Политика безопасности 'Ростелекома'

  • Вид работы:
    Отчет по практике
  • Предмет:
    Информатика, ВТ, телекоммуникации
  • Язык:
    Русский
    ,
    Формат файла:
    MS Word
    162,5 Кб
  • Опубликовано:
    2015-07-19
Вы можете узнать стоимость помощи в написании студенческой работы.
Помощь в написании работы, которую точно примут!

Политика безопасности 'Ростелекома'

Введение

Целями производственной практики по профилю специальности 210723 являются комплексное освоение всех видов профессиональной деятельности, формирование общих и профессиональных компетенций, также приобретение необходимых умений и опыта практической работы по специальности.

Задачами производственной практики по профилю специальности 210723 являются приобретение студентами профессиональных умений, закрепление, расширение и систематизация знаний, полученных при изучении ПМ 02 «Обеспечение информационной безопасности телекоммуникационных систем и информационно-коммуникационных сетей связи».

В процессе выполнения практической работы осваиваются следующие общие компетенции:

ОК1. Понимать сущность и социальную значимость своей будущей профессии проявлять к ней устойчивый интерес.

ОК2. Решать проблемы, оценивать риски и принимать решения в нестандартных ситуациях.

ОК3. Осуществлять поиск, анализ и оценку информации, необходимой для постановки и решения профессиональных задач, профессионального и личностного развития.

«Ростелеком» - российская телекоммуникационная компания <#"802941.files/image001.gif">

Рисунок 4.1 - Общий план аудита <#"802941.files/image002.gif">

Рисунок 4.2 - Аудит защищённости web-приложений

Основная задача - выявление причин найденных ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода проводится на основе выработанных рекомендаций по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости - она проверяется на предмет возможности её эксплуатации.

В случае размещения web-приложения в условиях аренды места на сервере хостинга - дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере:

) оценка рисков - на данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес-процессы;

) выработка рекомендаций - на основе анализа угроз, вырабатывается ряд рекомендаций по их устранению;

) внедрение мер по обеспечению информационной безопасности - на основе выработанных рекомендаций производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты.

По окончании работ производится оценка остаточного риска.

Отчет, предоставляемый по результатам проведения аудита Web-приложений, содержит детальное описание проведенных работ, все выявленные уязвимости приложений, способы их применения и рекомендации по устранению данных уязвимостей.

Комплексный аудит

Комплексный аудит информационной безопасности - независимая и объективная комплексная оценка текущего состояния защищенности информационной системы, позволяющая систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

Комплексный аудит информационной безопасности позволяет получить наиболее полную оценку защищенности информационной системы и рекомендуется для первичной оценки, объединяет в себе другие виды аудита информационной безопасности и предоставляет возможность оценить уровень и состояние информационной безопасности, как внутренних ресурсов, так и внешних.

поиск уязвимостей, позволяющих произвести атаку на информационную систему организации;

комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от несанкционированного воздействия;

регулярное отслеживание изменений в информационной системе;

получение независимой оценки;

соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности, рекомендующие требующие периодического или разового проведения аудита информационной безопасности.

Основные задачи комплексного аудита информационной безопасности:

анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе;

выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам;

составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности;

требования международных стандартов и нормативных документов в сфере информационной безопасности;

выработка рекомендаций по повышению эффективности защиты информации в информационной системе.

В общем виде, комплексный аудит информационной безопасности включает в себя следующие виды аудита ИБ:

) внешний аудит информационной безопасности, который включает в себя:

а) технический аудит сети;

б) внешние тесты на проникновение;

в) аудит защищенности Web-приложений.

) внутренний аудит информационной безопасности, который включает в себя:

а) технический аудит сети;

б) внутренние тесты на проникновение;

в) аудит защищенности от утечки информации;

Отчет, предоставляемый организации по результатам проведения аудита, содержит детальное описание проведенных работ, все выявленные уязвимости, способы их применения и рекомендации по устранению данных уязвимостей.

Аудит на соответствие стандартам

Стандарт ГОСТ Р ИСО/МЭК 27001-2006 является признанным стандартом в области построения Системы Управления Информационной Безопасностью (СУИБ) организации, универсальность данного стандарта позволяет использовать его во всех типах организаций вне зависимости от профиля их деятельности. ГОСТ Р ИСО/МЭК 27001-2006 включает в себя требования для разработки и эксплуатации системы управления информационной безопасности организации.

Построение системы управления информационной безопасности в соответствии с требованиями стандарта позволяет повысить «прозрачность» компании для инвесторов, партнеров и клиентов, благодаря управлению рисками, а также увеличить защищенность компании от угроз информационной безопасности.

Проведение аудита заключается в анализе и оценке:

системы управления рисками информационной безопасности;

политики безопасности, регламентов, инструкций, а также других документов, обеспечивающих информационную безопасность организации;

принципов управления активами и персоналом;

технических средств обеспечения информационной безопасности;

существующей системы управления инцидентами;

процессов управления непрерывностью бизнеса и восстановления после сбоев.

Результатом проведенных работ является:

возможность прохождения сертификации;

повышение конкурентоспособности на рынке;

повешение доверия со стороны клиентов, за счет обеспечения высокой защиты информационной безопасности на мировом уровне;

снижение рисков финансовых потерь, за счет обеспечения высокой отказоустойчивости и повышенной информационной безопасности организации;

наличие организационно распорядительной документации, описывающего полномочия и ответственность сотрудников организации;

прозрачная система управления информационной безопасностью предприятия.

Заключение

В соответствии с учебным планом в период с 23.06.2014г. по 05.07.2014г. была пройдена производственная практика ПМ.02 «Техническая эксплуатация телекоммуникационных систем»

Практика началась с вводного инструктажа, изучения требований к организации определённого рабочего места, ознакомления с санитарно-гигиеническими нормами и безопасностью работы. Далее осуществлялось знакомство с направлением деятельности предприятия ОАО «Ростелеком», изучение её нормативно-правовой базы.

В отчете по практике отражены профессиональные компетенции:

использование программно-аппаратных средств защиты информации в телекоммуникационной системе и сетях связи (ПК 2.1):

а) антивирусы;

б) криптографическое программное обеспечение;

в) программное обеспечение для резервного копирования <http://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%B5_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BB%D1%8F_%D1%80%D0%B5%D0%B7%D0%B5%D1%80%D0%B2%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BA%D0%BE%D0%BF%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F>ý;

г) межсетевые экраны;

применение системы анализа защищенности для обнаружения уязвимости информации, выдавать рекомендации по их устранению (ПК 2.2):

а) физическая безопасность. Ограничьте физический доступ к оборудованию компьютера;

б) управление доступом к системе. Ограничьте доступ пользователей с помощью паролей и полномочий;

в) управление доступом к файлам. Ограничьте доступ к данным путем назначения полномочий на файлы;

г) аудит пользователей. Контролируйте деятельность пользователей для обнаружения опасности раньше, чем произойдет повреждение системы;

д) безопасность в сети. Установите защиту доступа через телефонные линии, последовательные линии связи или через сеть;

е) обеспечьте защиту доступа с привилегиями суперпользователя. Установите доступ с привилегиями суперпользователя только для решения задач системного администрирования;

ответственность за безопасность информации должна быть возложена на конкретного администратора. Администратор безопасности сети должен играть роль центра для всех направлений безопасности сети в рамках организации; тем не менее, администратор безопасности сети может делегировать другому сотруднику некоторые свои полномочия (ПК 2.3).

В результате прохождения производственной практики была освоена работа на предприятии связи и приобретение некоторых практических навыков в технической эксплуатации информационно-коммуникационных сетей связи.

Для составления отчета использовалась информация, предоставленная руководителем предприятия, а также сведения, полученные из технической документации, руководящих документов, инструкций из Интернета.

Список используемых источников

1.   Алиев Т.И Сети ЭВМ и телекоммуникации Санкт-Петербург 2011год. 400с.

2.      Брейман А.Д Сети ЭВМ и телекоммуникации. Глобальные сети Москва 2006год. 117с.

.        Беспроводные технологии журнал №04 2011 138с.

.        Вишневский В., Портной С., Шахнович И. Энциклопедия WiMAX путь к 4g Москва 2009год. 470с.

.        Витаминюк А.И. Создание, обслуживание и администрирование сетей на 100% - 2010год. Санкт-Петербург 232с.

.        Виснадул Б.Д., Лупин С.А., Сидоров С.В., Чумаченко П.Ю. - Основы компьютерных сетей. 2007год. 272с.

Похожие работы на - Политика безопасности 'Ростелекома'

 

Не нашел материал для своей работы?
Поможем написать качественную работу
Без плагиата!