Файл: Степеьзвание подпись Индивидуальное задание на учебную практику.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 18.03.2024
Просмотров: 37
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Оценка уязвимостей активов
Уязвимость информационных активов представляет собой тот или другой минус, следствием которого становится не желательное воздействие на актив со стороны злоумышленников, не квалифицированных работников или вредоносного кода.
Уязвимости системы информации предприятия можно определить некоторыми методами. Их может описать сотрудник фирмы основываясь на собственный опыт. Помимо этого, можно пригласить посторонних специалистов для того, чтобы провести технологический аудит информационной системы и выявить все уязвимости.
На рассмотренном предприятии оценивание уязвимостей активов выполняется соответственно с запросами ГОСТ Р ИСО/МЭК ТО 13335-3-2007
«Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» на основании применения общего подхода. При выполнении этого применяются такие критерии оценки ущерба от утраты конфиденциальности, доступности или целостности активов:
-
нарушение подзаконных актов или/и закона; -
уменьшение эффективности бизнеса; -
снижение престижа компании; -
нарушение безопасности личной информации; -
необеспеченность персональной безопасности; -
отрицательный эффект с позиции обеспечения правопорядка; -
нарушение безопасности коммерческой тайны; -
нарушение общественного порядка; -
финансовые потери; -
нарушение деловых сделок; -
угроза охране окружающей среды.
Итоги оценки уязвимостей составляются в виде списка, где напротив
каждой из уязвимостей приводится предназначенная ей оценка риска ИБ, а также оценка стоимости актива и вероятности осуществления угроз.
В таблице 1.5 приводятся итоги оценки уязвимости активов.
Наиболее важными источниками угроз безопасности в рассмотренном предприятии информации есть:
-
угрозы по каналам утечки вещественной информации; -
угрозы утечки информации по техническим каналам; -
угрозы несанкционированного доступа к информации, которая обрабатывается в ЛВС.
Угрозы утечки информации по техническим каналам состоят из:
-
угрозы утечки акустической информации; -
угрозы утечки видовой информации; -
угрозы утечки информации по каналу ПЭМИН.
Основные угрозы безопасности информации для предприятия есть:
-
нарушение безопасности информации, которая является служебной или коммерческой тайной, а также личной информации; -
нарушение функционирования компонентов информационной системы, ограничения доступа к информации, нарушение технологических процессов, невозможность решения задач вовремя; -
нарушение целостности информации, программных и прочих ресурсов, и подделка документов.
- 1 2 3 4 5 6 7
Оценка существующих и планируемых средств защиты
Организация режима информационной безопасности и применения систем защиты информации на предприятии производится специалистами административного отдела и отдела защиты государственной тайны. Эта группа специалистов состоит из:
-
Начальника группы; -
Администратора системы информационной безопасности; -
Операторов системы информационной безопасности; -
Операторов системы видеонаблюдения.
Наиболее важными вопросами, которыми занимается группа информационной безопасности, есть:
-
участие в проектировании и организации политик в сфере внедрения и сопровождения информационных технологий и технических средств по обеспечению безопасности информации; -
обеспечение безопасности информации во время создания единственного информационного пространства; -
участие в проектировании и организации программ в сфере внедрения современных информационных технологий и технических средств по соблюдению безопасности информации; -
проектирование и внедрение рекомендаций по расширению возможностей доступа к информации в электронном виде.
Соответственно возложенным задачами группа безопасности информации выполняет следующие функции:
-
участие в разработке и реализации целевых программ по внедрению современных информационных технологий с целью обеспечения информационной безопасности; -
осуществление в пределах своей компетенции координации работ по целевым программам и участие в их реализации; -
обобщение, изучение и анализ передового опыта по вопросам развития внедрения современных информационных технологий и технических средств в области информационной безопасности; -
разработка предложений по обеспечению единой политики в области сертификации средств и систем в сфере внедрения современных информационных технологий; -
подготовка предложений по проведению единой научно-технической политики в сфере информационной безопасности; -
организация по поручению руководства проведения экспертизы государственных информационных, автоматизированных, информационно- вычислительных систем и сетей, баз и банков данных (в соответствии с уровнем доступа); -
координация в пределах своих полномочий процессом создания и использования в компании информационных, автоматизированных и информационно-вычислительных систем и сетей, баз и банков данных (в соответствии с уровнем доступа), создание и совершенствование организационно-методологической системы обеспечения контроля и информационной безопасности этих работ; -
разработка предложений по составу и периодичности сбора статистической информации о состоянии и динамике развития внедрения
современных информационных технологий по обеспечению информационной безопасности, проведение анализа этой информации;
-
подготовка предложений по объемам и порядку финансирования работ в сфере информационной безопасности;
Структурная схема технической архитектуры предприятия представлена на рис. 1.2.
Рис. 1.2. Схема технической архитектуры ООО «Технос»
В качестве рабочих станций используются модель OLDI Office 110 со следующей конфигурацией:
-
Процессор Intel® Celeron 430 (Conroe-L,1.80 ГГц, FSB800MHz, 512Kb L2,Socket 775); -
Оперативная память DDR II 1Гб; -
Жесткий диск 250Gb (SATA II); -
Видеокарта Интегрирована в чипсет iG31; -
Сетевая карта 10/100/1000 Мбит/с; -
Звуковая карта 6-канальная; -
Размеры 420 мм х 180 мм х 380 мм.
Из числа серверов на предприятии используются только файл –сервер и сервер базы данных. В качестве аппаратной основы серверов используются Office Server TX 3000R15 со следующими техническими характеристиками:
-
Процессор Intel® Core™5 750 (Lynnfield, 2.66ГГц, 8Мб, LGA1156); -
Чипсет Intel 3420; -
Оперативная память DDR3 4096 Mb (pc-10660) 1333MHz; -
Жесткий диск 1000Gb (SATA II, 7200rpm, 32Mb); -
Видеокарта XGI® Z9s (32MB DDR2); -
Оптические накопители DVD±RW; -
Тип корпуса Full Tower; -
Сетевая карта 4х10/100/1000 Мбит/с.
Из числа серверов на предприятии используются только файл –сервер и сервер базы данных. В качестве аппаратной основы серверов используются Office Server TX
3000R15 со следующими техническими характеристиками:
-
Процессор Intel® Core™5 750 (Lynnfield, 2.66ГГц, 8Мб, LGA1156); -
Чипсет Intel 3420; -
Оперативная память DDR3 4096 Mb (pc-10660) 1333MHz; -
Жесткий диск 1000Gb (SATA II, 7200rpm, 32Mb); -
Видеокарта XGI® Z9s (32MB DDR2); -
Оптические накопители DVD±RW; -
Тип корпуса Full Tower; -
Сетевая карта 4х10/100/1000 Мбит/с.
Пользовательские сегменты и сервера объединены в сеть при помощи маршрутизатора 3Com13701-ME. Внутри пользовательских сегменов в качестве коммутаторов используются 3COM Gigabit Switch 8 3CGSU08. Оба типа коммутаторов оснащены программными брандмауерами.
Телефонная сеть организована с использованием АТС Panasonic KX- TEM824.
В качестве оконечных устройств используются офисные телефоны Panasonic KX-T7710.
В качестве среды передачи данных используется кабель витая пара 5 категории (100BASE-ТX) со скоростью передачи до 100 мбит/сек.
В комплекте с каждой рабочей станцией имеется МФУ Xerox Phaser 3100MFP/Х.
Программная архитектура информационной системы наглядно представлена на рис. 1.3.
ССттааннддааррттнныыййннааббооррППОО((ддлляя ккаажжддоог
