Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Введение
1. Аналитическая часть
1.1.1 Общая характеристика предметной области
1.1.2 Организационно-функциональная структура предприятия
1.2 Анализ рисков информационной безопасности
1.2.2 Оценка уязвимостей активов
1.2.3 Оценка угроз активам
2. Проектная часть
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия
Введение
С информационной безопасностью связан целый пласт вопросов, которые на наших глазах уже несколько лет плавно переходят из области, специфичной для ИТ-рынка, в общечеловеческую и даже цивилизационную. Упрощенно можно сказать, что у ИБ есть три основные задачи: обеспечить целостность данных (не модифицируемость), их конфиденциальность (нераскрываемость) и доступность. Будут ли решены все проблемы ИБ, если выполнить эти три задачи? Увы, нет. Есть извечная проблема нахождения компромисса между удобством использования и безопасностью. Есть вопросы законодательства, связанные с необходимостью и легитимностью использования тех или иных средств защиты. Есть вопросы управляемости ИБ на средних и крупных предприятиях, где «простое» использование современных средств защиты не приносит качественных изменений, пока не будет продумана политика ИБ и построена комплексная система управления ею. Есть, в конце концов, первопричина всех проблем -- люди, их осведомленность о необходимости соблюдать определенные правила информационного взаимодействия.
Цель данной преддипломной практики заключается в изучении аспектов защиты информации на предприятии ООО «FACILICOM».
Поставленная цель предопределила постановку и решение ряда взаимосвязанных задач:
· изучение предметной области и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации на примере организации ООО «FACILICOM»
· разработку постановки задачи на автоматизирование защиты персональных данных и коммерческой информации, а так же анализ рисков на предприятии ООО «FACILICOM»
· обоснование выбора основных проектных решений;
· разработку автоматизации обеспечивающих подсистем для защиты и шифрования данных;
· обоснование экономической эффективности проекта.
Данная дипломная работа состоит из трех частей.
В первой части отражена аналитическая часть проекта, в которой представлены технико-экономическая характеристика ООО «FACILICOM» и существующего на предприятии процесс анализа рисков и защиты персональных данных и коммерческой информации; характеристика комплекса задач, требующих решения, и обоснование необходимости автоматизации описанного процесса в ООО «FACILICOM»; анализ существующих разработок, обоснование проектных решений и выбор стратегии анализа рисков ООО «FACILICOM» и защите информации.
Вторая часть работы содержит непосредственно проектную часть, которая состоит из разработки проекта автоматизации защиты информации и анализ рисков ООО «Фасиликом», информационного и программного обеспечения автоматизации описанного процесса, а также описания контрольного примера реализации проекта.
И, наконец, третья часть дипломной работы представляет собой обоснование экономической эффективности проекта, где описываются выбор методик расчёта, а также представляется математический расчёт показателей экономической эффективности защиты информации и анализ рисков ООО «FACILICOM».
1. Аналитическая часть
1.1 Технико-экономическая характеристика предметной области и предприятия(Установление границ рассмотрения)
1.1.1 Общая характеристика предметной области
Группа Компаний FACILICOM - работает на российском рынке с 1994 года. За 20 лет деятельности заняли лидирующие позиции в сфере предоставления профессиональных услуг по управлению и обслуживанию различных объектов недвижимости. Под управлением находится более 30 млн. м2. Обслуживаемые объекты располагаются более чем в 300 населенных пунктах в различных регионах России, а также крупных городах Белоруссии и Украины. Широкая география охвата вместе с большим опытом, современной техническо-ресурсной базой и большим количеством собственных наработок позволяют FACILICOM принимать на управление объекты с любым расположением и масштабом.
Основой нашей работы является сервисный подход: выстраивание долгосрочных партнерских взаимоотношений с клиентом, сопровождение и решение всех задач, возникающих на протяжении всего жизненного цикла сотрудничества. Это подход, которого клиенты сегодня ожидают от лидеров рынка, и у нас есть все возможности для соответствия этим ожиданиям.
"Ценность, которую мы предоставляем нашим клиентам - возможность сфокусироваться на основной бизнес-задаче, не тратя ресурсы на вспомогательные процессы"
Широкий спектр услуг компании позволяет нам предоставлять необходимые сервисы компаниям любого масштаба: от стартапов, среднего и малого бизнеса до структур федерального масштаба. Клиентами "FACILICOM" являются компании из различных отраслей и сфер экономики, в числе которых:
· Государственный сектор
· Телекоммуникационные компании
· Финансовый сектор
· Производство
· Транспорт и логистика
Так же «Альфа-Банк», доверивший Компании недвижимость своей федеральной сети, расположенную в более чем 75 регионах.
В компании работают более 350 инженеров, 300 консультантов, 200 аналитиков. Высокую квалификацию специалистов подтверждают более 1400 сертификатов, в том числе - уникальных для России. Мы выполняем проекты любого масштаба в области недвижимости.
Компания FACILICOM предлагает различные схемы обслуживания объектов, что позволяющая каждому Клиенту подбирать оптимальный вариант сотрудничества, максимально соответствующий его текущим потребностям и возможностям. Все работы выполняются преимущественно силами подразделений нашей Компании, что обеспечивает высокое качество услуг и соблюдение единых стандартов на всех объектах, независимо от их локализации.
Система автоматизированного контроля и постоянное внедрение инновационных решений позволяют компании FACILICOM добиваться лучшего результата, соответствующего международным стандартам. Созданное собственными силами программное обеспечение FACILICOM-24 гарантирует прозрачность и удобство взаимодействия Клиента со службами компании.
Также заказчику предоставляются прекрасные возможности для контроля затрат и оптимизации расходов при сохранении высокого качества обслуживания, большого выбора услуг и индивидуального подхода при решении различных вопросов.
1.1.2 Организационно-функциональная структура предприятия
Организационная структура управления ООО «FACILICOM» представлена на рис. 1.
Под организационной структурой предприятия понимаются состав, соподчиненность, взаимодействие и распределение работ по подразделениям и органам управления, между которыми устанавливаются определенные отношения по поводу реализации властных полномочий, потоков команд и информации.
Различают несколько типов организационных структур: линейные, функциональные, линейно-функциональные, дивизиональные, адаптивные.
Организационная структура фирмы соответствует линейному типу.
Линейная структура характеризуется тем, что во главе каждого подразделения стоит руководитель, сосредоточивший в своих руках все функции управления и осуществляющий единоличное руководство подчиненными ему работниками. Его решения, передаваемые по цепочке "сверху вниз", обязательны для выполнения нижестоящими звеньями. Он, в свою очередь, подчинен вышестоящему руководителю.
Размещено на http://www.allbest.ru/
Рис. 1 Организационная структура управления ООО «FACILICOM»
Организационная структура, построенная в соответствии с этими принципами, получила название иерархической или бюрократической структуры.
Отдел бухгалтерии: расчёт зарплат, различных выплат, свод баланса, контроль соответствия деятельности утверждённым нормам, нормативам и сметам.
Коммерческий отдел: поиск и взаимодействие с клиентами, участие в тендерах, составление и подписание договоров, технических заданий, встречи с поставщиками, закупка оборудования;
Отдел информационных технологий: поддержка IT инфраструктуры компании, сопровождение программного обеспечения, мелкий ремонт ПК и периферии, закупка техники для офиса и удаленных объектов.
Функции отдела информационных технологий и ПО:
· Конфигурация операционных систем на серверах, а также поддерживание рабочего состояния программного обеспечения серверов.
· Контроль установки программного обеспечения на серверы и рабочие станции.
· Обеспечение интегрирования программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях.
· Осуществление планирования информационных ресурсов и контроль использования сетевых ресурсов.
· Контроль обмена информацией локальной сети с внешними организациями по телекоммуникационным каналам. Обеспичение доступа пользователей системы к локальной (INTRANET) и глобальной (INTERNET) сетям.
· Обеспечение бесперебойного функционирования системы и принятие оперативных мер по устранению возникающих в процессе работы нарушений. Устранение нарушения работы сервисов.
· Регистрация пользователей, назначение идентификаторов и паролей.
· Установление ограничений для пользователей по:
o а) использованию рабочей станции или сервера;
o б) времени;
o в) степени использования ресурсов.
· Выявление ошибок пользователей и сетевого программного обеспечения и восстановление работоспособность системы.
· Обучение пользователей работе в информационной системе предприятия.
· Обеспечение безопасность работы в системе:
· Принимать меры для сетевой безопасности (защита от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных), а также безопасности межсетевого взаимодействия.
· Производить своевременное копирование и резервирование данных.
· Выполнять регулярную проверку на наличие компьютерных вирусов в системе.
· Участвовать в решении задач технического обслуживания при выявлении неисправностей сетевого оборудования, а также в восстановлении работоспособности системы при сбоях и выходе из строя сетевого оборудования.
· Осуществлять контроль монтажа сетевого оборудования специалистами сторонних организаций.
· Осуществлять мониторинг компьютерной сети, разрабатывает предложения по развитию инфраструктуры сети.
· Осуществлять контроль соблюдения порядка работы в информационной сети и стандартов в области информационных технологий.
· Организовывать и устанавливать новые или оптимизировать рабочие места пользователей.
Таким образом, в настоящее время обеспечение информационной безопасности предприятия является функцией IT-отдела.
1.2 Анализ рисков информационной безопасности
Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.
Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого -- распределение факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.
В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.
Качественный анализ
Существует несколько моделей качественного анализа. Все они достаточно просты. Варианты различаются лишь количеством градаций риска. Одна из самых распространенных моделей -- трехступенчатая. Каждый фактор оценивается по шкале “низкий -- средний -- высокий”.
Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности.
При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения -- отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные “ошибки”, поскольку является саморегулирующимся. Не критично, если первоначально риск необоснованно отнесли к четвертой категорию вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно. И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом.
Количественный анализ
Количественный метод требует значительно больше времени, так как каждому фактору риска присваивается конкретное значение. Результаты количественного анализа могут быть более полезны для бизнес-планирования. Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий. Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно.
Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.
Перечисленные факторы говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.
Главной целью деятельности в области информационной безопасности является обеспечение доступности, целостности и конфиденциальности каждого информационного актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям. Необходимым и существенным этапом в анализе рисков является оценка уязвимостей активов, которая и была проведена в данной дипломной работе. Решение о проведении оценки уязвимостей принимает ответственный за информационную безопасность ООО «Facilicom» начальник отдела информационных технологий и ПО.
Оценка уязвимостей активов в компании, как правило, проводится совместно с анализом рисков ИБ, т.е. с периодичностью 2 раза в год. Отдельная оценка уязвимостей не проводится. Её проводят назначенные сотрудники по распоряжению начальника отдела информационных технологий и ПО. информационный безопасность актив фонд
Оценка уязвимостей активов представляется в форме электронного документа. Документ называется «Оценка уязвимостей информационных активов ООО «Facilicom» на момент 2005 года» с указанием времени проведения анализа.
1.2.1 Идентификация и оценка информационных активов
Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например, коммуникационное оборудование) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.
Может быть использована следующая классификация активов:
· Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, мосты, маршрутизаторы;
· Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы;
· Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, данные, передаваемые по коммуникационным линиям;
· Люди: пользователи, обслуживающий персонал.
Результаты оценки информационных активов сведены в таблицу 2.
Таблица Оценка информационных активов предприятия ООО «Facilicom»
|
Вид деятельности |
Наименование актива |
Форма представления |
Владелец актива |
Критерии определения стоимости |
Размерность оценки |
|
|
Качественная |
||||||
|
Информационные активы |
||||||
|
1. Коммерческая деятельность |
Электронная |
Коммерческий директор |
Ущерб от потери коммерческой информации |
очень высокая |
||
|
2. Все виды деятельности |
Сервер БД электронных писем |
Электронная |
Департамент ИТ |
очень высокая |
||
|
3. Основная деятельность |
Секретарь |
Первоначальная стоимость |
очень высокая |
|||
|
4. Работа с персоналом |
Договора, контракты |
Бумажный и электронный документ |
Отдел кадров |
Первоначальная стоимость |
||
|
5.Общее руководство администрацией и оперативно-хозяйственной деятельностью предприятия |
Приказы, распоряжения |
Бумажный и электронный документ |
Генеральный директор |
Первоначальная стоимость |
очень высокая |
|
|
6. Бухгалтерский учет |
База данных бухгалтерии |
1С предприятие |
Департамент бухучета и ценообразования |
Первоначальная стоимость |
Очень высокая |
|
|
Физические активы |
||||||
|
1.Все виды деятельности |
Электронная |
Департамент ИТ |
Ущерб от потери информации в электронной почте |
очень высокая |
||
|
2. Основная деятельность |
Здания сооружения, материалы |
Здания, сооружения, транспортные средства, материалы |
Департамент развития |
Основные средства |
||
|
3.Заключение договоров на оказание услуг |
Договора, контракты |
Бумажный и электронный документ |
Генеральный директор |
Конечная стоимость |
В таблице 3 представлены результаты ранжирования информационных активов ООО «Facilicom»
Таблица Результаты ранжирования активов ООО «Facilicom»
|
Наименование актива |
Ценность актива (ранг) |
|
|
Сервер БД с информацией о клиентах |
||
|
Сервер с базой электронных писем; |
||
|
База данных ДО |
||
|
Приказы, распоряжения Генерального директора |
||
|
База данных бухгалтерии |
||
|
Отчеты о деятельность подразделений |
||
|
Договора, контракты |
||
|
Работа с персоналом |
||
|
Здания сооружения, материалы |
Таким образом, активы, имеющие наибольшую ценность и подлежащие защите, следующие:
1. Сервер БД с информацией о клиентах и писем;
2. База данных ДО;
3. Приказы, распоряжения Генерального директора;
4. База данных бухгалтерии.
В дальнейшем именно для этих активов проводилась оценка уязвимостей, угроз и рисков информационной безопасности.
1.2.2 Оценка уязвимостей активов
Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь - это, определённо, уязвимость. Если он на самом деле сделает это - это эксплойт. Физическая безопасность - один из наиболее важных аспектов, которым нужно придавать значение. Поскольку если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, - они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах.
В качестве объектов защиты выступают следующие виды информационных ресурсов предприятия:
· информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи;
· информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.;
· конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.
Размещено на http://www.allbest.ru/
В таблице 4 представлено сопоставление физических угроз и уязвимости активов.
Таблица Сопоставление физических угроз и уязвимостей автоматизированной системы ООО «Facilicom»
|
УГРОЗЫ АРМ |
УЯЗВИМОСТИ АРМ |
|
|
1). Физический доступ нарушителя к АРМ |
1). Отсутствие системы контроля доступа сотрудников к чужим АРМ |
|
|
2). Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации |
1). Отсутствия соглашения о неразглашении между работником и работодателем |
|
|
2. УГРОЗЫ СЕРВЕРОВ |
2. УЯЗВИМОСТИ СЕРВЕРОВ |
|
|
2). Отсутствие видеонаблюдения в серверной комнате |
||
|
3). Отсутствие охранной сигнализации |
||
|
2). Разглашение конфиденциальной информации |
1). Отсутствие соглашения о нераспространении конфиденциальной информации |
|
|
2). Нечеткая регламентация ответственности сотрудников организации |
||
|
3. УГРОЗЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ |
3. УЯЗВИМОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ |
|
|
1). Физический доступ нарушителя к носителям с конфиденциальной информации |
1). Неорганизованность контрольно-пропускного пункта |
|
|
2). Отсутствие системы видеонаблюдения в организации |
||
|
3). Отсутствие системы охранной сигнализации |
||
|
2). Разглашение конфиденциальной информации, в документах, вынос носителей за пределы контролируемой зоны |
1). Отсутствие соглашения о неразглашении конфиденциальной информации |
|
|
2). Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации |
||
|
3).Несанкционированное копирование, печать и размножение носителей конфиденциальной информации |
1).Нечеткая организация конфиденциального документооборота в организации |
|
|
2). Неконтролируемый доступ сотрудников к копировальной и множительной технике |
||
|
4. Угрозы сетевых устройств и коммутационного оборудования |
4. Уязвимости сетевых устройств и коммутационного оборудования |
|
|
1). Физический доступ к сетевому устройству |
1). Неорганизованный контрольно-пропускной режим в организации |
|
|
2). Отсутствие системы видеонаблюдения в организации |
||
|
3). Несогласованность в системе охраны периметра |
||
|
4). Нечеткая регламентация ответственности сотрудников предприятия |
||
|
2). Разрушение (повреждение, утрата) сетевых устройств и коммутационного оборудования |
1). Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия |
|
|
2). Нечеткая регламентация ответственности сотрудников предприятия |
В таблице 5 представлены результаты оценки уязвимости активов.
Таблица Результаты оценки уязвимости информационных активов ООО «Facilicom»
|
Группа уязвимостей |
Отчеты о деятельность подразделений |
Сервер с базой электронных писем |
База данных бухгалтерии |
Сервер БД с информацией о клиентах |
|
|
1. Среда и инфраструктура |
|||||
|
Отсутствие системы контроля доступа сотрудников к чужим АРМ. |
|||||
|
Отсутствия соглашения о неразглашении между работником и работодателем. |
|||||
|
2. Аппаратное обеспечение |
|||||
|
Отсутствие видеонаблюдения в серверной комнате. |
|||||
|
Отсутствие охранной сигнализации. |
|||||
|
Отсутствие соглашения о нераспространении конфиденциальной информации. |
|||||
|
Нечеткая регламентация ответственности сотрудников организации. |
|||||
|
3. Программное обеспечение |
|||||
|
Неорганизованность контрольно-пропускного пункта. Отсутствие системы видеонаблюдения в организации. |
|||||
|
Отсутствие системы охранной сигнализации. |
|||||
|
Отсутствие соглашения о неразглашении конфиденциальной информации. |
|||||
|
Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации. |
|||||
|
Нечеткая организация конфиденциального документооборота в организации. |
|||||
|
Неконтролируемый доступ сотрудников к копировальной и множительной технике |
|||||
|
4. Коммуникации |
|||||
|
Неорганизованный контрольно-пропускной режим в организации. Отсутствие системы видеонаблюдения в организации. |
|||||
|
Несогласованность в системе охраны периметра. |
|||||
|
Нечеткая регламентация ответственности сотрудников предприятия. |
|||||
|
Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия. |
1.2.3 Оценка угроз активам
Рассмотрим перечень возможных угроз для информации и активов:
|
Группа угроз |
Отчеты о деятельности подразделений |
Сервер с базой электронных писем |
База данных бухгалтерии |
Сервер БД с информацией о клиентах |
|
|
1. Угрозы, обусловленные преднамеренными действиями |
|||||
|
Намеренное повреждение |
|||||
|
Несанкционированное использование носителей данных |
|||||
|
Использование несанкционированного доступа |
|||||
|
Вредоносное программное обеспечение |
|||||
|
Повреждение линий |
|||||
|
2. Угрозы, обусловленные случайными действиями |
|||||
|
Затопление |
|||||
|
Неисправность в электроснабжении. |
|||||
|
Неисправность в водоснабжении. |
|||||
|
Неисправность в системе кондиционирования воздуха. |
|||||
|
Колебания напряжения. |
|||||
|
Аппаратные отказы. |
|||||
|
Экстремальные величины температуры и влажности |
|||||
|
Воздействие пыли |
|||||
|
Ошибки обслуживающего персонала |
|||||
|
Программный сбои |
|||||
|
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы) |
|||||
|
Землетрясение |
|||||
|
Попадание молнии |
2. Проектная часть
2.1 Комплекс организационных мер обеспечения информационной безопасности
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия
Для каждого типа угроз, возникающих при функционировании системы информационной безопасности, может быть одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации защиты. Принимаемая мера противодействия с экономической точки зрения будет приемлема, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. В этой ситуации можно определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня. Из этого следует, что потенциальный нарушитель, стремящийся рационально использовать предоставленные ему возможности, не будет тратить на выполнение угрозы больше, чем он ожидает выиграть. Следовательно, необходимо поддерживать цену нарушения сохранности информации на уровне, превышающем ожидаемый выигрыш потенциального нарушителя. Рассмотрим эти подходы.
Утверждается, что большинство разработчиков средств вычислительной техники рассматривает любой механизм аппаратной защиты как некоторые дополнительные затраты с желанием за их счет снизить общие расходы. При решении на уровне руководителя проекта вопроса о разработке аппаратных средств защиты необходимо учитывать соотношение затрат на реализацию процедуры и достигаемого уровня обеспечения сохранности информации. Поэтому разработчику нужна некоторая формула, связывающая уровень защиты и затраты на ее реализацию, которая позволяла бы определить затраты на разработку потребных аппаратных средств, необходимых для создания заранее определенного уровня защиты. В общем виде такую зависимость можно задать исходя из следующих соображений. Если определять накладные расходы, связанные с защитой, как отношение количества использования некоторого ресурса механизмом управления доступом к общему количеству использования этого ресурса, то применение экономических рычагов управления доступом даст накладные расходы, приближающиеся к нулю.
Размещено на Allbest.ru
Подобные документы
Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа , добавлен 03.02.2011
Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.
курсовая работа , добавлен 03.02.2011
Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.
курсовая работа , добавлен 30.12.2011
Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".
дипломная работа , добавлен 23.10.2013
Определение психологических типов личности и характера человека. Мотивационные профили сотрудников. Анализ основных бизнес-процессов, необходимых для функционирования предприятия. Угрозы информационной безопасности. Оценка и обработка человеческих рисков.
реферат , добавлен 11.03.2015
Характеристика предприятия ООО "Айсберг", анализ структуры документооборота и материально-технического обеспечения предприятия. Разработка и описание новой автоматизированной информационной технологии по планированию, управлению и контролю деятельности.
курсовая работа , добавлен 04.03.2010
Назначение информационной политики, основы ее формирования и внедрения, виды обеспечения. Анализ информационной политики Банка "Центр-инвест". Своевременное и достоверное раскрытие информации как один из основных принципов корпоративного управления.
курсовая работа , добавлен 10.04.2011
Проблемы идентификации предпринимательских рисков. Идентификация рисков: риск как "возможность", как "опасность" и как "неопределенность". Оценки рисков на основе информационной и аналитической работы экспертов. Моделирование ситуаций, финансовый анализ.
контрольная работа , добавлен 16.06.2010
Определение стратегии и планирование работ по развитию информационной структуры предприятия "Урал-системы безопасности". Разработка рекомендаций по совершенствованию работы в области применения информационных технологий, их документальное сопровождение.
отчет по практике , добавлен 14.04.2014
Характеристика сущности, задач и форм деятельности служб безопасности предприятия. Особенности построения организационной структуры службы безопасности. Анализ направлений деятельности: юридическая, физическая, информационно-коммерческая безопасность.
Информационные активы
"...Информационные активы (information asset): или средства обработки информации организации..."
Источник:
(утв. Приказом Ростехрегулирования от 27.12.2007 N 514-ст)
Официальная терминология . Академик.ру . 2012 .
Смотреть что такое "Информационные активы" в других словарях:
информационные активы - 3.35 информационные активы (information asset): Информационные ресурсы или средства обработки информации организации. Источник: ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности 3.35 информационные активы… …
активы организации - Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды информации, циркулирующие в… …
активы - 2.2 активы (asset): Все, что имеет ценность для организации. Источник … Словарь-справочник терминов нормативно-технической документации
активы организации - 3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении. Примечание К активам организации могут относиться: информационные активы, в том числе различные виды… … Словарь-справочник терминов нормативно-технической документации
активы организации банковской системы Российской Федерации - 3.2. активы организации банковской системы Российской Федерации: все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации БС РФ могут относиться: банковские… … Словарь-справочник терминов нормативно-технической документации
3.22. Актив: Все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации банковской системы Российской Федерации могут относиться: работники (персонал),… … Официальная терминология
Бизнес-активы Михаила Прохорова - Ниже приводится справочная информация об активах Прохорова. В рейтинге самых богатых бизнесменов 2012 по версии русского Forbes Михаил Прохоров занимает седьмое место с 13,2 миллиарда долларов. Основные активы Михаила Прохорова сосредоточены в… … Энциклопедия ньюсмейкеров
интеллектуальные активы - Включают накопленную информацию и знания сотрудников. Тематики информационные технологии в целом EN intellectual assets … Справочник технического переводчика
ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности - Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации . Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации
Управление информационной безопасностью - крайне важная задача для любой организации. Менеджмент должен видеть и понимать нужды организаций в информационном обеспечении, решать существующие информационные проблемы. Конечно же, в какой-то мере каждая организация уже работает над обеспечением информационной безопасности, однако этого недостаточно.
Во всеобщем понимании информационная безопасность связана с ограничением доступа третьих лиц к информации. На самом деле это лишь одна из частей общего комплекса вопросов, связанных с информационной безопасностью. Мировые корпорации решают гораздо больший комплекс проблем, связанный с информационной безопасностью. Их работа над безопасностью экономит средства предприятия, как в процессе работы, так и за счет нейтрализации неприятных последствий.
Информационная безопасность ни в коем случае не должна ассоциироваться с параноидальным желанием спрятать, закрыть и удалить коммерческую информацию. Т.к. при таком подходе благие намерения по защите информации приведут как минимум к потере доступности многих информационных ресурсов, что может привести к гораздо более тяжелым финансовым последствиям, чем их утечка. Всегда нужно помнить о разумном равновесии, обеспечивая одновременно все три свойства – конфиденциальность, целостность, доступность. При этом, всегда нужно понимать единственно правильную цель работы предприятия. Эта цель не может быть рассмотрена в плоскости лучшей оснащенности оборудованием или высокой компетентности персонала. Единственная цель предприятия – получение финансовых выгод. Исключение могут составлять благотворительные и подобные им организации.
Рассмотрим основные понятия современного подхода к информационной безопасности.
Основным объектом информационной безопасности является Информационный актив
Что такое Информационный актив?
Это материальный или нематериальный объект, который:
- является информацией или содержит информацию;
- служит для обработки, хранения или передачи информации;
- имеет ценность для организации.
Информационные активы обладают основными свойствами финансовых и материальных активов предприятия: стоимость, ценность для организации, возможность накопления, возможность трансформации в другие активы. Зачастую ценность информационного актива предприятия превосходит ценность всех финансовых. Примером такого актива является имидж предприятия.
Сегодняшние реалии таковы, что и финансовые, и материальные, и информационные активы нуждаются в защите. Надежная защита информационных активов существенна для работы предприятия. Поэтому несоответствующий уровень защиты – часто недооцененный фактор риска, который может стать угрозой для существования.
Внедрение управления информационной безопасностью имеет ряд преимуществ, среди которых можно выделить следующие:
- понятность информационных активов для менеджмента компании;
- результативное выполнение политики безопасности;
- регулярное выявление угроз и уязвимостей для существующих бизнес-процессов;
- эффективное управление предприятием в критических ситуациях;
- снижение и оптимизация стоимости поддержки системы безопасности.
Чтобы достичь уровня информационной безопасности, который удовлетворяет потребностям организаций, необходима четкая и слаженная система, для построения которой можно обратиться к следующим источникам:
- International Standard. ISO/IEC 15408-1. Information technology - Security techniques - Evaluation criteria for IT security
- International Standard. ISO/IEC 18028-4. Information technology - Security techniques - IT network security
- Payment Card Industry Data Security Standard (PCI DSS)
- NIST Information security standards
- и др.
Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения её сохранности (рис. 5).
Рис. 5. Взаимосвязь процессов управления и защиты в организации
Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется её обработка.
В условиях крупной современной организации количество информационных активов должна быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.
Решить эту задачу невозможно без привлечения менеджеров основного направления деятельности организации как среднего, так и высшего звена. Оптимальна ситуация, когда высший менеджмент организации лично задает наиболее критичные направления деятельности, для которых крайне важно обеспечить информационную безопасность. Мнение высшего руководства по поводу приоритетов в обеспечении ИБ очень важно и ценно в процессе анализа рисков, но в любом случае оно должно уточняться путем сбора сведений о критичности активов на среднем уровне управления компанией. При этом дальнейший анализ целесообразно проводить именно по обозначенным высшим менеджментом направлениям бизнес-деятельности. Полученная информация обрабатывается, агрегируется и передается высшему менеджменту для комплексной оценки ситуации (но об этом чуть позже).
Идентифицировать и локализовать информацию можно на основании описания бизнес-процессов, в рамках которых информация воспринимается как один из типов ресурсов. Задача несколько упрощается, в случае если в организации принят подход регламентации бизнес-деятельности (например, в целях управления качеством и оптимизации бизнес-процессов). Формализованные описания бизнес-процессов служат хорошей стартовой точкой для инвентаризации активов. Если описаний нет, можно идентифицировать активы на основании сведений, полученных от сотрудников организации. После того как активы идентифицированы, необходимо определить их ценность.