|
прЕЗЕНТА. 9 Презентация. 7M06119 Информационные системы
Разработка методов и средств создания системы информационной безопасности предприятия Магистрант: Ермуханбетов А.С. Научный руководитель: Жаныс А.Б., доктор PhD 7M06119 - «Информационные системы» МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РЕСПУБЛИКИ КАЗАХСТАН
КОКШЕТАУСКИЙ УНИВЕРСИТЕТ ИМЕНИ АБАЯ МЫРЗАХМЕТОВА
Актуальность и цель исследования Актуальность темы исследования. Бизнес-процессы современной организации все больше зависят от информационных технологий. Поэтому информационная безопасность - одна из главных забот любого предприятия. Все данные предприятия должны быть доступны для выполнения операций предприятия, предоставления услуг своим клиентам. Предприятие должно гарантировать конфиденциальность, доступность и целостность данных предприятия и своих клиентов. Предприятие должно гарантировать конфиденциальность, доступность и целостность данных предприятия и своих клиентов. Целью исследования: Разработка методов и средств создания системы информационной безопасности предприятия В соответствии с целью определены следующие задачи исследования: - определить теоретические аспекты системы управления информационной безопасностью и существующей информацией;
- провести анализ модели оценки информационной безопасности для предприятия;
- провести валидации методов и средств создания системы информационной безопасности предприятия.
Объектом исследования является основы управления информационной безопасностью для использования на малых и средних предприятиях. Предметом исследования является комплекс теоретических, методологических и практических вопросов, связанных с анализом и оценкой моделей оценки безопасности информационных потоков. Научная новизна диссертации заключается в следующем: - Новая система управления информационной безопасностью, разработанная для концентрации основных передовых практик управления информационной безопасностью и концентрации на всех типах заинтересованных сторон, представлена для обеспечения широкой перспективы управления информационной безопасностью.
- Разработаны модели оценки уровня информационной безопасности для моделирования влияния информационных потоков и человеческого фактора. Использование этих моделей позволяет оценить безопасность информационных потоков с учетом как аппаратных, так и программных технологий.
- Система управления информационной безопасностью (СУИБ) – это целостный подход, который глубоко проникает в существующую организацию и ее процессы.
- В контексте СУИБ важно учитывать не только системы ИТ, но и такие темы, как система и организация компании, персонал и физическая безопасность, контроль доступа, управление инцидентами и планирование непрерывности бизнеса.
Стандарт ISO / IEC ISO 27001 №
| Стандарт
| Наименование
| 1
| СТ РК 34.026-2006
| Защита информации. Термины и определения
| 2
| СТ РК 34.022-2006
| Защита информации. Требования к проектированию, установке, наладке, эксплуатации и обеспечению безопасности информационных систем
| 3
| CT PK 34.023-2006
| Информационная технология. Методика оценки соответствия информационных систем требованиям безопасности
| 4
| CT PK 34.024-2006
| Защита информации. Автоматизированные системы в защищенном исполнении. Общие технические требования
| 5
| CT PK 34.025-2006
| Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
| 6
| СТ РК ГОСТ Р 51275-2006
| Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
| 7
| CT PK ГОСТ Р 50739-2006
| Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
| 8
| CT PK 1073-2007
| Средства криптографической защиты информации. Общие технические требования
| 9
| CT PK ИСО/МЭК 14888-1- 2006
| Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения
| 10
| CT PK ИСО/МЭК 14888-2- 2006
| Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 2. Механизмы, основанные на идентичности
| 11
| CT PK ИСО/МЭК 14888-3- 2006
| Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате
| 12
| СТРК ИСО/МЭК 10118-1- 2006
| Информационная технология. Методы защиты информации. Хэш-функции. Часть 1. Общие положения
| 13
| СТРК ИСО/МЭК 10118-2- 2006
| Информационная технология. Методы защиты информации. Хэш-функции. Часть 2. Хэш-функции, использующие битовый блок шифрования
| 14
| СТРК ИСО/МЭК 10118-3- 2006
| Информационная технология. Методы защиты информации. Хэш-функции. Часть 3. Специализированные хэш-функции
| 15
| СТРК ИСО/МЭК 10118-4- 2006
| Информационная технология. Методы защиты информации. Хэш-функции. Часть 4. Хэш-функции
| 16
| СТ РК ИСО/МЭК ТО 14516-2007
| Информационная технология. Методы обеспечения защиты. Использование и управление услугами доверенной третьей стороны. Общие требования
| 17
| СТ РК ГОСТ Р ИСО/МЭК 15408-1-2006.
| Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
| 18
| СТ РК ГОСТ Р ИСО/МЭК 15408-2-2006
| Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
| 19
| СТ РК ГОСТ Р ИСО/МЭК 15408-3-2006
| Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
| 20
| СТРК 1697-2007
| Защита информации. Средства защиты технических средств от утечки информации по цепям электропитания. Общие технические требования
| 21
| СТРК 1698-2007
| Защита информации. Защита информации от технических разведок и от ее утечки по техническим каналам на объекте средств вычислительной техники. Методы защиты
| 22
| СТРК 1699-2007
| Системы контроля и управления доступом. Общие технические требования
| 13
| СТРК ИСО/МЭК 10118-2- 2006
| Информационная технология. Методы защиты информации. Хэш-функции. Часть 2. Хэш-функции, использующие битовый блок шифрования
| 14
| СТРК ИСО/МЭК 10118-3- 2006
| Информационная технология. Методы защиты информации. Хэш-функции. Часть 3. Специализированные хэш-функции
| 15
| СТРК ИСО/МЭК 10118-4- 2006
| Информационная технология. Методы защиты информации. Хэш-функции. Часть 4. Хэш-функции
| 17
| СТ РК ГОСТ Р ИСО/МЭК 15408-1-2006.
| Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
| 18
| СТ РК ГОСТ Р ИСО/МЭК 15408-2-2006
| Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
| 19
| СТ РК ГОСТ Р ИСО/МЭК 15408-3-2006
| Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
| 20
| СТРК 1697-2007
| Защита информации. Средства защиты технических средств от утечки информации по цепям электропитания. Общие технические требования
| 21
| СТРК 1698-2007
| Защита информации. Защита информации от технических разведок и от ее утечки по техническим каналам на объекте средств вычислительной техники. Методы защиты
| 22
| СТРК 1699-2007
| Системы контроля и управления доступом. Общие технические требования
| 23
| СТРК 1700-2007
| Техническая защита информации в служебных помещениях. Общие технические требования
| 24
| СТРК 1701-2007
| Техническая защита информации в средствах вычислительной техники, автоматизированных информационных системах и сетях от утечки по средствам побочных электромагнитных излучений
| 25
| СТ РК ГОСТ Р 51188-2007
| Защита информации. Испытания программных средств на наличие компьютерных вирусов. Общие требования
| Выводы первого раздела Внедрением стандарта ISО/IЕС 27001 безопасность информативных технологий организации становиться продуктивной, также результативной присутствие обстоятельстве вовлечения абсолютно всех структурных подразделений.
Введение информационной безопасности предприятия без системы безопасности управление информационной безопасностью становиться трудным. Поэтому важно, создание СУИБ и разрабатывание правила безопасности, средства контроля и обязанности.
Анализ системы управления информационной безопасностью показал, что не существует системы управления информационной безопасностью, в которую были бы включены все основные заинтересованные стороны.
Выводы второго раздела: - Анализ инструментов управление информационной безопасностью показал, что с точки зрения организации не существует решений по ресурсным и структурным аспектам, в то время как перспектива стратегии вообще не реализована в инструментах информационной безопасности. Только 50% представлений моделирования безопасности предприятия покрываются инструментами моделирования.
- Для отражения различных критериев безопасности в организации были предложены отдельные модели конфиденциальности, целостности и доступности информации. Все эти модели основаны на информационном потоке и возможностях нарушения безопасности в процессе информационного потока.
- Информационный объект может быть изменен; поэтому модели учитывают факт правового изменения и вычисляют вероятность для каждой версии, и только затем выводят общую вероятность для всего информационного объекта.
Выводы третьего раздела Чтобы проверить практическую ценность этой диссертации, была проведена дискуссия с докладчиками из малого и среднего бизнеса. Обсуждение было направлено на оценку того, понимают ли выступающие МСП предлагаемую СУИБ, понимают ли они, как СУИБ следует применять в МСП.
Предлагаемые модели могут использоваться для сравнения в нескольких ситуациях, чтобы определить лучшую в соответствии с конфиденциальностью, доступностью или целостностью данных.
Анализ мнения человека об основных угрозах безопасности на его или ее предприятии показал, что предлагаемые структуры ISM, а использование рекомендованных инструментов позволяет понять важность политик безопасности.
Получены следующие заключения и выводы: - Управление информационной безопасностью является неотъемлемой частью организационного управления в век информации. Политика информационной безопасности, как одна из основ управления информационной безопасностью, имеет неоспоримое положение в организационном управлении. Это не только метод управления информационной безопасностью, но и репрезентативная стратегия безопасности внутри предприятия.
- В данной работе кратко излагаются общие функции политики информационной безопасности и заинтересованные стороны, участвующие в этапах разработки. В принципе, существует восемь функций, которые могут быть достигнуты с помощью всех видов политики информационной безопасности. Между тем на этапе разработки политики информационной безопасности должны быть задействованы девять заинтересованных сторон.
Достигнутая цель работы - определены теоретические аспекты системы управления информационной безопасностью и существующей информацией;
- проведен анализ модели оценки информационной безопасности для предприятия;
- проведена валидации методов и средств создания системы информационной безопасности предприятия.
Рекомендации по использованию результатов работы: Предлагаемый процесс аналитической иерархии при принятии решений по нескольким критериям определяет веса для критериев оценки структуры менеджмента информационной безопасности, использование которых больше подходит для ранжирования системы УИБ, чем невзвешенная сумма значений критериев.
Предложенная структура управления информационной безопасностью объединяет основные принципы страхования информационной безопасности, а также увеличивает концентрацию внимания на различных типах заинтересованных сторон.
Анализ существующих инструментов и структур выявил отсутствие решений, предназначенных для малого и среднего бизнеса. Существующие решения концентрируются на некоторых конкретных областях информационной безопасности или требуют глубокого анализа предоставленных рекомендаций и руководств по управлению.
1
2
3
Спасибо за внимание! |
|
|