Совершенствование системы информационной безопасности в помещениях ОАО 'Расчет'

Совершенствование системы информационной безопасности в помещениях ОАО 'Расчет'

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ

I. Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия

1.1.1 Общая характеристика предметной области

1.1.2 Организационно-функциональная структура предприятия

1.2 Анализ рисков информационной безопасности

1.2.2 Оценка уязвимостей активов

1.2.3 Оценка угроз активам

1.2.4 Оценка существующих и планируемых средств защиты

1.2.5 Оценка рисков

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

1.3.1 Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасности

1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

1.4 Выбор защитных мер

1.4.1 Выбор организационных мер

1.4.2 Выбор организационных мер

II. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности предприятия

2.2 Комплекс внедряемых (разрабатываемых) программно-аппаратных средств обеспечения информационной безопасности

2.2.1 Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности

2.2.2 Контрольный пример реализации проекта и его описание 

III. Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

3.2 Расчёт показателей экономической эффективности проекта 

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

ПРИЛОЖЕНИЯ

ВВЕДЕНИЕ

информационная безопасность риск защита

Электронная информация уязвима к атакам хищения, осуществляемым как внешними, так и внутренними нарушителями с целью промышленного шпионажа, вымогательства, поддержки преступных организаций, вандализма, отмщения или хвастовства. Хищение информации может привести к потере интеллектуальной собственности, раскрытию конфиденциальной информации клиентов, снижению репутации компании и привлечению к ответственности за несоблюдение установленных правовых норм.

Данный дипломный проект будет решать проблему с обеспечением информационной безопасности в помещениях ОАО "Расчет".

За данным предприятием закреплена отрасль боеприпасов и спецхимии, что накладывает на предприятие ответственность за хранимые им данные и документы. В свою очередь это означает, что предприятие должно обеспечивать повышенную защиту информации. Однако информационная безопасность(ИБ) некогда не бывает совершенна. За все свое существование на предприятии происходили кражи компьютеров, умудряясь вынести их из окна. Из-за этого предприятие понесло немало убытков, однако сумело восстановить всю утраченную информацию из архивов. Хоть с того времени информационная безопасность была повышена, степень угрозы кражи не была снижена.

Также у предприятия существует немало конкурентов, готовые в любое время перенять на себя обязанности и договоры предприятия. А так же из-за хранимой секретной информации на предприятие может периодически происходить попытки информационной кражи по различным каналам связи.

Цель дипломного проекта является сведение к минимуму данных угроз, применяя наиболее эффективные и приемлемые по цене предлагаемые решения по их устранению.

I. Аналитическая часть

.1 Технико-экономическая характеристика предметной области и предприятия

.1.1 Общая характеристика предметной области

Основное направление деятельности ОАО «Расчет»:

координация, научно-техническое и организационно-методическое руководство работами в отрасли по проектированию и промышленной эксплуатации автоматизированной с применением ЭВМ системы управления государственным оборонным заказом, выпуском и поставкой боеприпасов и спецхимии для федеральных государственных нужд, информационных технологий, систем прикладного, сервисного, программного обеспечения, информационно-справочных систем, баз и банков данных и информационных САLS-технологий;

исследование, разработка и эксплуатация совместно с предприятиями и организациями Минобороны России информационно-справочных и автоматизированных с применением ЭВМ систем учета наличия, движения прогнозирования и оценке качественного состояния вооружения, техники, боеприпасов и спецхимии;

исследование, разработка и эксплуатация совместно с предприятиями и организациями Минобороны России и другими государственными заказчиками информационно-справочных автоматизированных с применением ЭВМ систем учета обращения вооружения, техники, боеприпасов и спецхимии для федеральных государственных нужд;

разработка, актуализация и хранение отраслевого банка данных конструкторской, нормативной и иной документации по боеприпасам и спецхимии (классификаторы продукции, технические ведомости комплектации, схемы прохождения, каталоги цен, нормы расхода сырья и материалов, нормы погрузки, нормы на испытания и т.д.), сведения по технологическому оборудованию, производственным мощностям, площадям, другим технико-экономическим показателям предприятий отрасли в т.ч. мобилизационного характера.

Таблица 1.

Основные характеристики видов деятельности

.1.2 Организационно-функциональная структура предприятия

На предприятии функционируют два научно-исследовательских «обоснования структурных преобразований отрасли» и «системного анализа и обоснования Федеральных целевых и Государственных программ». Каждый из них состоит из нескольких отделов (смотрите рисунок 1).

В первый входят отделы «системного анализа финансово-экономического состояния предприятий и обоснования структурных преобразований отрасли», «сбора и обработки статистической и бухгалтерской отчетности» и «разработки, внедрения и сопровождения программных средств». Отдел «системного анализа финансово-экономического состояния предприятий и обоснования структурных преобразований отрасли» занимается формирования аналитических отчетов, а так же делают прогнозы на следующие периоды. Отдел «сбора и обработки статистической и бухгалтерской отчетности» занимается сбором и обработкой отчетных форм присылаемых с предприятий закрепленной отрасли, а так же в отделе занимаются разработкой приложений для внутреннего пользования.

Отдел материально-технического обеспечения и технического обслуживания по большей мере является IT-отделом. Он занимается закупкой, выдачей и хранение на складе закупаемых аксессуаров. Так же этот отдел обеспечивает постоянную техническую поддержку и обслуживание на предприятие. В этом же отделе находится администратор безопасности.

.2 Анализ рисков информационной безопасности

.2.1 Идентификация и оценка информационных активов

Оценка активов организации является важным этапом в общем процессе анализа риска. Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность. Чтобы выполнить оценку активов, организация сначала должна провести инвентаризацию своих активов. Для обеспечения полного учета активов часто полезно сгруппировать их по типам, например информационные активы, активы программного обеспечения, физические активы и услуги. Целесообразно также назначить «владельцев» активов, которые будут нести ответственность за определение их ценности.

Следующий этап - согласование масштабов оценки, которая должна быть произведена, и критериев определения конкретной стоимости активов. Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены в денежных единицах, будут оцениваться в местной валюте, в то время как другие активы могут оцениваться по качественной шкале в диапазоне от «очень низкой» до «очень высокой» цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствовать подлежащим оценке активам. Для одного и того же актива могут быть использованы также оба типа оценки.

Типичными терминами, используемыми для качественной оценки ценности активов, являются: «пренебрежимо малая», «очень малая», «малая», «средняя», «высокая», «очень высокая», «имеющая критическое значение». Выбор и диапазон терминов, являющихся подходящими для данной организации, в значительной степени зависят от потребностей организации в безопасности, величины этой организации, а также других, специфичных для данной организации факторов.

Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться в однозначных (недвусмысленных) терминах. С этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых из них приходится определять субъективно. Поэтому для определения ценности активов целесообразно привлекать достаточно большое число разных людей. Возможны следующие критерии определения ценности активов: первоначальная стоимость актива, стоимость его обновления или воссоздания. Ценность актива может также носить нематериальный характер, например цена доброго имени или репутации компании.

Кроме того, организация может устанавливать собственные пределы ценности активов (например «малая», «средняя» и «высокая»). Эти пределы должны быть оценены по выбранным критериям, например, возможные финансовые потери следует оценивать в денежных единицах, тогда как при оценке по критерию угрозы для личной безопасности оценка в денежных единицах окажется непригодной. В конечном счете организация сама должна решить, какой ущерб считать малым, а какой - большим. Ущерб, который может стать бедственным для маленькой организации, для очень крупной организации может быть сочтен малым или даже пренебрежимо малым.

В таблице 2 представим наиболее используемые и важные активы.

Таблица 2.

Оценка информационных активов предприятия

Таблица 3.

Перечень сведений конфиденциального характера ОАО «Расчет»

Таблица 4.

Результаты ранжирования активов

Активы, имеющие наибольшую ценность:

. Сервера

. Доступ к информационным ресурсам (БД)

. Программное обеспечение

. Документы

. Компьютеры

.2.2 Оценка уязвимостей активов

Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации (определение сформулировано на сонове документа ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»). Т.е. уязвимыми являются компоненты системы, наиболее подверженные к угрозам.

Согласно описанным выше функциям рассматриваемой ИС наиболее уязвимыми являются программно-аппаратные средства, осуществляющие сбор, передачу, обработку, хранение и другие операции с информацией, в том числе с конфиденциальными и персональными данными.

Производя атаку, нарушитель использует уязвимости информационной системы. Если нет уязвимости, то невозможна и атака, которая использует ее. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Для создания базы данных уязвимостей необходимо рассмотреть различные варианты классификаций уязвимостей.

Классификация уязвимостей по степени риска:

• высокий уровень риска - уязвимость позволяет атакующему получить доступ к узлу с правами администратора в обход средств защиты;

• средний уровень риска - уязвимость позволяет атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу;

• низкий уровень риска - уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.

Такая классификация используется для оценки степени критичности уязвимостей при определении качества защищенности ИС. Этот вариант классификации достаточно условный и разные источники предлагают свои варианты такой классификации. Соответственно, это очень субъективный метод классификации уязвимостей. Рассмотрим такую классификацию в таблице 5.

Таблица 5.

Результаты оценки уязвимости активов