Анализ предметной области оао ДомСтрой
 Скачать 4.03 Mb.
|
Разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия АИС ОАО «ДомСтрой»Для уменьшения рисков угроз безопасности коммерческой информации в ОАО ДомСтрой необходимо принять следующие меры по защите информации: 1. Изменение информационной сети Центрального офиса - Выведение основных серверов в отдельную подсеть; Выведение рабочих компьютеров сотрудников и принтеров в отдельную подсеть 2. Изменение информационной сети Магазинов - Разделение сети на рабочую и гостевую подсети; настройка ACL листов на маршрутизаторах; обеспечение резервного канала связи. 3. Система цифровых сертификатов - Внедрение сервера сертификатов x. 509; Внедрение Radius сервера для проверки подлинности сертификатов. 4. Организационные меры по защите информации - Описание регламентов информационной безопасности; составление инструкции по парольной защите; составление инструкции по антивирусной защите.  Структурная схема организации Проект по изменению информационной сети Магазина 1Цель проекта: Данный проект предусматривает модернизацию существующей информационной сети, с одновременным решением вопроса безопасности подразделения В рамках проекта решаются следующие задачи: · работа сотрудников-менеджеров в бизнес-приложении, осуществление ими рабочей деятельности; · работа сторонних сотрудников (кредитные инспекторы), их оборудования (POS-терминалы, специализированное ПО); · повышение безопасности сети путем выделения рабочей и гостевой зон локальной сети; Наложенные ограничения и условия: · Необходимость подключения к сети оборудования сторонних сотрудников, универсального места тестирования и связанные с этим риски; · Скорость основного канала связи до центрального офиса - 100Мбит/с, резервного - 256Кбит/с; · Из гостевой сети доступны интернет-сервера активации продаваемого ПО, доступ в Интернет через прокси-сервер, доступ до серверов организаций сторонних сотрудников; Общие принципы организации: Основная задача, которая решается проектом информационной системы - обеспечить с одной стороны изоляцию рабочей среды от деструктивной активности зараженных или неправильно настроенных рабочих мест, а с другой предоставить максимальный уровень сервиса всем подключенным клиентам системы. Реализованный вариант информационной системы представляет собой логически (на уровне коммутатора) поделенную на две части сеть: 1. рабочая сеть; 2. гостевая сеть. Рабочая сеть - обеспечивает основную бизнес-деятельность менеджеров. В рабочую сеть подключается только оборудование Компании. Гостевая сеть - обеспечивает основную бизнес-деятельность сторонних сотрудников (кредитные инспектора), работу POS-терминалов, универсального места тестирования. Наложенные ограничения - доступ к Интернет через прокси-сервер, доступ к серверам активации продаваемого ПО; Внедрение организационных мер по защите информацииТребования к политике безопасности: В политике безопасности определяются цели процесса управления информационной безопасностью, а также основные этапы функционирования данного процесса. Политика безопасности предназначена для комплексного управления информационной безопасностью, а также для поддержания в актуальном и эффективном состоянии систем защиты информации. В Политике безопасности описывается разделение обязанностей по управлению и обеспечению безопасности, а также механизмы контроля над исполнением процедур обеспечения и управления безопасностью, возложенных на сотрудников компании. Кроме этого, присутствуют основные этапы процессного подхода к обеспечению безопасности. В частности, каждое правило политики последовательно проходит этапы жизненного цикла: планирование, внедрение, проверка эффективности, совершенствование. Важно отметить, что эффективный процесс управления невозможен без документирования всех процедур, так как правильность и контролируемость выполнения процедуры зависит от наличия четко сформулированных правил ее выполнения. В политике безопасности требуется кратко описать правила, выполнение которых является основой обеспечения и управления информационной безопасностью. В частности, следует создать правила, описывающие такие процедуры, как контроль доступа к информационным активам компании, внесение изменений в информационную систему, взаимодействие с третьими лицами, расследование инцидентов, аудит информационной безопасности, обеспечение непрерывности ведения бизнеса и прочее. В описании правил должно даваться четкое определение, на что это правило распространяется, а также должны быть описаны условия, при которых это правил подлежит выполнению. В политике безопасности требуется описать ответственность сотрудников компании за обеспечение и управление информационной безопасностью. Обязанность обеспечения безопасности возложена на всех сотрудников компании, а также, в соответствии с договором, на сторонних лиц, имеющих доступ к информационным активам компании. Обязанность управления информационной безопасностью возложена на руководство компании. Вместе с изменениями в информационной системе компании, которые могут происходить достаточно часто, требуется вносить коррективы в политику безопасности как документированное отражение основных правил работы системы управления. Следовательно, необходимо предусмотреть возможность пересмотра политики безопасности. Поскольку политика безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью, при описании правил следует указывать на необходимость создания регламентов и руководств, в которых процесс выполнения описываемых процедур изложен подробно. Таким образом, в политике безопасности описываются все необходимые требования, для обеспечения и управления информационной безопасности, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании должна достигнуть требуемого уровня, сотрудники должны осознавать свою роль и участие в процессе обеспечения безопасности. Следование правилам позволит гарантировать, что требуемые информационные ресурсы будут доступны в необходимые моменты времени, а изменения в структуре информационной системы будут вноситься только уполномоченными сотрудниками. Этапы создания политики безопасности . Определить, какие объекты необходимо защищать и почему. В роли объектов защиты могут выступать: аппаратные средства, программное обеспечение, средства доступа к информации, люди, внутренние коммуникаций, сети, телекоммуникации и так далее. . Разработка структуры политики безопасности. Политика безопасности должна быть разбита на логически самостоятельнее разделы, каждый из которых посвящен отдельному аспекту защиты. Такая структура позволяет проще понимать и внедрять политику безопасности, а также становится проще ее корректировать. Обязательно должен присутствовать раздел описывающий ответственность за нарушение правил безопасности. Данный раздел, возможно, следует проработать с юристом. Формулировки в тексте политики безопасности должны быть четкими, коротко изложенными. Подробному описанию структуры политики безопасности посвящен следующий параграф. . Проведение всестороннего исследования архитектуры ИС. Лучший способ это сделать - оценка рисков, анализ рисковых ситуаций или всесторонний аудит системы. Лучше если такое исследование будет проводиться сторонней организацией. В любом случае при разработке правил безопасности первоначальное обследование объекта проводится разработчиком политики безопасности еще на первом этапе, с последующим более детальным изучением совместно с сотрудником в чьем ведении находится данный объект с целью возможной корректировки правил. . Критическая оценка политики безопасности и ее утверждение. В критике должны принимать участие руководители департаментов и отделов имеющие непосредственное отношение к разрабатываемым правилам, а также юристы т.к. в процессе рецензирования должны рассматриваться не только технические, но и юридические аспекты безопасности. Процесс утверждения представляет собой простое одобрение руководством окончательной версии документа. Утверждение должно состояться после рецензирования. Однако если руководство не утвердит этот документ, его эффективность будет крайне ограничена. Структура политики безопасности Общие положения В данной части следует описать цели создания политики безопасности, область действия данной политики, кратко описать, о чем идет речь в документе. Описание информационной системы Необходимо определить задачи, которые выполняет информационная система в компании, дать определение, что является ее составными частями. Правила Основная часть политики безопасности, содержащая правила которые следует соблюдать сотрудникам компании. Эта часть должна быть разбита на самостоятельные разделы, касающиеся отдельных аспектов обеспечения информационной безопасности. Структурированный подход к написанию данного раздела позволит сотрудникам четко понимать, что от них требуется в отдельных случаях, а также будет способствовать процессу сопровождения политики. Обработка инцидентов безопасности В первую очередь в данном разделе следует описать, что является инцидентом безопасности, а также описать порядок действия сотрудников в случае возникновения инцидентов, и обозначить необходимость назначения сотрудников ответственных за реагирование на инциденты и их регистрацию. Ответственность Любой нормативный документ вряд ли будет иметь реальную силу, если в нем не будет предусмотрена ответственность за те или иные нарушения положений, прописанных в нем. Тоже касается и политики безопасности. Должно быть четко определено, за что сотрудник несет ответственность, работая в компании, однако, не стоит переписывать в данный раздел меры предусмотренные законодательством. |