Построение концепции информационной безопасности рекламного агентства. Практическая работа Козина Никиты И191. Практическая работа 1. Построение концепции информационной безопасности рекламного агентства

Название	Практическая работа 1. Построение концепции информационной безопасности рекламного агентства
Анкор	Построение концепции информационной безопасности рекламного агентства
Дата	16.12.2021
Размер	42.6 Kb.
Формат файла
Имя файла	Практическая работа Козина Никиты И191.docx
Тип	Практическая работа #305991

Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Амурский государственный университет»

(ФГБОУ ВО «АмГУ»)
Факультет среднего профессионального образования

Специальность 10.02.04 Обеспечение информационной безопасности телекоммуникационных систем
Практическая работа №1.

«Построение концепции информационной безопасности рекламного агентства».

Студента группы: И191 _______________________ Козина Н.В.

^{(подпись, дата)}
Преподаватель ______________________________ Самохвалова С.Г.

^{(подпись, дата)}

Благовещенск 2020

Содержание

1. Цель работы:

Знакомство с основными принципами построения концепции ИБ предприятия, с учетом особенностей его информационной инфраструктуры.

2. Краткие теоретические сведения. До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 17799) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов – Концепции и Политики информационной безопасности. Если Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК, какими средствами и способами они должны быть реализованы.

Концепция информационной безопасности используется для:

 принятия обоснованных управленческих решений по разработке мер защиты информации;

 выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и предотвращению последствий их реализации;  координации деятельности подразделений по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;

 и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.

1.Общие положения

В настоящем документе изложены цели и задачи обеспечения ИБ, а также основные принципы и способы достижения требуемого уровня безопасности информации в Учреждении. Политика информационной безопасности (далее - Политика ИБ) предназначена для специалистов по обеспечению безопасности информации, руководителей, организующих и проводящих работы по обработке подлежащей защите информации в Учреждении. Положения настоящей Политики ИБ должны быть учтены при разработке политик информационной безопасности Участников.

1.2. Цели системы информационной безопасности

Цель Политики ИБ: обеспечение конфиденциальности, целостности и доступности информации, обрабатываемой в ИС Учреждения

- конфиденциальность информации: обработка, хранение и передача информации осуществляется только авторизованными пользователями, которые обязаны не передавать информацию, полученную в результате осуществления должностных обязанностей, третьим лицам без согласия ее обладателя;

- целостность информации: — это состояние информации, при котором отсутствует любое ее изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

- доступность информации: доступ в установленном порядке к информации авторизованных пользователей по мере необходимости.

Разработка и реализация Политики ИБ в Учреждении осуществляется ответственным лицом по ИБ - Оператора путем выработки позиции при решении вопросов ИБ.

Руководители структурных подразделений Оператора и Участников должны обеспечить регулярный контроль за соблюдением положений Политики ИБ.

1.3. Задачи системы информационной безопасности.

Основными условиями обеспечения ИБ в Учреждении являются:

1. Информация, обрабатываемая в рамках Учреждения, должна быть категорирована, т.е. должен быть составлен перечень ИС Учреждения, в котором должны быть выделены данные (или их группы), содержащие информацию ограниченного доступа.

2. Безопасность информации, отнесенной к информации ограниченного доступа, обеспечивается в соответствии с требованиями законодательства Российской Федерации.

3. Внутренние документы, определяющие порядок обращения с информацией ограниченного доступа, должны быть разработаны и введены в действие в установленном порядке и содержать способы и методы достижения ИБ.

4. Для обработки информации ограниченного доступа в рамках Учреждения определяется перечень должностей, которым разрешен доступ к такой информации в объеме, необходимом для исполнения должностных обязанностей.

5. Все используемые в Учреждении ИС, в которых обрабатывается информация ограниченного доступа, должны быть классифицированы, а документы систематизированы и учтены. Для каждой категории информации должен быть определен порядок использования, хранения, передачи, архивации и уничтожения, при котором любой документ можно быстро найти и проконтролировать его использование.

6. Решения, принятые Участниками в отношении ИС, входящих в Учреждении, должны быть задокументированы, при этом должна обеспечиваться:

текущая диагностика сети, вычислительной среды и состояния ресурсов ИС;
подотчетность и индивидуальная ответственность действий авторизованных пользователей, осуществляющих доступ;
поддержание соответствующего уровня защиты информации в зависимости от категории и области использования информации в Учреждении;
контроль и своевременное выявление попыток НСД к защищаемой информации и базам данных Учреждения.

7. Участники должны обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях Участники должны иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности систем, поддерживаемых внешним поставщиком (провайдером) услуг. Участники определяют порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.

8. Все работники, допущенные к обработке информации ограниченного доступа в рамках Учреждения, должны быть ознакомлены под подпись с правилами работы с такой информацией в Учреждении.

9. Участники должны осуществлять мониторинг законодательства Российской Федерации в области защиты информации и принимать меры к совершенствованию способов и средств защиты информации

2. Проблемная ситуация в сфере информационной безопасности

Проблемы информационной безопасности постоянно усугубляется процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем. Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, программное обеспечение и базы данных, для которых технические средства являются окружением

2.1. Объекты информационной безопасности.

Основными объектами защиты системы обеспечения ИБ являются:

информация, содержащая коммерческую тайну, банковскую тайну другая информация ограниченного доступа;

информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации.

2.2. Определение вероятного нарушителя.

По признаку принадлежности к ИС все нарушители делятся на две группы:

− внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИС;

− внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИС.

2.3. Описание особенностей (профиля) каждой из групп вероятных нарушителей.

Внешний нарушитель

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИС, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Внутренний нарушитель

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированных действий.

2.4. Основные виды угроз информационной безопасности Предприятия.

1) обслуживающий персонал ЛПУ (охрана, работники инженерно– технических служб и т.д.);

2) лица, обладающие возможностью доступа к системе передачи данных;

3) пользователи, являющиеся внешними по отношению к конкретной АС.

4)клиенты

Основные непреднамеренные искусственные угрозы.

1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

2) неправомерное отключение оборудования или изменение режимов работы устройств и программ;

3) неумышленная порча носителей информации;

4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

Основные преднамеренные искусственные угрозы.

1) физическое воздействие на систему или отдельные ее компоненты (устройства, носители, люди), приводящее к выходу из строя, разрушению, нарушению нормального функционирования;

2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);

3) действия по нарушению нормальной работы системы (изменение режимов работы устройств или программ, создание активных радиопомех на частотах работы устройств системы и т.п.);

4) подкуп, шантаж и другие пути воздействия на персонал или отдельных пользователей, имеющих определенные полномочия;

5) применение подслушивающих устройств, дистанционная фото- и видео-съемка, и т.п.;

2.5. Общестатистическая информация по искусственным нарушениям информационной безопасности

Согласно докладу о глобальных рисках Всемирного экономического форума 2019 года, мошенничество с данными и кибератаки являются четвертым и пятым глобальными рисками, с которыми сталкивается каждая организация. По своей значимости эти риски приравниваются к экологическим проблемам.

В официальном ежегодном отчете о киберпреступности (ACR) за 2019 год, опубликованном Cybersecurity Ventures, сообщается, что атаки хакеров во всём мире происходят каждые 14 секунд, а к 2021 году их частота возрастёт до каждой 11 секунды. Специалисты компании InfoWatch в конце года рассказали Известиям, что за прошлый год в сеть утекло более 14 млрд. конфиденциальных записей. Рост числа утечек во всём мире по сравнению с 2018 годом увеличился на 10%, в России – более чем на 40%. Согласно последнему отчёту DLA Piper о статистике GDPR (Общий регламент защиты персональных данных ЕС), Нидерланды, Германия и Великобритания занимают первые три строчки по количеству уведомлений о нарушениях данных, о которых было сообщено регулятору.

2.6. Оценка потенциального ущерба от реализации угрозы .

1.1. Настоящая Методика оценки угроз безопасности информации разработана в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

1.2. Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее - системы и сети), а также по разработке моделей угроз безопасности информации систем и сетей.

1.3. Методика применяется для определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях, отнесенных к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

В иных случаях решение о применении настоящей Методики принимается обладателями информации или операторами систем и сетей

3. Механизмы обеспечения информационной безопасности рекламного агентства

Методами обеспечения защиты информации являются следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение.

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).

Управление доступом — метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации (фирмы). Управление доступом включает следующие функции защиты:

· идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

· аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

· проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

· разрешение и создание условий работы в пределах установленного регламента;

· регистрацию (протоколирование) обращений к защищаемым ресурсам;

· реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

3.1. Принципы, условия и требования к организации и функционированию системы информационной безопасности

Общепринятым методом войти в систему во время атаки на информационные ресурсы является вход при помощи официального логин-запроса. Технические средства, позволяющие выполнить вход в нужную систему, – логин и пароль.

При авторизации стоит придерживаться нескольких общих требований:

1. Обеспечение высокого уровня безопасности. Терминал (точка входа активного пользователя в информационную систему), не имеющий специальной защиты, используется исключительно на том предприятии, где доступ к нему получают работники с наивысшим квалификационным уровнем. Терминал, который установлен в публичном общественном месте, должен всегда иметь уникальный логин и пароль сложного уровня. Это необходимо для того, чтобы обеспечить полноценную информационную безопасность.

2. Наличие систем контроля за общим доступом в помещение, где установлено оборудование, на котором хранится информация предприятия, в архивные помещения и другие места, которые являются уязвимыми с точки зрения информационной безопасности.

Если используются удаленные терминалы, в компании должны соблюдаться такие основные требования:

· Все удаленные терминалы обязаны посылать запрос на ввод логина и пароля. Доступ без ввода пароля должен быть запрещен.

· Если есть возможность, то в качестве обеспечения информационной защиты надо применить схему так называемого возвратного звонка от модема. Только она, используя уровень надежности автоматической телефонной станции, дает подтверждение, что удаленные пользователи получили доступ с конкретного номера телефона

3.2. Основные направления политики в сфере информационной безопасности.

1.1.      Настоящая политика разработана в соответствии с законодательством Российской Федерации в области безопасности персональных данных, информационной безопасности и защиты информации, нормативных актов федеральных и региональных органов исполнительной власти, уполномоченных в области обеспечения физической и технической защиты информации.

1.2.      Настоящая политика является документом, доступным любому сотруднику ГБУЗ «Городская поликлиника №2» (далее – Учреждение) и пользователю его ресурсов.

1.3.      Требования настоящей политики распространяются на всех сотрудников Учреждения (штатных, временных, работающих по контракту, и др.), а также всех прочих лиц (подрядчиков, аудиторов и т.п.)

1.4.      Настоящая политика устанавливает цели, задачи и подходы в области информационной безопасности, которыми Учреждение руководствуется в своей деятельности.

1.5.      Под информационной безопасностью понимается обеспечение конфиденциальности, целостности и доступности информационных активов Учреждения.

1.6.      Необходимые требования обеспечения информационной безопасности Учреждения должны неукоснительно соблюдаться сотрудниками Учреждения и другими сторонами как это определяется положениями внутренних нормативных документов Учреждения, а также требованиями договоров и соглашений, стороной которых является Учреждение.

1.7.      Настоящая политика направлена на достижение следующих целей:

· Обеспечение непрерывности основных бизнес-процессов Учреждения;

· Минимизация возможных потерь и ущерба от нарушений в области информационной безопасности.

3.3. Планирование мероприятий по обеспечению информационной безопасности Предприятия

Построение системы защиты может выполняться в несколько этапов:

собираются сведения о существующих информационных системах персональных сведений;
моделируются угрозы безопасности;
разрабатываются технические задания;
проектируется система защиты информации;
разрабатывается организационно-распорядительная документация, которая регламентирует процессы обработки и защиты сведений;
поставляются, устанавливаются и настраиваются средства защиты информации;
проводится аттестация информационных систем сведений, согласно требованиям безопасности.

3.4. Критерии и показатели информационной безопасности рекламного агентства

конфиденциальность — доступность информации только определённому кругу лиц;

целостность — гарантия существования информации в исходном виде;

доступность — возможность получения информации авторизованным пользователем в нужное для него время.

Выделяют и другие категории модели безопасности:

аутентичность — возможность установления автора информации;

апеллируемость — возможность доказать, что автором является именно заявленный человек, и никто другой.

4. Мероприятия по реализации мер информационной безопасности рекламного агентства.

В концепции обеспечения информационной безопасности предприятия определяются:

информационные массивы компании, подлежащие защите, основания защиты (установленные законом или коммерческие). Описываются программные средства, физические и электронные носители информации, определяется их ценность для компании, критичность изменения или утраты. Этот раздел готовится в тесном взаимодействии со всеми подразделениями компании. Система оценки информации должна предполагать и установку уровня доступа сотрудников к ресурсам;
основные принципы защиты информации. Обычно к ним относятся конфиденциальность, коммерческая целесообразность, соответствие требованиям законодательства. Стратегия обеспечения информационной безопасности компании целиком и полностью строится на этих принципах. Кроме того, необходимо определить политики и правила, основываясь на которых выстраивается информационная система компании и общая система защиты информации;

модель угроз информационной безопасности, релевантная для компании в целом и ее отдельных бизнес-единиц, а также модель гипотетического нарушителя. Им может оказаться конкурент, хакер, но чаще всего инсайдер. Центробанк РФ в своих стандартах, предлагающих рекомендации по обеспечению информационной безопасности, считает именно инсайдера основным источником рисков;
требования к безопасности информационной системы и ее отдельных элементов, составленные на основе анализа бизнес-процессов, архитектуры системы и подготовленной модели рисков;
методы и средства защиты информации

Основные меры безопасности. К наиболее важным мерам обеспечения информационной безопасности также принято относить: криптографическая защита; выявление кибератак и формирование нескольких уровней защиты от них; разграничение доступа к системам с защищаемой информацией; использования для защиты инфосистемы межсетевых экранов; использование лицензионного антивирусного ПО; резервное копирование информации и приложения; обеспечение защиты от утечек информации; протоколирование, аудит; защита данных, которые передаются по проводным и беспроводным сетям.

4.1 Организационное обеспечение информационной безопасности

Задачи обеспечения информационной безопасности. Выявление и нейтрализация угроз структуре, свойствам и возможностям информационных объектов и процессов, ФОРМИРОВАНИЕ (ПОДДЕРЖАНИЕ) и восстановление их функций получения, ОБРАБОТКИ, АНАЛИЗА, ХРАНЕНИЯ, передачи информации и тенденций к совершенствованию.

Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования. На это подразделение целесообразно возложить решение следующих основных задач:

1. определение требований к системе защиты информации, ее носителей и процессов обработки, разработка политики безопасности;

2. организация мероприятий по реализации принятой политики безопасности, оказание методической помощи и координация работ по созданию и развитию комплексной системы защиты;

3. контроль за соблюдением установленных правил безопасной работы в АС, оценка эффективности и достаточности принятых мер и применяемых средств защиты.

Высокий уровень взаимодействия между подразделениями возможен лишь при наличии общего регламента их действий, четко закрепленного в системе локальных нормативных актов организации. Основными документами, входящими в эту систему, являются:

1. Положение о системе безопасности (концепция собственной безопасности);

2. Положение о контрольно-пропускном режиме;

3. Положение о коммерческой тайне;

4. Положение о проведении служебных расследований.

Кроме того, отдельные положения, регламентирующие действия по обеспечению безопасности, содержатся практически во всех локальных нормативных актах организации, в частности, правилах внутреннего трудового распорядка, положениях о структурных подразделениях и многих других.

4.2 Техническое обеспечение информационной безопасности рекламного агенства

Техническое обеспечение ИБ включает технологии, механизмы и средства, позволяющие реализовать заданный уровень информационной безопасности каждой конкретной сети, информационной системы, ресурса, автоматизированного рабочего места компонентов информационной инфраструктуры путем выполнения комплекса организационно-технических мероприятий.

Методами и способами защиты информации от несанкционированного доступа являются:

- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также, хранятся носители информации;

- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

- резервирование технических средств, дублирование массивов и носителей информации;

- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

- использование защищенных каналов связи;

- размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Средства комплексной защиты от потенциальных угроз.

На практике обеспечение информационной безопасности фирмы осуществляется с помощью следующих средств:

моральных;
правовых;
организационных;
физических;
аппаратных;
программных;
технических;
криптографических.

Моральные средства защиты

Под моральными средствами подразумевают нормы поведения и правила работы с информационными активами, сложившиеся по мере распространения и внедрения электронной техники в различных отраслях государства и общества в целом. По факту это необязательные требования в отличие от законодательно утвержденных. Однако их нарушение приведет к потере репутации человека и организации.

К морально-этическим средствам защиты информации в первую очередь стоит отнести честность и порядочность сотрудников. В каждой организации есть свой свод правил и предписаний, направленный на создание здорового морального климата в коллективе. Механизмом обеспечения безопасности служит внутренний документ компании, учитывающий особенности деловых процессов и информационной структуры, а также устройство IT-системы.

Правовые средства защиты

Они основываются на действующих в Российской Федерации законах, решениях и нормативных актах, устанавливающих правила обработки персональных данных, гарантирующих права и обязанности участникам при работе с информационными ресурсами в период их обработки и использования, а также возлагающих ответственность за нарушение этих постановлений, тем самым устраняя угрозу несогласованного использования конфиденциальной информации. Такие правовые методики используются в качестве профилактических и предупреждающих действий. В основном это организованные пояснительные беседы с персоналом предприятия, пользующимся корпоративными электронными устройствами.

Организационные средства

Это часть администрирования организации. Они регулируют функционирование системы обработки информации, работу штата организации и процесс взаимодействия работников с системой так, чтобы в большей степени устранить или предупредить угрозу информационной атаки либо уменьшить потери в случае их возникновения. Основной целью организационных мер является формирование внутренней политики в области сохранения в секрете конфиденциальных данных, включающей использование необходимых ресурсов и контроль за ними.

Внедрение политики конфиденциальности включает реализацию средств контроля и технических устройств, а также подбор персонала службы внутренней безопасности. Возможны изменения в устройстве IT-системы, поэтому в реализации политики конфиденциальности должны участвовать системные администраторы и программисты. Персонал должен знать, почему проблемы сохранения коммерческой тайны столь важны. Все работники предприятия должны пройти обучение правилам работы с конфиденциальной информацией.

Физические средства защиты

Это различные типы механических и электронно-механических устройств для создания физических препятствий при попытках нарушителей воздействовать на компоненты автоматизированной системы защиты информации. Это также технические устройства охранной сигнализации, связи и внешнего наблюдения. Средства физической безопасности направлены на защиту от стихийных бедствий, пандемий, военных действий и других внезапных происшествий.

Аппаратные средства защиты

Это электронные устройства, интегрированные в блоки автоматизированной системы или спроектированных как независимые устройства, контактирующие с этими блоками. Их задачей является внутренняя защита структурных компонентов ИТ-систем – процессоров, терминалов обслуживания, второстепенных устройств. Реализуется это с помощью метода управления доступом к ресурсам (идентификация, аутентификация, проверка полномочий субъектов системы, регистрация).

Программные методы защиты

Обеспечение сетевой безопасности осуществляется за счет специальных программ, которые защищают информационные ресурсы от несанкционированных действий. Благодаря универсальности, простоте пользования, способности к модифицированию программные способы защиты конфиденциальных данных являются наиболее популярными. Но это делает их уязвимыми элементами информационной системы предприятия. Сегодня создано большое количество антивирусных программ, брандмауэров, средств защиты от атак.

Наиболее распространенные антивирусные ПО, брандмауэры и средства обнаружения атак на современном рынке представлены следующими продуктами:

Антивирусное ПО, направленное на обнаружения вирусных атак. Самые известные – Network Associates, Symantec, TrendMicro.
Межсетевые экраны (брандмауэры), контролирующие весь трафик локальной сети и выполняющие роль фильтра или прокси-сервера. Используют стандарты ITSEC (Information Technology Security Evaluation and Certification Scheme) и IASC (Information Assurance and Certification Services). Одними из популярных представителей на рынке являются Checkpoint Software, Cisco Systems, Microsoft, Net Screen Technologies и Symantec Corporation.
Средства обнаружения атак. Лидеры рынка – это Symantec и Entercept Security Technology.

Путем использования перечисленных категорий программ, подходящим к используемым на предприятии информационным системам, создается комплексное обеспечение сетевой безопасности.

Обеспечение качества в системе безопасности.

Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно- технических и методических документов по безопасности, утвержденных федеральными органами государственного управления в соответствии с их компетенцией и определяющие нормы защищенности информации и требования в различных направлениях защиты информации

Принципы организации работ обслуживающего персонала.

Работники предприятия или персонал является одним из потенциально возможных источников утечки конфиденциальной информации и как следствие финансовых потерь предприятия. Как правило, персонал содержит сведения о:
- всех без исключения работниках данного предприятия, его персонале;
- работниках других организаций, фирм - посредников, изготовителей комплектующих деталей, торговых фирм, рекламных агентств и т. п.;
- сотрудниках государственных учреждений, к которым организация обращается в соответствии с законом, — налоговых, муниципальных правоохранительных органов и т. д.;
- представителях средств массовой информации, сотрудничающих с организацией;
- посетителях фирмы, работниках коммунальных служб, почтовых служащих, работниках служб экстремальной помощи и т.д.;
- посторонних лицах, работающих или проживающих рядом со зданием или помещениями организации;
- родственниках, знакомых и друзьях всех указанных выше лиц.
Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Но наиболее осведомлены в конфиденциальной информации: первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации

4.3. Правовое обеспечение информационной безопасности рекламного агентства

Правовое обеспечение рассматривается как приоритетное направление формирования механизмов реализации политики обеспечения информационной безопасности в РФ и включает в себя:

1) нормотворческую деятельность по созданию законодательства, регулирующего отношения в обществе, связанные с обеспечением информационной безопасности;

2) исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации и защиты информации органами государственной власти и управления, организациями (юридическими лицами), гражданами.

Нормотворческая деятельность в области обеспечения информационной безопасности предусматривает:

- оценку состояния действующего законодательства и разработку программы его совершенствования;

- создание организационно-правовых механизмов обеспечения информационной безопасности;

- формирование правового статуса всех субъектов в системе информационной безопасности, пользователей информационных и телекоммуникационных систем и определение их ответственности за обеспечение информационной безопасности;

- разработку организационно-правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учётом всех видов (категорий) информации;

- разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействия угроз, восстановления нарушенного права и ресурсов, реализации компенсационных мер.

Исполнительная и правоприменительная деятельность предусматривает разработку процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с закрытой информацией и нарушившим регламент информационных взаимодействий, а также правонарушения с использованием незащищенных средств информатизации, разработку составов правонарушений с учётом специфики уголовной, гражданской, административной, дисциплинарной ответственности.

Вся деятельность по правовому обеспечению информационной безопасности должна строиться на основе трех фундаментальных положений права: соблюдение законности, обеспечение баланса интересов отдельных субъектов и государства, неотвратимость наказания.

Соблюдение законности предполагает наличие законов и иных нормативных установлений, их применение и исполнение субъектами права в области информационной безопасности.

Реализация механизмов правового обеспечения информационной безопасности должна опираться на информатизацию правовой сферы в целом.

4.4. Оценивание эффективности системы информационной безопасности рекламного агентства.

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

5. Программа создания системы информационной безопасности рекламного агентства.

В России существует тенденция по переманиванию ведущих специалистов по кибербезопасности из компаний, специализирующихся на борьбе с кибер угрозами, в крупные российские корпорации с целью выстраивания собственной модели ИБ, избегая рисков утечки данных, ожидаемых при работе с подрядчиками. О существовании таких рисков информационной безопасности банки предупреждает ЦБ РФ, издав специальный стандарт по правилам работы с аутсорсерами, будут они актуальны и для предприятия.

С точки зрения выбора программных средств для защиты информационной безопасности государственная политика поддержки национального производителя побуждает российские корпорации с госучастием или активно работающих с госконтрактами переходить на российское ПО. Небольшой бизнес предпочитает его по причинам доступности в цене, более высокой надежности, обеспечения информационной безопасности в узких секторах ИС.

Минусом политики импортозамещения является отсутствие единой российской операционной системы. Более 20 существующих продуктов решают тактические, а не стратегические задачи, и компаниям приходится мириться с уязвимостями в Windows и Linux. О том, что они хорошо известны кибермошенникам, свидетельствует эпидемия вируса WannaCry, шифровальщика, остановившего заводы и больницы по всему миру и нанесшего ущерб, оцениваемый в десятки миллиардов долларов.

Проект «Цифровая экономика» предусматривает создание единой российской национальной ОС IoT к 2020 году, ее предполагается использовать для Интернета вещей и промышленного Интернета, она должна обеспечить информационную безопасность АСУ и «умных домов», исключить риски проникновения в сеть хакеров и использования домашних кофеварок в качестве ботов. В итоге на рынок должна выйти «отечественная свободная ОС для использования во всех видах киберфизических систем, превосходящая зарубежные ОС по ключевым параметрам быстродействия, безопасности и отказоустойчивости». Помимо кейсов внедрения общей системы ИБ интересно рассмотреть новые технические решения, способные повысить степень защиты от утечек. На рынке есть программные средства для перехвата телефонных разговоров сотрудников.

Этот программный модуль встраивается в систему IP-телефонии офиса и работает по следующим принципам:

перехвату подлежат разговоры по номерам телефонов, заранее внесенным в базу работодателем;
перехват осуществляется по признаку наличия ключевых слов, при их выявлении аудиоинформация целиком преобразовывается в текстовую и передается службе безопасности.

Это решение позволяет расширить количество каналов, по которым блокируются утечки. В качестве примера информационной безопасности предприятия оно иллюстрирует повышенное внимание, которое уделяется компаниями общению сотрудников с возможными конкурентами, например, с целью передачи клиентской базы данных.