Файл: Степеьзвание подпись Индивидуальное задание на учебную практику.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 18.03.2024
Просмотров: 57
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
гооссооттррууддннииккаа))
Рис. 1.3. Программная архитектура ООО «Технос»
На всех компьютерах установлен стандартный пакет программного обеспечения:
С учетом специфики деятельности отделов персональные компьютеры предприятия имеют следующие дополнительные программные обеспечения (персональные пакеты ПО для отделов):
Для обеспечения информационной безопасности на предприятии используются RAID-массивы и резервное копирование информации.
Для создания RAID-массива используется 8 дисков Seagate ST3600057SS. Это серверные диски с повышенной надежностью и максимальным объемом, и скоростью вращения шпинделя для подобных дисков 600гигабайт при 15 000 обор\м вращение шпинделя. Эти диски объединены в 4 раздела Raid 1.
Логически они названы следующим образом:
На рассматриваемой предприятии оценка рисков организуется согласно запросам ГОСТа Р ИСО/МЭК ТО 13335-3-2007 «Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» на основе использования общего подхода.
Оценка рисков нарушения ИБ осуществляется, применяя базовый подход. Риск нарушения ИБ определяют на основе качественных оценок:
Для проведения оценки рисков нарушения ИБ выполняются следующие процедуры.
Результаты оценки рисков предоставляются в виде перечня рисков, каждому из которых определен ранг.
В таблице 1.9 приводятся итоги оценки рисков.
Таблица 1.9
Итоги оценки рисков информационным активам предприятия
Рис. 1.3. Программная архитектура ООО «Технос»
На всех компьютерах установлен стандартный пакет программного обеспечения:
-
Операционная система Windows 7 Pro х64; -
Пакет MS Office 2007; -
Avira AntiVir Premium Security Suite; -
Браузер Mozilla Firefox; -
Adobe Acrobat 9.0 Professional.
С учетом специфики деятельности отделов персональные компьютеры предприятия имеют следующие дополнительные программные обеспечения (персональные пакеты ПО для отделов):
-
Бухгалтерия: 1С Бухгалтерия: Версии 8; -
Отдел IT: Radmin Viewer 3, Remote Administrator v2.2, Total Commander.
Для обеспечения информационной безопасности на предприятии используются RAID-массивы и резервное копирование информации.
Для создания RAID-массива используется 8 дисков Seagate ST3600057SS. Это серверные диски с повышенной надежностью и максимальным объемом, и скоростью вращения шпинделя для подобных дисков 600гигабайт при 15 000 обор\м вращение шпинделя. Эти диски объединены в 4 раздела Raid 1.
Логически они названы следующим образом:
-
Раздел System (Диск 1 + Диск 2) общий объем 600гигабайт на данной диске установлена система и хранятся исполняемые файлы MS SQL сервера; -
Раздел Data (Диск 3 + Диск 4) общий объём 600 гигабайт. На данном диске хранятся файлы данных. База занимает - 280 гигабайт -
Раздел Log (Диск 5 + Диск 6) Общий объём 600 гигабайт. На данном разделе располагаются Log файлы баз данных. Объем лог-файлов варьируется от 50 % до 200 % от размера базы данных, так как транзакции хранятся в несжатом виде для быстроты обработки. -
Раздел TEMP (Диск 7 + Диск 8). Общий объём данных - 600 гигабайт В TEMP разделе хранится Файл Данных и Лог базы данных. TEMP - это системная база данных сервера MS SQL, отличающаяся высокой важностью и влиянием на работу всех баз данных на сервер. Ее сохранность не так важна, как скорость работы в этой базе, так как любой запрос, который поступает на сервер, получает данные из БД и складывает эти данные в TEMP, далее обрабатывает необходимым образом и результаты выгружает в ЛОГ файл базы данных, откуда они записываются непосредственно в файл данных после завершения транзакции. ТЕМП база занимает около 80 Гигабайт. Так же этот диск выполняет функцию промежуточного диска для бекапирования баз данных. -
- 1 2 3 4 5 6 7
Оценка рисков
На рассматриваемой предприятии оценка рисков организуется согласно запросам ГОСТа Р ИСО/МЭК ТО 13335-3-2007 «Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» на основе использования общего подхода.
Оценка рисков нарушения ИБ осуществляется, применяя базовый подход. Риск нарушения ИБ определяют на основе качественных оценок:
-
степени возможности реализации угроз ИБ (далее — СВР угроз ИБ) выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов информационных активов; -
степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов.
Для проведения оценки рисков нарушения ИБ выполняются следующие процедуры.
-
Процедура 1. Определение перечня типов информационных активов, для которых выполняются процедуры оценки рисков нарушения ИБ (далее — область оценки рисков нарушения ИБ). -
Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов области оценки рисков нарушения ИБ. -
Процедура 3. Определение источников угроз для каждого из типов объектов среды, определенных в рамках выполнения процедуры 2. -
Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды, определенных в рамках выполнения процедуры 2,3. -
Процедура 5. Определение СТП нарушения ИБ для типов информационных активов области оценки рисков нарушения ИБ. -
Процедура 6. Оценка рисков нарушения ИБ.
Результаты оценки рисков предоставляются в виде перечня рисков, каждому из которых определен ранг.
В таблице 1.9 приводятся итоги оценки рисков.
Таблица 1.9
Итоги оценки рисков информационным активам предприятия
Риск | Актив | Ранг риска |
Превышение допустимой нагрузки | Финансовые отчеты компании | 3 |
Персональные данные сотрудников | 3 | |
Система обеспечения безопасности компании | 3 | |
Сведения о схемах размещения систем безопасности | 3 | |
Сбои и отказы программных средств | Внутренняя бухгалтерская документация | 3 |
Сведения о достигнутых соглашениях и договоренностях | 3 | |
Сведения о PR-компаниях | 3 | |
Финансовые отчеты компании | 3 | |
Недобросовестное исполнение обязанностей | Персональные данные сотрудников | 3 |
Система обеспечения безопасности компании | 3 | |
Сведения о схемах размещения систем безопасности | 3 | |
Выполнение вредоносных программ | Внутренняя бухгалтерская документация | 3 |
Сведения о достигнутых соглашениях и договоренностях | 3 | |
Использование информационных активов не по назначению | Сведения о PR-компаниях | 2 |
Финансовые отчеты компании | 2 | |
Персональные данные сотрудников | 2 | |
Система обеспечения безопасности компании | 2 | |
Нарушения персоналом организационных мер по обеспечению ИБ | Сведения о схемах размещения систем безопасности | 2 |
Внутренняя бухгалтерская документация | 2 | |
Сведения о достигнутых соглашениях и договоренностях | 2 | |
Действия неавторизованного субъекта | Сведения о PR-компаниях | 2 |
Финансовые отчеты компании | 2 | |
Персональные данные сотрудников | 2 | |
Неконтролируемая модификация информационного актива | Система обеспечения безопасности компании | 1 |
Сведения о схемах размещения систем безопасности | 1 | |
Несанкционированный доступ | Внутренняя бухгалтерская документация | 1 |
Сведения о достигнутых соглашениях и договоренностях | 1 | |
Сведения о PR-компаниях | 1 |
- 1 2 3 4 5 6 7