ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 17.03.2024
Просмотров: 26
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Таблица 1
Информационная безопасность ООО «Атлант»
| Виды операций | Информационные ресурсы | ||
| Бумажные документы | Электронные документы | Информация и знания сотрудников | |
| Создание информационного ресурса (создание и оформление документов) | Бухгалтерия, отдел по работе с клиентами | Бухгалтерия, отдел по работе с клиентами | Бухгалтерия, отдел по работе с клиентами |
| Оперативная работа с документами и документационное обеспечение деловых процессов | Служба делопроизводства | Служба делопроизводства | ? |
| Организация документооборота | Бухгалтерия | Административный отдел, отдел защиты гос. тайны | - |
| Обеспечение соответствия требованиям законодательства | Административный отдел, отдел кадров | | Руководство |
| Учет документов (ознакомленности с информацией) | Бухгалтерия | | ? |
| Уничтожение документов по установленным правилам, с оформлением акта | Бухгалтерия | | |
| Резервирование документов и информации | Административный отдел, отдел защиты гос. тайны | | |
| Управление доступом | Административный отдел, отдел защиты гос. тайны | Административный отдел, отдел защиты гос. тайны | Руководство |
| Физическая защита (обеспечение наличия ресурса) | Административный отдел, отдел защиты гос. тайны | Административный отдел, отдел защиты гос. тайны | Руководство, Административный отдел, отдел защиты гос. тайны |
| Защита важнейших документов | Руководство | Руководство | Руководство |
| Защита конфиденциальной информации и персональных данных | Административный отдел, отдел защиты гос. тайны | Административный отдел, отдел защиты гос. тайны | Руководство |
Перед разработкой политики информационной безопасности должен быть проведен анализ активов, включающий их учет и оценку. Готовая политика
должна иметь в своем составе отдельный раздел для каждого обнаруженного актива, группы взаимосвязанных активов или обособленной части актива компании в зависимости от ранее проведенного анализа их структуры и взаимосвязи.
Политика ИБ разрабатывается специалистами ИБ компании для использования остальными сотрудниками компании. Поэтому, она должна быть изложена максимально просто, на обычном языке с использованием минимума специальной лексики только там, где это необходимо.
Политика информационной безопасности должна описывать в своем содержании:
-
Цель. -
Область применения. -
Требования к защите. -
Ответственность за нарушение. -
Расшифровка специальных терминов. При необходимости. -
Периодичность и учет пересмотра (изменения).
Требования, содержащиеся в политике информационной безопасности должны быть обоснованными и подходящими. Это значит, что они должны устанавливаться исходя из уязвимостей, угроз и ценности защищаемых активов и не должны препятствовать их функционированию соответственно.
Кроме того, требования должны иметь общий характер и не зависеть от конкретных систем защиты. Наоборот, системы защиты выбираются исходя из политик информационной безопасности.
Таким образом в дипломном проекте будут решены задачи:
-
произвести анализ организационных мер защиты информации на предприятии; -
провести анализ инженерно-технические меры защиты информации на предприятии; программных -
провести выбор, обоснование и описание комплекса организационных мер по обеспечению ИБ и защиты информации рассматриваемого предприятия; -
провести выбор, обоснование и описание комплекса проектируемых аппаратных и программных средств обеспечения ИБ и защиты информации рассматриваемого предприятия; -
обосновать экономическую эффективность проекта.
Кейс задача №4
Инженерно-техническая защита информации считается одним из главных компонентов комплекса мероприятий по защите информации, которая составляет личную, коммерческую, государственную тайну. Комплекс включает в себя нормативно-правовые документы, технические и организационные меры, которые направленны для обеспечения безопасности конфиденциальной и секретной информации.
Инженерно-техническая защита информации состоит из комплекса технических и организационных мероприятий для обеспечения ИБ при помощи технических средств и может решать такие задачи:
-
Предотвращать утечку информации по разным техническим каналам. -
Обеспечить от уничтожения защиту носителей информации из-за действия стихийных сил и в основном, пожара и пены (воды) в процессе его тушения. -
Предотвратить проникновение злоумышленника к источникам информации для её уничтожения, изменения или хищения.
Инженерно-техническая защита информации являет довольно быстро развивающейся областью техники и науки на стыке концепции систем, оптики, физики, радиотехники, акустики, электро- и радиоизмерений, радиоэлектроники и других дисциплин. Перечень вопросов, которыми приходиться заниматься инженерно-технической защите, обширен и определен разнообразием источников и носителей информации, средств и способов её получения, а, значит, и защиты. Чтобы обеспечить эффективность инженерно-технической защиты информации следует определить:
-
каким типам угроз подвергается защищаемая информация со стороны злоумышленника и его технических средств; -
что подлежит защите посредством технических средств в данном предприятии, помещении, здании; -
какие средства и способы целесообразно использовать для обеспечения информационной безопасности, учитывая величины угроз и затраты на их предотвращение; -
как реализовать и организовать в компании техническую защиту данных.
Без этих знаний защита данных может применяться в виде круговой обороны (если имеются неограниченные ресурсы) либо «латания дыр» в наиболее реальном варианте при ограниченных средствах.
При построении защиты данных, как и иных видов защиты, нужно учитывать и знать психологические факторы, которые могут повлиять на принятие решения руководством или другим любым ответственным физлицом. Этот факт обусловлен тем, что мероприятия по защите содержат превентивную целенаправленность без особо достоверной информации о потенциальных угрозах не вообще, а применительно к определенной организации. Кроме этого, последствия такого скрытого похищения данных проявляются через определенное время, когда уже бывает довольно сложно выяснить истинную причину ухудшения финансового положения организации либо появления у конкурента аналогичной продукции. Такие факторы не способствуют психологической готовности руководителя на довольно значительные вложения по защите информации. Не смотря на это, мировой опыт построения защиты информации доказывает, что на ИБ предприятия вынуждены выделять примерно 10-20% от всей прибыли. Поскольку наибольшую часть расходов по защите информации составляют расходы на покупку и эксплуатацию средств защиты, то метод инженерно-технической защиты информации обязан предоставлять возможность целесообразного выбора средств по защите информации.
В рассматриваемой компании уже применяются такие средства инженерно-технической защиты, как система видеонаблюдения, система охранной сигнализации. В комплекс инженерно-технических мер также входит
система контроля и управления доступом. Так как информационные активы в основном представлены в виде бумажных документов и файлов на магнитных дисках, то разумным будет внедрить систему защищенного электронного документооборота.
Проведем краткое сравнение существующих систем, позволяющих организовать безопасный обмен документами внутри организации (таблица 1).
ViPNet CUSTOM сориентирован на построение защищенного взаимодействия клиент-клиент, тогда как как основная часть VPN -решений остальных производителей обеспечивают исключительно соединения уровня сервер-клиент или сервер-сервер. Это предоставляет возможность реализации любой требуемой политики разграничения доступа в пределах цельной защищенной сети, а также снижения нагрузки на VPN -серверы, поскольку в процессе взаимодействия клиент-клиент не используется VPN -сервер в процедурах шифрования трафика среди таких клиентов.
Особое внимание в ViPNet CUSTOM уделяется решению вопросов жизнедеятельности в условиях наличия всевозможного сетевого оборудования и программного обеспечения, которое реализует статическую или динамическую трансляцию портов/адресов (PAT/NAT), что значительно облегчает интеграцию системы защиты в имеющуюся инфраструктуру сети. В основной массе случаев ручной настройки абонентского ПО ViPNet Client не понадобится.
Таблица 1
Сравнение средств защиты
| Решение | Алгоритмы шифрования | Протокол ы передачи данных | Сетевая среда | Скорость шифрова ния | Поддерживае мые операционны е системы | |
| Программно- аппаратный комплекс «ФПСУ-IP» | ГОСТ 28147- 89 | IP v. 4, Протокол VPN — © AMICON. | Ethernet, TCP-IP | До 270 Мбит/c на | Собственная, функциональ но замкнутая, 32-разрядная. | |
| Программно- аппаратный VPN-агент «КРИПТОН IP Mobile» | ГОСТ 28147- 89 | Ethernet/Fa st Ethernet, TCP/IP | Ethernet/F ast Ethernet | До 80 Мбит/с | Windows XP/7/8, Server, Linux | |
| Широкополосны й аппаратный IP- шифратор «Заслон» | ГОСТ 28147- 89 | IP v. 4 | Основанн ая на протокол е IP | 180 Мбит/с | Любые | |
| Аппаратно- программный комплекс шифрования «Континент» | ГОСТ 28147- 89 | Собственн ый, на основе ГОСТ 28147-89 | | До 80 Мбит/с | Аппаратно- программная реализация. Собственная ОС на базе FreeBSD Windows XP/7/8, Server | |
| VPN-шлюз Тропа-Джет | ГОСТ 28147- 89 Хэш ГОСТ Р 34.11-94 | IPsec, UDP | TCP/IP | До 100 Мбит/с | Solaris SPARC и x86 | |
| Программный комплекс ViPNet | ГОСТ 28147- 89 | TCP/IP | Ethernet | До 100 Мбит/с | Windows XP/7/8, Server, Linux, Solaris 8 | |
| ИСЗ «ПАНЦИРЬ» | криптопровай дер «КриптоПро CSP» версий 3.0 и 3.6 | TCP/IP | Ethernet | До 100 Мбит/с | Windows XP/7/8, Server Vista | |
| Многоуровневый криптомаршрути затор DioNIS FW/KM | ГОСТ 28147- 89 | TCP/IP, TCP/IP over X.25 | TCP/IP, X.25 | 100 Мбит/с | Собственная, DOS | |
| VPN-клиент CSPVPNClient(Ш | Возможность встроить | Протокол ы защиты | Ethernet 10/100/10 | До 230 Мбит/с | Windows XP/7/8, Server | |
| люз безопасности CSP VPN Gate) | любую внешнюю криптобиблио теку | информац ии: IPsec | 00 BaseT | | (Solaris 8, 9/Linux) | |
