Разработка комплекса мероприятий по обеспечению информационной безопасности компьютерной сети предприятия. Министерство промышленности и торговли Тверской области Государственное бюджетное профессиональное образовательное учреждение Тверской промышленноэкономический колледж
Скачать 2.79 Mb.
|
3 Разработка комплекса рекомендаций на основе анализа крупных и малых предприятий3.1 Анализ крупного предприятияВследствие высоких тенденций к повсеместной информатизации, крупные предприятия обычно обладают разветвленной инфраструктурой. В крупных компаниях, имеющих разветвленную структуру, важным является возможность головной компании контролировать ситуацию в своих дочерних предприятиях. Причем контролировать необходимо не только рядовых сотрудников, но и тех, кто отвечает за информационную безопасность на местах. Этот контроль необходим для того, чтобы принимаемые в головной компании стандарты и политики безопасности в обязательном порядке применялись на местах. Организация такого контроля является одной из важнейших задач службы безопасности головной компании. Подобные инфраструктуры, так же очень чувствительны к любым деструктивным воздействиям. Поэтому крупные предприятия тратят много денег и прочих ресурсов на периодический анализ защищенности информационной инфраструктуры, в идеале охватывая все виды угроз, а также динамику их развития. Для крупной компании с "неповоротливой" системой информационной безопасности прогнозирование угроз и своевременная, а иногда и опережающая, реакция на угрозы крайне необходима для минимизации возможных повреждений. Однако, крупные компании имеют одно очень важное свойство: они могут, с очень большой вероятностью, восстановиться после атаки до изначального состояния. Это отнимет огромное количество ресурсов, средств и времени, но подобный исход крайне вероятен для крупной компании, пострадавшей от атаки или какого-либо другого вредоносного воздействия со стороны. Аудит информационной безопасности является одним из основных средств для объективной оценки текущего состояния информационной безопасности компании, а также ее адекватности поставленным целям и задачам бизнеса. Так же он способствует оценки количества вложений в информационную безопасность, ведь для крупных компаний затраты на информационную безопасность являются очень ощутимыми. Очень важно, для крупной компании, балансировать на грани "стоимость или эффективность", величина вложения должна быть достаточной для эффективной работы системы информационной безопасности, ведь возможный ущерб от несанкционированных действий может быть гораздо большим и очень важно не допустить его, а если это невозможно, то снизить его на столько, на сколько это возможно. Однако, вследствие невозможности постоянной качественной оценки эффективности инвестиций в информационную безопасность, руководство крупных предприятий нередко стремится снизить эти затраты, сомневаясь в необходимости значительных вложений в данную область. В любой компании политика безопасности играет очень важную роль. В крупной компании директор или руководитель отдела, как правило, не является специалистом в области компьютерной безопасности, и его попытки вмешиваться в техническую сторону вопроса будут всегда приводить к неприятным последствиям. Если же в организации разработана политика информационной безопасности, в которой четко прописаны обязанности и уровень доступа самых разных сотрудников, то руководство может легко, и что главное, с пользой для общего дела, контролировать выполнение этих правил. Вовлечение руководства компании в дело информационной безопасности приносит огромную вспомогательную выгоду - оно значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании. Так как сейчас, как правило, политика безопасности публикуется, она может служить дополнительным доводом для потенциальных клиентов или инвесторов, специалисты другой компании могут сами оценить уровень компетентности ваших специалистов. Все большее число крупных российских, а тем более иностранных, компаний требуют доказательства обеспечения достаточного уровня надежности и безопасности, в том числе и информационной, своих инвестиций и ресурсов. Без наличия в организации профессиональной политики безопасности с ней, в большинстве случаев, просто не будут иметь никаких контактов. Также политика безопасности это - совершенный стандарт, которым может быть измерена целесообразность и окупаемость затрат на компьютерную защиту. Но у подобной политики безопасности есть несколько важных минусов. Первый, и основной, обычно подобные политики очень массивны, и наполнены специальными терминами, не всегда понятными обывателям. (см Приложение 1) Из прочих методов и средств обеспечения информационной безопасности крупные компании предпочитают системы обеспечения информационной безопасности и им подобные комплексы. Используются они для упрощения, ведь основной минус подобных комплексов – цена, крупные предприятия почти не тревожит из-за сильного упрощения процесса управления информационной безопасностью. 3.2 Анализ малого предприятияОсобенностью компаний(см. рисунок 1) малого бизнеса является то, что им, как правило, не нужны формальные процедуры проверки и сертификаты на соответствие стандартам и требованиям, которые исходят от внешнего потребителя, инвестора или аудитора. Они могут позволить себе работать, следуя логике развития собственного бизнеса. Аудит все еще необходим, как мера оценки текущего состояния информационной безопасности, но проводится значительно реже. Вследствие низких затрат на информационную безопасность в целом, инструменты прогнозирования угроз задействованы в меньшей степени. А из-за размера самого предприятия вероятность оправиться после атаки достаточно мала. Многие представители малого и среднего бизнеса используют неэффективные инструменты защиты, в частности переходят на использование бесплатных и нелицензионных антивирусных решений. А обеспечить эффективную систему безопасности малым компания не дает набор трудностей, включая недостаточное финансирование, нехватку квалифицированных кадров и непонимание рисков со стороны руководящего звена. Однако следует добавить, что многие проблемы решаются простыми способами даже в условиях ограниченных ресурсов. Например, такие простые меры, как дополнительное обучение сотрудников и применение нескольких простых мер по обеспечению безопасности. Рис.1 Меры, применяемые малыми компаниями для обеспечения информационной безопасности в Москве и Регионах Однако если говорить о политике безопасности в малых компаниях, то следует заметить, что она более удобна обывателю, короче и почти всегда лишена той завышенной сложности политики крупных компаний. (см Приложение 2) Комплексные системы большей частью не по карману малым предприятиям, но все больше продавцов смотрит в сторону малого бизнеса, предлагая доступные комплексные решения для этого сегмента рынка. 3.3 Сводный комплекс мер и средств по обеспечению информационной безопасности предприятияИсходя из проведенного в данной работе анализа, можно сформировать сводный комплекс мер и средств по обеспечению информационной безопасности. Политика безопасности компании должна быть читабельна для любого человека независимо от его познаний, она должна быть достаточно лаконична и не содержать лишних параграфов. Подобная политика, выложенная в открытый доступ, привлечет больше инвесторов, клиентов и специалистов. Установка комплекса или системы по обеспечению информационной безопасности возможна и желательна, только в случае ее окупаемости. В других условиях подобный комплекс становиться убыточным. В случае невозможности установить подобный комплекс необходимо воспользоваться дешевыми аналогами. Если подобные отсутствуют необходимо установить комплекс отдельными частями, используя имеющиеся средства и ресурсы, такие как встроенный фаерволл и маршрутизатор модема для создания межсетевого экрана. Пользоваться бесплатными или нелицензионными средствами категорически нельзя из-за ненадежности первых и риске понести уголовную или административную ответственность за использование вторых. Если на предприятии не хватает специалистов, и нет ресурсов для найма, можно дополнительно обучить нескольких сотрудников. Аудит очень важная часть любой системы обеспечения информационной безопасности. Однако если средств на полноценный аудит не хватает, то лучше его не проводит во избежание растраты средств. ЗАКЛЮЧЕНИЕТаким образом, в данной дипломной работе был дана характеристика защиты информации, а также различные теоретические аспекты обеспечения информационной безопасности, понятие политики безопасности и угроз безопасности, необходимые для полноценного понимания системы обеспечения информационной безопасности. Было проведено исследование мер и средств по обеспечению информационной безопасности. Был проведен сравнительный анализ мер и средств крупного и малого предприятий. И на основе этого анализа был разработан сводный комплекс мер и средств по обеспечению информационной безопасности предприятия. СПИСОК ЛИТЕРАТУРЫ№149-ФЗ «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ» "ГРАЖДАНСКИЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ" (ГК РФ) Часть 4 № 63-ФЗ «Об электронной подписи» ГОСТ Р 50922-2021 — Защита информации. Р 50.1.053-2020 — Информационные технологии. ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51275-2021 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р ИСО/МЭК 15408-1-2018 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК 15408-2-2018 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК 15408-3-2018 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. ГОСТ Р ИСО/МЭК 15408 — Общие критерии оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 17799 — Информационные технологии. Практические правила управления информационной безопасностью ГОСТ Р ИСО/МЭК 27001 — Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования. А.А. Парошин Нормативно-правовые аспекты защиты информации. Гатчин Ю.А., Сухостат В.В. Теория информационной безопасности и методология защиты информации: Учебное пособие. Гайкович В.Ю., Ершов Д.В.Основы безопасности информационных технологий Зайцев А.П., Шелупанов А.А.,Мещеряков Р.В., Скрыль С.В., Голубятников И.В., Технические средства и методы защиты информации: Учебник для вузов Макаренко С.И. Информационная безопасность: Учебное пособие МалининаЛ.А Основы информатики: Учебник для вузов Корнюшин П.Н., Костерин А.С. Информационная безопасность: Учебное пособие Галатенко В.А. Идентификация и аутентификация, управление доступом. Лекция. Шабуров А.С.ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ. Учебно-методическое пособие ru.wikipedia.org/wiki/Цифровая_подпись securitypolicy.ru. Приложение 1. Политика безопасности крупного предприятия.Приложение 2. Политика безопасности малого предприятия1 Макаренко С.И. Информационная безопасность: Учебное пособие 2 Гатчин Ю.А., Сухостат В.В. Теория информационной безопасности и методология защиты информации: Учебное пособие 3 Там же 4Галатенко В.А. Идентификация и аутентификация, управление доступом. Лекция. 5Галатенко В.А. Идентификация и аутентификация, управление доступом. Лекция. 6Шабуров А.С.ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ. Учебно-методическое пособие 7Шабуров А.С. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ. Учебно-методическое пособие 8ru.wikipedia.org/wiki/Цифровая_подпись 9№ 63-ФЗ «Об электронной подписи» 10ФЗ № 149 "Об информации, информационных технологиях и о защите информации" 11 Список нормативных документов сформировался с использованием справочно-правовой системы «КонсультантПлюс» и сайта securitypolicy.ru. 12Гайкович В.Ю., Ершов Д.В.Основы безопасности информационных технологий 13 Там же 14 Зайцев А.П., Шелупанов А.А.,Мещеряков Р.В., Скрыль С.В., Голубятников И.В., Технические средства и методы защиты информации: Учебник для вузов 15Корнюшин П.Н., Костерин А.С. Информационная безопасность: Учебное пособие 16МалининаЛ.А Основы информатики: Учебник для вузов |