Разработка политики информационной безопасности для ДМЗ. ВКР ИБ. Гоу Приднестровский государственный университет им. Т. Г. Шевченко
Скачать 306.7 Kb.
|
1.2 Анализ и оценка защиты данных в активах ГСУДАИзучение сферы деятельности ГСУДА позволило выявить следующие информационные активы: информация/данные; аппаратные средства (компьютеры, хранилища данных, оргтехника); программное обеспечение, включая прикладные программы; документы в бумажном виде; конфиденциальность и доверие при оказании услуг. Все активы организации можно рассмотреть с позиции ценности и расположить их в порядке возрастания: прикладное программное обеспечение; системное программное обеспечение; личные сведения о сотрудниках; персональные данные; проектная документация. Таким образом, в ГСУДА выявлено множество активов, связанных с информационными данными. Соответственно для них могут быть выделены следующие уязвимости: действия злоумышленников; выход из строя аппаратного обеспечения; недостача ресурсов аппаратного обеспечения; конструктивные недостатки программного обеспечения; недостача ресурсов программного обеспечения; похищение при передаче по линиям связи; подмена при передаче по линиям связи; отказ в облуживании линий связи; ошибки пользователя; разглашение конфиденциальной информации; халатное отношение к информационной безопасности; возникновение ЧС; обстоятельства непреодолимой силы. Угрозы безопасности ГСУДА могут иметь природный или человеческий фактор, угрозы могут появиться как случайно, так и преднамеренно. Для ГСУДА необходимо и крайне важно не пропустить ни одной угрозы информационной безопасности, так как возможный ущерб может быть очень значителен, но и акцентировать внимание на незначительных угрозах не надо, потому как может быть задействовано крайне много средств, а ущерба может быть не нанесено. После того как обнаружен возможный источник угрозы и сектор, подверженный угрозе (объект угрозы), надо определить возможность и размеры осуществление угрозы. Для этого необходимо учесть аналитические данные, такие как: частоту возникновения угрозы; цель угрозы, используемые ресурсы и возможности осуществления той или иной угрозы; насколько привлекателен ресурс, на который воздействует угроза; насколько возможны возникновения случайных угроз, связанных с географическим фактором, реализацией которых может являться природная или техногенная катастрофа. Для проведения аналитики по возникшей угрозе, необходимо воспользоваться статистическими данными, если такие имеются. Статистические данные позволят определить, как часто возникает угроза и на что нацелена, какой ущерб может нанести. По данному пункту можно сделать вывод, что у ГСУДА есть уязвимые информационные активы, которые необходимо защищать. А для более правильного выстраивания политики информационной безопасности необходимо, определить основные проблемы и задачи защиты информации в ГСУДА. 1.3 Основные проблемы и задачи защиты информации в ГСУДАВ ГСУДА при работе с большим объемом конфиденциальных данных стоит первоочередная задача организации защиты информации, т.е. определения мероприятий, направленных на создание, обеспечение и поддержку информационной безопасности. Объект защиты информации представляет собой информацию или информационный процесс, который требует обеспечения защиты от несанкционированного доступа, нарушения целостности и структурированности данных. Цель защиты информации – это получение результатов от предотвращения ущерба, обусловленного утечкой или несанкционированным воздействием на информацию. Эффективность защиты информации позволяет определить уровень соответствия результатов используемой системы защиты данных поставленным целям. Выделяют следующие основные виды защиты информации: Защита информации от утечек – это мероприятия, направленные на сохранность и целостность конфиденциальных данных, используемых во внутреннем и внешнем документообороте. Защита данных от разглашений – это мероприятия, направление на предотвращение неосторожных, умышленных действий сотрудников или иных лиц, огласивших конфиденциальную информацию, что может привести к дальнейшей передаче данных. Защита данных от несанкционированного доступа – это мероприятия, направленные на запрет доступа к компьютерной сети за счет применения комплекса инженерно-технических, программных и организационных средств. Кроме того, необходимо разработать систему защиты данных, включающую совокупность технических, программных, криптографических и организационных средств, позволяющих обеспечить безопасность сети в любой момент времени от случайного или преднамеренного воздействия, а также несанкционированного использования. Безопасность данных – это состояние защищенности данных, при котором обеспечены целостность, конфиденциальность и доступность. Информационная безопасность выступает одной из главных проблем современного общества и обусловлена увеличением значимости информации в основных бизнес процессах. Проблемы защиты информации в настоящее время связаны с дестабилизирующим воздействием внешних и внутренних угроз, возникающих в организации и влияющих на ее функционирование. В свою очередь, понятие проблема безопасности данных взаимосвязано с понятием угроза безопасности. Это привело к тому, что в деятельности предприятий все больше возникает проблем, оказывающих негативное влияние на систему управления, а также технологическую поддержку в вопросах хранения и обработки данных. Поэтому методы и инструменты для обеспечения комплексной системы защиты на предприятии должны выполнять мониторинг угроз на уровне информационного, аппаратного и программного обеспечения. Развитие компьютерных технологий, аппаратного и программного обеспечения расширило круг проблем защиты информационных потоков, циркулирующих в компьютерных сетях от несанкционированного доступа. Основной проблемой является необходимость обеспечения требуемого уровня защиты, при котором необходимо учитывать, что информация, передаваемая по компьютерной сети, может быть получена злоумышленником и передана по каналам связи. Проблемы информационной безопасности разделяют на три основных вида: перехват данных, связанный с нарушением конфиденциальности информации; модификация или изменение данных, связанных с изменением исходного сообщения или полной его подмены с последующей пересылкой адресату; нарушение авторства информации, то есть передача информации не от имени автора, а от имени злоумышленника. Для того чтобы осуществить перехват конфиденциальной информации, злоумышленником используются вирусы, кейлоггеры, троянские программы, вредоносное и шпионское программное обеспечение. Проблемы защиты сети связаны с тем, что не каждая антивирусная программа может своевременно выявить возникшие угрозы в сети и это создает возможность для злоумышленника использовать сеть для достижения поставленных целей. Однако возможность перехвата информации не всегда создает возможности получения доступа к защищенным данным, с последующей модификацией. В качестве примера перехвата информации может выступать анализ сетевого трафика в сети. В данном случае злоумышленник получает информацию о сети предприятия, но возможность искажать данную информации не имеет. Проблемы безопасности данных также связаны с развитием глобальной сети Интернет, которая пользуется популярностью среди различных категорий пользователей. Усиление глобализации, а вместе с тем и информатизации создает возможности для злоумышленника с любой точки мира создавать угрозы безопасности для компьютерной сети. К основным задачам информационной безопасности данных относятся: обеспечение конфиденциальности, целостности и структурированности информации; организация своевременного выявления и предотвращения внешних и внутренних угроз; внедрение организационных, инженерно-технических, аппаратно- программных методов, позволяющих усилить защиту данных; разработка и совершенствование политики безопасности с учетом современных тенденций развития аппаратного и программного обеспечения. Для предприятий задачи обеспечения защиты данных являются одними из первоочередных, поскольку, выступая в качестве объекта постоянного внимания злоумышленников. Следовательно, информационная безопасность направлена на обеспечение достаточного и необходимого уровня защиты информации, что во многом определяется платежными, информационными и прочими процессами. Возникающие сбои в работе информационной структуры предприятия могут нанести значительный ущерб в области получения информации для обеспечения стабильности основных бизнес процессов. Поэтому информационная безопасность постоянно контролируется, принимаются мероприятия для управления рисками, разрабатываются документы, которые являются основной стандартизации управления защитой информации. Особое значение при обеспечении информационной безопасности уделяется формальным методам защиты информации, в основе которых находится стандартизация. Главной целью стандартизации является повышение доверия, выполнение необходимых мероприятий по защите информации от возникающих угроз и внедрение методов для снижения рисков. Для обеспечения защиты данных ГСУДА должна выполнять следующие задачи: обеспечивать высокий уровень организации и функционирования подразделений в области информационной безопасности предприятия; осуществлять коррекцию в области функционирования системы защиты данных; разрабатывать планы по управлению рисками нарушения информационной безопасности и обеспечиваться высокий уровень организации внедрения данных планов в основные бизнес процессы предприятия; производить коррекцию внутреннего документооборота в области защиты данных; принимать управленческие решения в области совершенствования системы защиты данных, а также разрабатывать и организовывать программы обучения сотрудников, мероприятия повышения осведомленности сотрудников предприятия в области защиты данных; осуществлять постоянный мониторинг обнаружения угроз и совершенствоваться мероприятия по их ликвидации; внедрять современные методы защиты данных, проводить внутренний и внешний аудит информационной безопасности; принимать решения в области совершенствования политики безопасности предприятия, корректироваться концепция и стратегия в области информационной безопасности. Таким образом, были определены основные задачи, которые будут положены в основу организации системы информационной безопасности и защиты данных в рассматриваемой организации. |