Главная страница
Навигация по странице:

  • 1.1. Понятие информационная безопасность

  • 1.2. Категории действий способных нанести вред информационной безопасности

    		•

    Отчет по преддипломной практики. Отчет по практической подготовке в форме преддипломной практики в ооо Астралрд


    Скачать 273.73 Kb.
    НазваниеОтчет по практической подготовке в форме преддипломной практики в ооо Астралрд
    АнкорОтчет по преддипломной практики
    Дата01.06.2022
    Размер273.73 Kb.
    Формат файлаdocx
    Имя файлаОтчет по преддипломной практики.docx
    ТипОтчет
    #563091
    страница3 из 9
    1   2   3   4   5   6   7   8   9

    ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ




    1.1. Понятие информационная безопасность


    Защита информации включает в себя комплекс мероприятий, методов и технологий, направленных на обеспечение информационной безопасности (ИБ). На практике под этим достаточно широким спектром понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных. Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. В настоящее время объем средств, затрачиваемых в мире на обеспечение информационной безопасности, составляет более 5 млрд. долларов в год. В России вопросам, связанным с обеспечением ИБ, и раньше уделялось особое внимание, а в последнее время в связи с широким внедрением компьютерных технологий во многие отрасли производства и управления этой тематике стали уделять все более пристальное внимание. Российские организации, которые заинтересованы в защите своих информационных ресурсов и поэтому активно использующие в своей деятельности средства ИБ, можно разделить на две основные части:

    • в основном государственные учреждения или те предприятия, которым предписано следовать требованиям, инструкциям и руководящим документам ФАПСИ (Федеральное агентство правительственной связи и информации) и других государственных органов;

    • коммерческие компании (как крупные промышленно-финансовые группы, так и представители малого бизнеса), которые в различной степени заинтересованы в защите своих корпоративных сетей и локальных сетей своих подразделений или филиалов.

    Следует также отметить, что в определенных случаях проблема ИБ как в целом, так и применительно к отдельным организациям может существенным образом затрагивать личные интересы любого человека (например, защита и сохранность информации на персональных картах, эмитированных разными организациями, в частности банками). Рассмотрение негативных последствий предполагает обязательную идентификацию возможных источников угроз, выявление факторов, способствующих их появлению, и в конечном итоге определение актуальных угроз безопасности информации. Основной критерий для выбора уровня защиты - важность информации. При разработке общей стратегии организации информационной безопасности (отдельного компьютера, локальной сети, корпоративной сети) на первом этапе должен быть создан документ, в котором будет отражена общая политика безопасности. Определение RFC 2196 описывает политику безопасности следующим образом: "Политика безопасности - это формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации". Можно определить, что политика безопасности - это подробный перечень всех требований, которые предъявляются к уровню защиты системы (отдельного компьютера, локальной сети, корпоративной сети). Этот документ должен отражать в себе такие важные аспекты, как:

    • определение всех пользователей сети (или на одном компьютере);

    • определение прав доступа для всех пользователей.

    При этом под правами доступа понимается список всех имеющихся ресурсов в системе, с указанием, кто из пользователей имеет к ним доступ. Сам уровень доступа может также существенно варьироваться для различных пользователей и называется правами доступа: право доступа только на чтение, право доступа для чтения и записи, право доступа для переименования объектов, право доступа для удаления объектов, и т.д.

    1.2. Категории действий способных нанести вред информационной безопасности


    Действия, которые могут нанести ущерб информационной системе, можно разделить на несколько категорий.

    1. Действия, осуществляемые авторизованными пользователями.

    В эту категорию попадают:

    2. "Электронные" методы воздействия, осуществляемые хакерами.

    Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся:

    • несанкционированное проникновение в компьютерные сети;

    • DOS-атаки.

    Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т. п.

    Атака типа DOS (сокр. от Denial of Service - "отказ в обслуживании") - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т. п.

    3.Компьютерные вирусы. Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

    4. Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности:

    • электронная почта в последнее время стала главным каналом распространения вредоносных программ;

    • спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;

    • как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);

    • вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других "грубых" методов фильтрации спама.

    5."Естественные" угрозы. На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т. д. [3, с 16]

    Система управления информационной безопасностью (ISMS или Information Security Management System) позволяет управлять комплексом мер, реализующих некую задуманную стратегию, в данном случае — в отношении информационной безопасности. Отметим, что речь идет не только об управлении уже существующей системой, но и о построении новой/перепроектировке старой.

    Комплекс мер включает в себя организационные, технические, физические и другие. Управление информационной безопасностью — процесс именно комплексный, что и позволяет реализовывать как можно более эффективное и всестороннее управление ИБ в компании.

    Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения ее сохранности.

    В условиях крупной современной организации количество информационных активов может быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.

    Работа по определению ценности информационных активов в разрезе всей организации одновременно наиболее значима и сложна. Именно оценка информационных активов позволит начальнику отдела ИБ выбрать основные направления деятельности по обеспечению информационной безопасности.

    Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива. Определение ценности проблематично, потому что в большинстве случаев менеджеры организации не могут сразу же дать ответ на вопрос, что произойдет, если, к примеру, информация о закупочных ценах, хранящаяся на файловом сервере, уйдет к конкуренту. Вернее сказать, в большинстве случаев менеджеры организации никогда не задумывались о таких ситуациях.

    Чтобы определить последствия нарушения безопасности, нужно либо иметь сведения о зафиксированных инцидентах аналогичного характера, либо провести сценарный анализ. В рамках сценарного анализа изучаются причинно-следственные связи между событиями нарушения безопасности активов и последствиями этих событий для бизнес-деятельности организации. Последствия сценариев должны оцениваться несколькими людьми, итерационным или совещательным методом. Следует отметить, что разработка и оценка таких сценариев не может быть полностью оторвана от реальности. Всегда нужно помнить, что сценарий должен быть вероятным. Критерии и шкалы определения ценности индивидуальны для каждой организации. По результатам сценарного анализа можно получить информацию о ценности активов.

    Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

    Согласно стандарту ГОСТ Р ИСО/МЭК 15408:2005 можно выделить следующие виды требований к безопасности:

    • функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;

    • требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.

    Очень важно, что безопасность в этом стандарте рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы:

    • определение назначения, условий применения, целей и требований безопасности;

    • проектирование и разработка;

    • испытания, оценка и сертификация;

    • внедрение и эксплуатация.

    В соответствии с этими требованиями нужно формировать систему информационной безопасности организации.

    Система информационной безопасности организации включает направления:

    • нормативные;

    • организационные (административные);

    • технические;

    • программные;

    Для полной оценки ситуации на предприятии по всем направлениям обеспечения безопасности необходима разработка концепции информационной безопасности, которая бы устанавливала системный подход к проблеме безопасности информационных ресурсов и представляла собой систематизированное изложение целей, задач, принципов проектирования и комплекса мер по обеспечению информационной безопасности на предприятии.

    В основе системы управления корпоративной сети должны лежать следующие принципы (задачи):

    • обеспечение защиты существующей информационной инфраструктуры предприятия от вмешательства злоумышленников;

    • обеспечение условий для локализации и минимизации возможного ущерба;

    • исключения появления на начальной стадии причин возникновения источников угроз;

    • обеспечения защиты информации по трем основным видам возникающих угроз (доступность, целостность, конфиденциальность);

    Решение вышеназванных задач достигается путем;

    • регламентация действий пользователей работы с информационной системой;

    • регламентация действий пользователей работы с базой данных;

    • единые требования к надежности технических средств и программного обеспечения;

    • процедуры контроля работы информационной системы (протоколирование событий, анализ протоколов, анализ сетевого трафика, анализ работы технических средств);

    Политика информационной безопасности включает в себя:

    • основной документ – «Политика безопасности». В нем в целом описана политика безопасности организации, общие положения, а так же по всем аспектам политики указаны соответствующие документы;

    • инструкция по регламентации работы пользователей;

    • должостная инструкция администратора локальной сети;

    • должостная инструкция администратора базы данных;

    • инструкция по работе с ресурсами Интернет;

    • инструкция по организации парольной защиты;

    • инструкция по организации антивирусной защиты.

    Документ «Политика безопасности» содержит основные положения. На основе него строится программа обеспечения информационной безопасности, строятся должностные инструкции и рекомендации.

    Инструкция по регламентации работы пользователей локальной сети организации регулирует порядок допуска пользователей к работе в локальной вычислительной сети организации, а также правила обращения с защищаемой информацией, обрабатываемой, хранимой и передаваемой в организации.

    Должностная инструкция администратора локальной сети описывает обязанности администратора локальной сети касаемые обеспечения информационной безопасности.

    Должностная инструкция администратора базы данных определяет основные обязанности, функции и права администратора базы данных. В ней очень подробно описаны все должностные обязанности и функции администратора базы данных, а так же права и ответственность.

    Инструкция по работе с ресурсами интернет отражает основные правила безопасной работы с сетью интернет, так же содержит перечень допустимых и недопустимых действий при работе с ресурсами интернет.

    Инструкция по организации антивирусной защиты определяет основные положения, требования к организации антивирусной защиты информационной системы организации, все аспекты связанные с работой антивирусного программного обеспечения, а так же ответственность в случае нарушения антивирусной защиты.

    Инструкция по организации парольной защиты регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей). А так же регламентированы действия пользователей и обслуживающего персонала при работе с системой.

    Таким образом, основой для организации процесса защиты информации является политика безопасности, формулируемая для того, чтобы определить, от каких угроз и каким образом защищается информация в информационной системе.

    Под политикой безопасности понимается набор правовых, организационных и технических мер по защите информации, принятый в конкретной организации. То есть, политика безопасности заключает в себе множество условий, при которых пользователи получают доступ к ресурсам системы без потери свойства информационной безопасности этой системы.

    1   2   3   4   5   6   7   8   9

    написать администратору сайта