Разработка системы менеджмента инцидентов информационной безопасности для хозяйствующего субъекта в области информационных техно. Курсовой проект_ИБ. Курсовой проект по дисциплине Системы информационной безопасности
Скачать 227.47 Kb.
|
СОДЕРЖАНИЕОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ 7 ВВЕДЕНИЕ 9 РАДЕЛ I. КРАТКИЕ СВЕДЕНИЯ ПРО МЕЖДУНАРОДНЫЙ СТАНДАРТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 11 РАЗДЕЛ II. ОПИСАНИЕ ХОЗЯЙСТВУЮЩЕГО СУБЪЕКТА 17 РАЗДЕЛ III. АНАЛИЗ ИНФОРМАЦИОННЫХ АКТИВОВ 21 3.1 Инвентаризация активов 21 3.2. Категорирование активов 22 РАЗДЕЛ IV. АНАЛИЗ РИСКОВ 27 4.1 Описание угроз и уязвимостей информационной системы 27 4.2 Вероятности и критичности реализации угроз 28 4.3 Расчет уровней угроз и риск активов 28 РАЗДЕЛ V. РАЗРАБОТКА ПОЛИТИК И ПРОЦЕДУР БЕЗОПАСНОСТИ 37 5.1 Обработка информационных рисков 37 5.2 План обработки рисков 37 5.3 Разработка политик и процедур безопасности 38 РАЗДЕЛ VI. ВНЕДРЕНИЕ И КОНТРОЛЬ 41 Средства управления и контроля, выбранные на этапе обработки рисков 41 Существующие в организации средства управления и контроля 42 Средства, обеспечивающие выполнение требований законодательства и требований регулирующих организаций 43 Средства, обеспечивающие выполнение требований заказчиков 43 Средства, обеспечивающие выполнение общекорпоративных требований 43 ЗАКЛЮЧЕНИЕ 44 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 45 ПРИЛОЖЕНИЕ А. РАСЧЕТ УРОВНЕЙ УГРОЗ ПО УЯЗВИМОСТЯМ ДЛЯ КАЖДОГО АКТИВА 47 1.Сервер обработки данных 47 2.Персональный компьютер (рабочая станция, ноутбук) 49 3.Принтеры и другая периферия 51 4.Оборудование связи 53 5.Ключевые машинные носители информации 55 6.Неключевые машинные носители информации 57 7.Система электропитания 59 8.Система кондиционирования 61 9.Система контроля и управления доступом 63 10.Другое техническое оборудование 65 11.Базы данных и файлы данных 67 12.Персональные данные сотрудников 69 13.Бухгалтерские сведения 71 14.Архивная информация 73 15.Операционные системы серверов и средства их администрирования 75 16.Системы управления базами данных 77 17.Инструментальные средства разработчиков 79 18.Программные средства защиты информации 81 19.Главный инженер проекта 83 20.Системный архитектор 85 21.Специалист по управлению (менеджер) 87 22.Программист 89 23.Техник 91 ПРИЛОЖЕНИЕ Б. ПЛАН РЕАЛИЗАЦИИ КОНТРМЕР УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 93 ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯВ данном курсовом проекте применяются следующие определения, обозначения и сокращения: IEC – International Electrotechnical Commission — международная некоммерческая организация по стандартизации в области электрических, электронных и смежных технологий. ISO – International Organization for Standardization – ИСО (Международная организация по стандартизации) WEB – система доступа к связанным между собой документам на различных компьютерах, подключённых к сети Интернет. Актив – все, что имеет ценность для организации и находится в ее распоряжении АО – акционерное общество ИБ – информационная безопасность Информация – сведения (сообщения, данные) независимо от формы их представления Инцидент информационной безопасности – появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ. ИС – информационная система Источник угрозы безопасности информации – субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации. ИТ – информационные технологии ПО – программное обеспечение Политика безопасности – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Риск информационной безопасности – потенциальная возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации. Событие информационной безопасности – идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности. СУИБ – система управления информационной безопасностью Угроза (безопасности информации) – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Угроза конфиденциальности (угроза раскрытия) – это угроза, в результате реализации которой, конфиденциальная или секретная информация становится доступной лицу, группе лиц или какой-либо организации, которой она не предназначалась. Угроза отказа в обслуживании (угроза доступности) – угроза, реализация которой приведет к отказу в обслуживании клиентов АС, несанкционированному использованию ресурсов злоумышленниками по своему усмотрению. Угроза целостности – угроза, в результате реализации которой информация становится измененной или уничтоженной. Уязвимость (информационной системы) – свойство информационной системы, обуславливающее возможность реализации угроз безопасности обрабатываемой в ней информации. ЦИТ – Центр информационных технологий ЦОД – центр обработки данных |