования к подсистеме идентификации и аутентификации
Подсистема идентификации и аутентификации представляет собой комплекс программно-технических средств, обеспечивающих идентификацию пользователей ИС и подтверждение подлинности пользователей при получении доступа к информационным ресурсам. Подсистема идентификации и аутентификации включает в себя компоненты, встроенные в операционные системы, межсетевые экраны, СУБД и приложения, которые обеспечивают управление идентификационными данными пользователей, паролями и ключевой информацией, а также реализуют различные схемы подтверждения подлинности при входе пользователя в систему и получении доступа к системным ресурсам и приложениям. Встроенные средства идентификации и аутентификации дополняются наложенными средствами, обеспечивающими синхронизацию учетных данных пользователей в различных хранилищах (например, Active Directory, Lotus, Microsoft SQL, Novell Directory, LDAP, прикладные системы и т.п.) и предоставление единой точки доступа и администрирования для всех пользователей ИС.
Подсистема идентификации и аутентификации должна обеспечивать:
Поддержание идентичности и синхронизацию учетных данных в разных хранилищах (Active Directory, Lotus, Microsoft SQL, Novell Directory, LDAP, автоматизированные системы);
Комбинирование идентификационной информации из множества каталогов;
Обеспечение единого представления всей идентификационной информации для пользователей и ресурсов;
Предоставление единой точки доступа и администрирования;
Безопасный вход в домен ОС Windows (Windows-десктоп и сеть) при помощи электронного идентификатора (USB-ключа или смарт-карты);
Усиленную аппаратную двухфакторную аутентификацию пользователей (электронный идентификатор и пин-код);
Вход в сеть предприятия с любой рабочей станции, посредством хранения электронного сертификата в защищенной области памяти электронного идентификатора;
Хранение паролей к различным ресурсам (в том числе Web) и электронных сертификатов в защищенной области памяти электронного идентификатора
Централизованное управление данными об используемых электронных идентификаторах (USB-ключа или смарт-карты);
Блокирование компьютера или автоматическое отключение от сети в перерывах между работой и отсоединением электронного идентификатора.
Механизмы идентификации и аутентификации должны быть реализованы на всех рубежах защиты информации в следующих объемах:
На рубеже защиты внешнего периметра КСПД предприятия – идентификация и аутентификация внешних пользователей сети для доступа к информационным ресурсам ЛВС на МЭ и сервере удаленного доступа;
На рубеже сетевой инфраструктуры должна осуществляться идентификация и аутентификация пользовательских рабочих станций по именам и сетевым адресам при осуществлении доступа к сетевым сервисам ЛВС;
На рубеже защиты серверов и рабочих станций должна осуществляться идентификация и аутентификация пользователей при осуществлении локальной или удаленной регистрации в системе;
На рубеже прикладного ПО должна осуществляться идентификация и аутентификация пользователей указанного ПО для получения доступа к информационным ресурсам при помощи данного ПО.
Аутентификация внутренних и внешних пользователей системы осуществляется на основе следующей информации:
На рубеже защиты внешнего периметра для аутентификации пользователей на МЭ и сервере удаленного доступа используются схемы, устойчивые к прослушиванию сети потенциальными злоумышленниками, построенные на основе одноразовых сеансовых ключей и/или аппаратных носителей аутентификационной информации;
На рубеже защиты сетевых сервисов ЛВС используются параметры клиентов сетевого уровня (IP-адреса, имена хостов) в сочетании с параметрами канального уровня (MAC-адреса) и парольными схемами аутентификации;
На рубежах защиты серверов, рабочих станций и приложений используются парольные схемы аутентификации с использованием аппаратных носителей аутентификационной информации.
1.4. Требования к подсистеме разграничения доступа
Подсистема разграничения доступа (авторизации) использует информацию, предоставляемую сервисом аутентификации. Авторизация пользователей для доступа к информационным ресурсам ИС осуществляется на следующих уровнях программно-технической защиты:
На уровне защиты внешнего периметра ЛВС предприятия (при их подключении к внешним сетям и сети Интернет) МЭ осуществляет разграничение доступа внешних пользователей к сервисам ЛВС и внутренних пользователей к ресурсам сети Интернет и внешних сетей в соответствии с правилами «Политики обеспечения информационной безопасности при взаимодействии с сетью Интернет».
На уровне защиты сетевых сервисов ЛВС используются внутренние механизмы авторизации пользователей, встроенные в сетевые сервисы, либо специализированные серверы авторизации.
На уровне защиты серверов и рабочих станций ЛВС используются механизмы авторизации, встроенные в ОС, в сочетании с наложенными средствами разграничения доступа.
На уровне защиты приложений, функциональных подсистем ИС и системных ресурсов используются механизмы авторизации, встроенные в эти приложения, а также средства разграничения доступа ОС и СУБД.
Средства разграничения доступа должны исключать возможность доступа к ресурсам системы неавторизованных пользователей.
1.5. Требования к подсистеме протоколирования и пассивного аудита
Подсистема протоколирования и пассивного аудита предназначена для осуществления контроля за наиболее критичными компонентами сети, включающими в себя серверы приложений, баз данных и прочие сетевые серверы, межсетевые экраны, рабочие станции управления сетью и т.п. Компоненты этой подсистемы располагаются на всех перечисленных выше рубежах защиты (разграничения доступа) и осуществляют протоколирование, централизованный сбор и анализ событий, связанных с безопасностью (включая предоставление доступа, попытки аутентификации, изменение системных политик и пользовательских привилегий, системные сбои и т.п.). Они включают в себя как встроенные средства, имеющиеся в составе ОС, СУБД, приложений и т.п. и предназначенные для регистрации событий безопасности, так и наложенные средства (программные агенты) служащие для агрегирования и анализа данных аудита, полученных из различных источников. Все данные аудита поступают на выделенный сервер аудита, где осуществляется их хранение и обработка. Просмотр и анализ этих данных осуществляется с консоли администратора аудита.
Подсистема пассивного аудита безопасности выполняет следующие основные функции:
Отслеживание событий, влияющих на безопасность системы;
Регистрация событий, связанных с безопасностью в журнале аудита;
Выявление нарушений безопасности, путем анализа данных журналов аудита администратором безопасности в фоновом режиме.
Средства протоколирования и аудита должны применяться на всех рубежах защиты в следующем объеме:
На рубеже защиты внешнего периметра должны протоколироваться следующие события:
Информация о состоянии внешнего маршрутизатора, МЭ, сервера удаленного доступа, модемов;
Действия внешних пользователей по работе с внутренними информационными ресурсами;
Действия внутренних пользователей по работе с внешними информационными ресурсами;
Попытки нарушения правил разграничения доступа на МЭ и на сервере удаленного доступа;
Действия администраторов МЭ и сервера удаленного доступа.
На рубеже сетевой инфраструктуры должно осуществляться протоколирование информации о состоянии структурированной кабельной системы (СКС) и активного сетевого оборудования, а также структуры информационного обмена на сетевом и транспортном уровнях;
На рубеже защиты серверов и рабочих станций средствами подсистем аудита безопасности ОС должно обеспечиваться протоколирование всех системных событий, связанных с безопасностью, включая удачные и неудачные попытки регистрации пользователей в системе, доступ к системным ресурсам, изменение политики аудита и т. п.;
На уровне приложений должна обеспечиваться регистрация событий, связанных с их функционированием, средствами этих приложений.
Эффективность функционирования системы пассивного аудита безопасности определяется следующими основными свойствами этой системы:
наличие средств аудита, обеспечивающих возможность выборочного контроля любых происходящих в системе событий, связанных с безопасностью;
наличие средств централизованного управления журналами аудита, политикой аудита и централизованного анализа данных аудита по всем контролируемым системам;
непрерывность контроля над критичными компонентами ЛВС во времени.
1.6. Требования к подсистеме активного аудита безопасности
Подсистема активного аудита безопасности предназначена для автоматического выявления нарушений безопасности критичных компонентов ИС и реагирования на них в режиме реального времени. К числу критичных компонентов ИС, с наибольшей вероятностью подверженных атакам со стороны злоумышленников, относится внешний защищенный шлюз в сеть Интернет, сервер удаленного доступа, серверная группа и рабочие станции управления сетью. Данная подсистема тесно интегрирована с подсистемой протоколирования и пассивного аудита, т.к. она частично использует данные аудита, полученные из этой подсистемы, для выявления атак и активизации алгоритмов автоматического реагирования.
Подсистема активного аудита строится на традиционной для подобных систем архитектуре агент-менеджер-управляющая консоль. Для сбора информации и реагирования на инциденты используются программные агенты, программа-менеджер размещается на сервере аудита и отвечает за агрегирование, хранение и обработку данных аудита, управление агентами и автоматическую активизацию алгоритмов реагирования. Управление всей подсистемой осуществляется с консоли администратора аудита.
Анализатор сетевого трафика должен обнаруживать известные типы сетевых атак, включая атаки, направленные против следующих приложений:
СУБД, Web, FTP, TELNET и почтовые серверы;
Серверы NIS, DNS, WINS, NFS и SMB;
Почтовые агенты и Web-браузеры;
Выявление сетевых и локальных атак и других нарушений безопасности, а также реагирование на них должны осуществляться в реальном времени.
1.7. Требования к подсистеме контроля целостности
Подсистема контроля целостности программных и информационных ресурсов ИС предназначена для контроля и оперативного восстановления целостности критичных файлов ОС и приложений на серверах и рабочих станциях сети, включая конфигурационные файлы, файлы данных, программы и библиотеки функций. Контроль целостности информационных ресурсов осуществляет путем регулярного подсчета контрольных сумм файлов и их сравнения с эталонной базой данных контрольных сумм. В случае несанкционированной модификации контролируемых файлов они могут быть восстановлены с использованием средств резервного копирования и восстановления данных. Подсистема контроля целостности может входить в состав подсистемы активного аудита в качестве одного из ее функциональных компонентов.
Система контроля целостности программной и информационной части ЛВС должна обеспечивать контроль неизменности атрибутов критичных файлов и их содержимого, своевременное выявление нарушений целостности критичных файлов и их оперативное восстановление. В составе системы контроля целостности должны быть предусмотрены средства централизованного удаленного администрирования, средства просмотра отчетов по результатам проверки целостности и средства автоматического оповещения администратора безопасности о выявленных нарушениях.
Подсистема контроля защищенности предназначена для выявления и ликвидации уязвимостей отдельных подсистем СОИБ, сетевых сервисов, приложений, функциональных подсистем, системного ПО и СУБД, входящих в состав ИС. Она включает в себя средства сетевого уровня (сетевые сканеры безопасности), устанавливаемые на рабочей станции администратора безопасности и предназначенные для выявления уязвимостей сетевых ресурсов путем эмуляции действий возможного злоумышленника по осуществлению удаленных атак, а также средства системного уровня, построенные на архитектуре «агент-менеджер-консоль» и предназначенные для анализа параметров конфигурации операционных систем и приложений, выявления уязвимостей, коррекции конфигурационных параметров и контроля изменения состояния операционных систем и приложений.
Сетевой сканер должен осуществлять сканирование всего диапазона TCP и UDP портов, выявлять все доступные сетевые ресурсы и сервисы, обнаруживать уязвимости различных ОС, СУБД, сетевых сервисов и приложений.
Средства анализа защищенности системного и прикладного уровней предназначены для решения следующих основных задач:
анализ параметров конфигурации операционных систем и приложений по шаблонам с целью выявления уязвимостей, связанных с их некорректной настройкой, определения уровня защищенности контролируемых систем и соответствия политике безопасности организации;
коррекция конфигурационных параметров операционных систем и приложений;
контроль изменения состояния операционных систем и приложений, осуществляемый на основе мгновенных снимков их параметров и атрибутов файлов.
Средства контроля защищенности системного уровня должны выполнять проверки привилегий пользователей, политик управления паролями и регистрационных записей пользователей, параметров подсистемы резервного копирования, командных файлов, параметров системы электронной почты, настройки системных утилит и т.п.
Средства контроля защищенности системного уровня должна поддерживать распределенные конфигурации и быть интегрированы с сетевыми сканерами и со средствами сетевого управления.
Подсистема удостоверяющий центр предназначена для создания, распределения и управления цифровыми сертификатами пользователей ИС, ключами шифрования и ЭЦП. Она строится на инфраструктуре открытых ключей (PKI) и предоставляет базовые сервисы по управлению ключевой информацией для подсистемы аутентификации пользователей, средств VPN и подсистемы контроля целостности. На базе удостоверяющего центра стоятся системы электронного документооборота предприятия, включающие в себя защищенную электронную почту, внутренний информационный портал, офисные приложения и средства обмена документами в рамках подсистем судебного и общего делопроизводства.
Подсистема удостоверяющий центр должна поддерживать реализацию следующих функций:
электронно-цифровую подпись, контроль целостности информации и кодирование данных в рамках электронного документооборота (корпоративная система электронной почты, внутренний информационный портал, офисные приложения) на базе электронных сертификатов X.509;
кодирование данных и контроль целостности информации при передаче ее с помощью носителей информации и по открытым каналам в рамках * взаимодействия компонентов и пользователей информационной системы на базе электронных сертификатов X.509;
кодирование данных и контроль целостности информации при удаленном доступе мобильных сотрудников на базе электронных сертификатов X.509;
аутентификация пользователей и активного сетевого оборудования в рамках информационного взаимодействия на базе электронных сертификатов X.509
управление сервисом распределения электронных сертификатов;
безопасную транспортировку электронных сертификатов конечным пользователям;
поддержку жизненного цикла электронных сертификатов (генерация, распределение, отзыв, подтверждение);
поддержку хранения электронных сертификатов и паролей на внешних носителях (USB-токены, смарт-карты);
поддержка стандартов PKCS#11, PKCS#7.
Подсистема сегментирования и межсетевого экранирования предназначена для разграничения межсетевого доступа на уровне сетевых протоколов и защиты ЛВС предприятия от сетевых атак со стороны сети Интернет и внешних сетей. В рамках системы должна быть сформирована и определена архитектура подключения к сетям общего пользования и создания демилитаризованной зоны (DMZ), которая может включать межсетевой экран, VPN-сервер, Web-сервер, транслятор (relay) электронной почты, вторичный кэширующий DNS-сервер, LDAP-сервер и подсистему защищенного удаленного доступа.
На рубеже сетевой инфраструктуры должны применяться средства сегментирования ЛВС. Средства сегментирования ЛВС должны строиться на технологии виртуальных ЛВС (VLAN) в соответствии с организационной структурой объединения и логикой работы подразделений предприятия с информационными ресурсами.
Серверы ЛВС должны быть расположены в выделенном сегменте (сегментах). Должно быть обеспечено отсутствие рабочих мест пользователей в указанных сегментах ЛВС.
На рубеже внешнего информационного обмена должны применяться средства межсетевого экранирования. Межсетевой экран должен обеспечивать фильтрацию сетевого трафика на сетевом, транспортном и прикладном уровнях.
Требования к подсистеме VPN Подсистема VPN применяется на рубеже внешнего информационного обмена для защиты конфиденциальной информации, передаваемой между ЛВС различных удаленных офисов предприятия, которые не связаны между собой выделенными каналами, а также для подключения к ЛВС мобильных пользователей. Средства VPN реализуются на основе протокола IPSec и интегрируются со средствами межсетевого экранирования.
Средства VPN должны соответствовать спецификациям стандарта IPSec.
Средства VPN должны обеспечивать передачу данных как в зашифрованном, так и в открытом виде в зависимости от источника и получателя информации.
Средства VPN должны быть интегрированы с МЭ.
Подсистема антивирусной защиты сети предназначена для решения следующих задач:
Перекрытие всех возможных каналов распространения вирусов, к числу которых относятся: электронная почта, разрешенные для взаимодействия с сетью Интернет сетевые протоколы (HTTP и FTP), съемные носители информации (дискеты, CD-ROM и т.п.), разделяемые папки на файловых серверах;
Непрерывный антивирусный мониторинг и периодическое антивирусное сканирование всех серверов и рабочих станций, подключаемых к ЛВС;
Автоматическое реагирование на заражение компьютерными вирусами и на вирусные эпидемии, включающее в себя: оповещения, лечение вирусов, удаление троянских программ и очистку системы, подвергнувшейся заражению;
Она строится из следующих компонентов:
Средства управления, включающие в себя управляющую консоль, серверные компоненты системы антивирусной защиты, средства протоколирования и генерации отчетов;
Средства антивирусной защиты серверов ЛВС;
Средства антивирусной защиты рабочих станций;
Средства антивирусной защиты почтовой системы (внутренних почтовых серверов и SMTP-шлюзов на внешнем периметре сети);
Антивирусный шлюз, осуществляющий антивирусный контроль HTTP и FTP трафика.
Подсистема фильтрации контента предотвращает утечку ценной конфиденциальной информации из ИС по протоколам HTTP, FTP и SMTP, осуществляет фильтрацию спама и прочей нежелательной корреспонденции. Она реализуется на рубеже защиты внешнего периметра сети и интегрируется со средствами межсетевого экранирования.
Подсистема фильтрации контента должна:
Предотвращать утечку ценной конфиденциальной информации из ЛВС по протоколам HTTP, FTP и SMTP путем ее блокирования и задержания до утверждения отправки руководством;
Обеспечивать увеличение производительности труда сотрудников путем уменьшения рекламы, рассылок и прочих, не имеющих отношения к делу, сообщений. Обнаружение спама, рассылаемого и получаемого сотрудниками предприятия;
Обеспечивать помощь в выявлении неблагонадежных сотрудников, рассылающих свои резюме и посещающих Web-сервера в поисках работы;
Обеспечивать контроль электронной почты, работающей через WEB-интерфейсы;
Обеспечивать контроль над всей выходящей корреспонденцией путем отсеивания сообщений, содержащих непристойное содержание для защиты репутации предприятия и сотрудников путем предотвращения случайного или намеренного распространения писем непристойного содержания с адреса предприятия;
Обеспечивать русскоязычный поиск и фильтрацию почтовых сообщений;
Обеспечивать контроль использования корпоративного выхода в Internet в личных целях;
Разграничивать доступ сотрудников предприятия к ресурсам Internet и обеспечивать блокирование обращений к нежелательным сайтам.
В случае необходимости, осуществлять полное или частичное архивирование данных протоколов HTTP, FTP, SMTP.
Подсистема управления безопасностью предназначена для осуществления централизованного управления всеми компонентами и подсистемами СОИБ. Управление всеми компонентами СОИБ осуществляется с консоли администратора безопасности, на которой устанавливаются соответствующие средства администрирования и мониторинга.
Средства управления безопасностью должны обеспечивать реализацию следующих функций:
управлять пользователями и ролями в кросс-платформенном окружении;
проверять, отслеживать, уведомлять в реальном времени и записывать изменения в групповых политиках безопасности;
устанавливать факт кем и когда были сделаны изменения параметров безопасности;
иметь средства, расширяющие встроенные возможности администрирования и управления безопасностью операционной системы;
иметь средства, управления парольной политикой – синхронизация, отслеживание истории изменений, распределение политики в кросс-платформенном окружении.
Доступ к элементам управления должен предоставляться только после обязательной процедуры аутентификации. Для аутентификации администраторов безопасности должны использоваться схемы, устойчивые к прослушиванию сети потенциальным злоумышленником.
С целью обеспечения реализации принципа минимизации административных полномочий, минимизации количества ошибочных и неправомерных действий со стороны администраторов ЛВС, должен быть определен, документирован, согласован и утвержден состав административных групп. При определении состава административных групп следует опираться на стандартный набор административных групп, имеющийся в ОС Windows 2003, а также в Windows XP.
Определение состава административных групп и выделенных им полномочий, а также порядка осуществления контроля над составом административных групп и действиями администраторов ЛВС должно содержаться в «Регламенте администрирования корпоративной сети». Каждой административной группе предоставляются только те полномочия, которые необходимы для выполнения задач администрирования определенных в Регламенте.
С целью упрощения задач управления доступом пользователей к ресурсам ЛВС назначение прав доступа осуществляется на уроне групп безопасности. Каждая пользовательская учетная запись входит в состав одной или нескольких групп в зависимости от принадлежности пользователя к тому или иному подразделению и его должностными обязанностями.
Требования к подсистеме предотвращения утечки информации по техническим каналам
Подсистема предотвращения утечки информации по техническим каналам предназначена для обеспечения защиты информации при ее обработке, хранении и передаче по каналам связи, а также конфиденциальной речевой информации, циркулирующей в специально предназначенных помещениях для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). Она представляет собой совокупность организационно-технических мер по физической защите помещений, каналов передачи информации и технических средств, электромагнитной развязке между информационными цепями, по которым циркулирует защищаемая информация, развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров и другие меры защиты, предпринимаемые в соответствии с требованиями и рекомендациями нормативных документов.
При проведении работ по защите конфиденциальной речевой информации, циркулирующей в защищаемых помещениях, необходимо руководствоваться соответствующими требованиями СТР-К, направленными на исключение возможности перехвата конфиденциальной речевой информации в системах звукоусиления и звукового сопровождения кино- и видеофильмов, при осуществлении ее магнитной звукозаписи и передачи по каналам связи.
Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы контролируемой зоны, и радиоканалам должна быть исключена. При необходимости передачи информации следует использовать защищенные линии связи. Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
При защите конфиденциальной цифровой информации от утечки по техническим каналам необходимо руководствоваться следующими требованиями СТР-К:
использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
использование сертифицированных средств защиты информации;
размещение объектов защиты на максимально возможном расстоянии от границы контролируемой зоны;
размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;
использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);
развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал;
электромагнитная развязка между информационными цепями, по которым циркулирует защищаемая информация, и линиями связи, другими цепями вспомогательных технических средств и систем, выходящими за пределы контролируемой зоны;
использование защищенных каналов связи;
размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации.
2. Идентификация угроз и уязвимостей
Идентификация угроз и уязвимостей, которые могут нанести коммерческий ущерб АО (Таблица 1, Таблица 2)
Таблица 1.
|
№ |
Угроза |
Уязвимости |
Тип |
Нарушитель |
|
1 |
Повреждение оборудования |
Отсутствие ремонта источников бесперебойного питания |
Д, Ц |
Несвоевременное обновление лицензионного программного обеспечения администраторами ИТ-подразделений привела к сбою в работе сетевого хранилища |
|
Неправильный монтаж наружных блоков систем кондиционирования |
||||
|
Неправильная эксплуатация устройств резервного копирования данных |
||||
|
2 |
Несанкционированное воздействие на ИС и ее данные |
Хранение данных ИС без использования шифрования |
Ц |
Преднамеренное воздействие сотрудниками организаций-конкурентов путем порчи оборудования, срыва сетевых проводов и механического воздействия |
|
Отсутствие наблюдения за состоянием ИС |
||||
|
Нет защиты от электромагнитного воздействия |
||||
|
3 |
Открытый доступ к информации |
Не ограничен физический доступ к данным |
К, Д |
Мошенники путем несанкционированного проникновения на территорию предприятия имели возможность украсть данные |
|
Отсутствие защиты от проникновения в информационную среду компьютера |
||||
|
Не контролируемый доступ к конфиденциальной информации |
||||
|
4 |
Доступ к системам безопасности ИС |
Отсутствие системы обнаружения и предотвращения вторжений |
К |
Спецслужбы других государств в отсутствии методов обхода взламывают антивирусное ПО и проникают в информационное пространство к информации |
|
Отсутствие защиты от методов обхода |
||||
|
Отсутствие высокой производительности |
Таблица 2
|
№ |
Угроза |
Уязвимости |
Тип |
Нарушитель |
Методы устранения уязвимостей |
|
1 |
Повреждение оборудования |
Отсутствие ремонта источников бесперебойного питания |
Доступность |
Отсутствие квалификации у сотрудников, работающих с оборудованием, не соблюдение инструкций по работе с сетевым и производственным оборудованием |
Разработка и использование должностных регламентов и инструкций эксплуатации сетевого оборудования |
|
Неправильный монтаж наружных блоков систем кондиционирования |
Неправильная установка наружных блоков кондиционера из-за отсутствия должного опыта у организации-установщика |
Разработка инструкций по установке и обслуживанию оборудования систем кондиционирования на предприятии |
|||
|
Неправильная эксплуатация устройств резервного копирования данных |
Ошибочные действия администраторов ИТ-подразделений и несвоевременное обновление лицензионного программного обеспечения и отсутствие новых драйверов |
Разработка и внутренних приказов предприятия по работе с системами копирования и эксплуатации сетевого оборудования; |
|||
|
2 |
Модификация данных в ИС |
Режим хранения данных ИС без использования шифрования |
Целостность |
Сотрудники организаций-конкурентов использовали программы шифровальщики для перехвата данных ИС |
Использование Межсетевых экранов (МЭ), криптографических средств защиты информации (КСЗИ); Ограничение доступа к обслуживаемым помещениям и запрет использования сменных запоминающих и записывающих устройств |
|
Преднамеренное воздействие из вне |
Преднамеренное воздействие сотрудниками организаций-конкурентов путем порчи оборудования, срыва сетевых проводов и механического воздействия |
Обеспечение физической защищенности оборудования; Ограничение доступа к обслуживаемым помещениям и запрет использования сменных запоминающих и записывающих устройств |
|||
|
Нет защиты от электромагнитного воздействия |
Сотрудники организаций-конкурентов использовали электромагнитные излучатели для вывода из строя оборудования организации |
Использование электромагнитных накопителей и отражателей; Ограничение доступа к обслуживаемым помещениям |
|||
|
3 |
Открытый доступ к информации |
Не ограничен физический доступ к данным |
Конфиденциальность |
Мошенники путем несанкционированного проникновения на территорию предприятия имели возможность украсть данные |
Соблюдение пропускного режима на предприятии, установка систем видеонаблюдения и сопровождения посетителей |
|
Отсутствие защиты от проникновения в информационную среду копьютера |
Сотрудники организаций-конкурентов взломали программами-шифровальщиками через интернет и получили доступ к информации предприятия без соответствующей защиты от интернет угроз |
Ограничение доступа к серверному оборудованию; запрет на использование носителей информации |
|||
|
Не контролируемый доступ к конфиденциальной информации |
спецслужбы других государств используют средства копирования конфиденциальной информации, используя социальные сети и незащищенные данные сотрудников предприятия, имеющих доступ к системам хранения конфиденциальных данных предприятия |
Использование Системы предотвращения утечки информации ограниченного доступа, электронной подписи; Ограничение доступа к серверному оборудованию; запрет на использование носителей информации |
|||
|
4 |
Доступ к системам безопасности ИС |
Отсутствие системы обнаружения и предотвращения вторжений |
Конфиденциальность |
Сотрудники организаций-конкурентов используют новейшие средства вторжения в информационное пространство: троянские программы; шифровальные перехватчики и дестабилизирующие приложения |
Ограничение доступа к серверному оборудованию; запрет на использование носителей информации; Идентификация и аутентификация субъектов доступа и объектов доступа; Защита информационной системы, ее средств, систем связи и передачи данных; Централизованное обеспечение технической поддержки и управление ПК |
|
Отсутствие защиты от методов обхода |
Спецслужбы других государств в отсутствии методов обхода взламывают антивирусное ПО и проникают в информационное пространство к информации |
Ограничение количества программно-аппаратных конфигураций и упрощение процессов администрирования ИС; Ограничение доступа к серверному оборудованию; запрет на использование носителей информации; |
|||
|
Отсутствие интеграции высокопроизводительных устройств защиты от записи |
Организации-конкуренты используют более мощное программное обеспечение для выявления слабых мест в защите информации и взламывают систему безопасности |
Разделение адресного пространства на служебный блок (сети, связывающие маршрутизаторы, виртуальные интерфейсы и т.п.) и блок адресов локальной сети. Данный подход позволяет эффективно строить правила доступа к сетевым устройствам; аутентификация административного доступа, т.е. должна быть идентификация, авторизация и централизованный учет |
3. ОЦЕНКА РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Оценка рисков производится согласно стандарту ISO/IEC 27005 на рисунке 1 показан процесс менеджмента риска, состоящий из установления контекста, оценки риска, обработки риска, принятия риска, коммуникаций риска, а также мониторинга и переоценки риска информационной безопасности (рисунок 1).
Рисунок 1.
Необходимо обособить цель менеджмента риска ИБ. Основными целями являются:
Поддержание СМИД (Система менеджмента ИБ)
Исполнение законодательных норм
Осуществление плана обеспечения непрерывности работы предприятия с учётом плана реагирования на инциденты.
Критерии принятия риска должны быть разработаны и определены, они должны быть основаны на направления и плана развития предприятия. При их разработке необходимо учитывать:
Пороговые значения рисков основываются на значениях риска, когда задаётся условие при достижении которого предприятию необходимо принимать меры для локализации угрозы производства или бизнеса в целом. Риски могут иметь различную значимость, однако не все решения по поводу «идти или не идти на риск» остаётся за руководством предприятия
Оценка риска часто проводится за две (или более) итерации. Сначала проводится высокоуровневая оценка для идентификации потенциально высоких рисков, служащих основанием для дальнейшей оценки. Следующая итерация может включать дальнейшее углубленное рассмотрение потенциально высоких рисков. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более детальный анализ, возможно, по отдельным частям сферы действия, и, возможно, с использованием иного метода.
Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент риска путем обмена или совместного использования информации о риске лицами, принимающими решения, и другими причастными сторонами. Информация включает в себя наличие, характер, форму, вероятность, серьезность, обработку и приемлемость рисков, но этими факторами не ограничивается.
Коммуникация риска должна осуществляться с целью достижения следующего:
- обеспечения доверия к результатам менеджмента риска организации;
- сбора информации о риске;
- совместного использования результатов оценки риска и представления плана обработки риска;
- предотвращения или снижения возможности возникновения и последствий нарушений ИБ из-за отсутствия взаимопонимания между принимающими решения лицами и причастными сторонами;
- поддержки принятия решений; - получения новых знаний об ИБ;
- координации с другими сторонами и планирования реагирования с целью уменьшения последствий какого-либо инцидента;
- выработки чувства ответственности по отношению к рискам у лиц, принимающих решения, и причастных сторон;
- повышения осведомленности.
Организация обязана разрабатывать планы коммуникации риска, как для повседневной работы, так и для чрезвычайных ситуаций. Следовательно, деятельность, связанная с коммуникацией риска, должна выполняться непрерывно. Выбор подхода к оценке риска в зависимости от задач и целей оценки риска осуществляет руководство организации. На рисунке 2 иллюстрируется деятельность по обработке риска в рамках процесса менеджмента риска ИБ.
Для обработки риска имеется четыре варианта: снижение риска, сохранение риска, предотвращение риска и перенос риска. Варианты обработки риска должны выбираться исходя из результатов оценки риска, предполагаемой стоимости реализации этих вариантов и их ожидаемой эффективности. Должны реализовываться такие варианты, при которых значительное снижение риска может быть достигнуто при относительно небольших затратах (рисунок 2).
Рисунок 2.
Таблица 3.
|
ТП |
Кбу |
КУг |
Куя |
P(Yгi|Yяj) % |
KR (Yяj)% |
Куся |
|
B |
3 |
4 |
3 |
20 |
70 |
3 |
Куг -количество угроз, действующих на ресурсы;
Куя -количество уязвимостей, через которые реализуются угрозы;
Р(Угi/Уяj) -вероятность реализации угрозы через данную уязвимость;
KR(Уяj) -критичность реализации угрозы через данную уязвимость;
Кбу -количество базовых угроз;
Куся -количество устраненных уязвимостей
Таблица 4.
|
Угроза/Уязвимость |
Вероятность реализации угрозы через данную уязвимость в течение года (%), Р(V) |
Критичность реализации угрозы через уязвимость (%), KR |
|
Угроза 1/Уязвимость 1 |
10 |
70 |
|
Угроза 1/Уязвимость 2 |
25 |
60 |
|
Угроза 1/Уязвимость 3 |
40 |
60 |
|
Угроза 2/Уязвимость 1 |
30 |
30 |
|
Угроза 2/Уязвимость 2 |
35 |
30 |
|
Угроза 2/Уязвимость 3 |
40 |
35 |
|
Угроза 3/Уязвимость 1 |
70 |
80 |
|
Угроза 3/Уязвимость 2 |
50 |
65 |
|
Угроза 3/Уязвимость 3 |
40 |
60 |
|
Угроза 4/Уязвимость 1 |
30 |
70 |
|
Угроза 4/Уязвимость 2 |
40 |
10 |
|
Угроза 4/Уязвимость 3 |
20 |
50 |
Определение уровня угрозы
Таблица 5.
|
Угроза/Уязвимость |
Уровень угрозы (%), Th 𝐾𝑅 𝑃   
100 |
Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), UUh 𝑛 𝑈𝑈 𝑖 |
|
Угроза 1/Уязвимость 1 |
0.07 |
0.6 |
|
Угроза 1/Уязвимость 2 |
0.15 |
0.6 |
|
Угроза 1/Уязвимость 3 |
0.24 |
0.6 |
|
Угроза 2/Уязвимость 1 |
0.09 |
0.7 |
|
Угроза 2/Уязвимость 2 |
0.11 |
0.7 |
|
Угроза 2/Уязвимость 3 |
0.14 |
0.7 |
|
Угроза 3/Уязвимость 1 |
0.56 |
0.8 |
|
Угроза 3/Уязвимость 2 |
0.33 |
0.8 |
|
Угроза 3/Уязвимость 3 |
0.24 |
0.8 |
|
Угроза 4/Уязвимость 1 |
0.21 |
0.3 |
|
Угроза 4/Уязвимость 2 |
0.1 |
0.3 |
|
Угроза 4/Уязвимость 3 |
0.1 |
0.3 |
𝑇 ℎ = ×
Определение общего уровня угроз, действующих на ресурс
Таблица 6.
|
Угроза/Уязвимость |
Уровень угрозы по всем уязвимостям, через которые Реализуется данная угроза (%), UUh |
Общий уровень угроз по ресурсу (%), UUhR |
|
Угроза 1/Уязвимость 1 |
0,622 |
0,997 |
|
Угроза 1/Уязвимость 2 |
||
|
Угроза 1/Уязвимость 3 |
||
|
Угроза 2/Уязвимость 1 |
0,742 |
|
|
Угроза 2/Уязвимость 2 |
||
|
Угроза 2/Уязвимость 3 |
||
|
Угроза 3/Уязвимость 1 |
0,774 |
|
|
Угроза 3/Уязвимость 2 |
||
|
Угроза 3/Уязвимость 3 |
||
|
Угроза 4/Уязвимость 1 |
0,317 |
|
|
Угроза 4/Уязвимость 2 |
||
|
Угроза 4/Уязвимость 3 |
Определение риска ресурса
Таблица 7.
|
Угроза/Уязвимость |
Общий уровень угроз по ресурсу (%), UUhR |
Риск ресурса (у.е.), R |
|
Угроза 1/Уязвимость 1 |
0,997 |
99,7 |
|
Угроза 1/Уязвимость 2 |
||
|
Угроза 1/Уязвимость 3 |
||
|
Угроза 2/Уязвимость 1 |
||
|
Угроза 2/Уязвимость 2 |
||
|
Угроза 2/Уязвимость 3 |
||
|
Угроза 3/Уязвимость 1 |
||
|
Угроза 3/Уязвимость 2 |
||
|
Угроза 3/Уязвимость 3 |
||
|
Угроза 4/Уязвимость 1 |
||
|
Угроза 4/Уязвимость 2 |
||
|
Угроза 4/Уязвимость 3 |
||
|
Угроза 5/Уязвимость 11 |
||
|
Угроза 5/Уязвимость 12 |
ЗАКЛЮЧЕНИЕ
В работе рассмотрены различные уровни и источники угроз информационной безопасности и их устранение в коммерческой организации.
Процессы обеспечения информационной безопасности должны проводиться с обязательным соблюдением требований законодательства Российской Федерации и требований регуляторов Российской Федерации по обеспечению защиты информации, а также на основании локальных нормативных актов Корпорации.
В целях установления окончательного варианта набора мер и средств защиты информации необходимо представлять конфигурацию и архитектуру создаваемой системы, условия расположения входящих в неё объектов, состав технических средств и систем, в том числе организацию каналов связи, предполагаемых к использованию, а также определить актуальные угрозы безопасности информации и модель вероятного нарушителя.
В целях обеспечения адекватного блокирования (нейтрализации) явных угроз, необходимо применять базовый набор мер защиты информации для предполагаемого класса защищенности информационных систем.
Список литературы
1. ISO/IEC 27005 Информационная технология -Методы защиты –
Менеджмент рисков информационной безопасности. Международный стандарт.
2. Малюк А.А. Теория защиты информации. Учебное пособие М.:Горячая линия - Телеком 2014 г.184 стр.
3. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. -М.:Горячая линия - Телеком, 2000. - 452с
- Защита сетевой инфраструктуры предприятий
- Роль мотивации в поведении организации (Сущность мотивации)
- Разработка конфигурации «Взаиморасчеты с клиентами» в среде 1С: Предприятие
- Разработка регламента выполнения процесса «Контроль поставок товара» (Теоретические аспекты разработки регламента бизнес-процессов)
- Бренд как конкурентное преимущество
- Международный валютный фонд: цели, функции, особенности (МЕЖДУНАРОДНЫЙ ВАЛЮТНЫЙ ФОНД И ОСОБЕННОСТИ ЕГО ДЕЯТЕЛЬНОСТИ)
- Предпринимательский риск и методы его снижения
- Местное самоуправление в Российской Федерации: тенденции и перспективы развития (Понятие и система местного самоуправления в России)
- Алгopитмы copтиpoвки данныx (Данныe и их структура)
- Проектирование реализации операций бизнес-процесса «Реализация билетов через розничные кассы» (Технико-экономическая характеристика предметной области и предприятия)
- Алгоритмы сортировки данных (Данные. Структура)
- Методические подходы к разработке правил ИБ для файрволлов