Оглавление Введение .........................................................................................................................3 1 Аналитическая часть ..............................................................................................4 Технико-экономическая 1.1 характеристика предметной области и предприятия (Установление границ рассмотрения) ..................................................4 1.1.1 Общая характеристика предметной области ..........................................4 1.1.2 Организационно-функциональная структура предприятия........ Error! Bookmark not defined. Анализ рисков информационной безопасности ...........................................5 1.2 1.2.1 Идентификация и оценка информационных активов ............................5 1.2.2 Оценка уязвимостей активов ................. Error! Bookmark not defined. 1.2.3 Оценка угроз активам ............................. Error! Bookmark not defined. 1.2.4 Оценка существующих и планируемых средств защиты ........... Error! Bookmark not defined. 1.2.5 Оценка рисков ......................................... Error! Bookmark not defined. Характеристика комплекса задач, задачи и обоснование необходимости 1.3 совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии .......................................................................................6 1.3.1 Выбор комплекса задач обеспечения информационной безопасности . 6 1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации .................................................................. Error! Bookmark not defined. Выбор защитных мер .......................................................................................7 1.4 1.4.1 Выбор организационных мер ...................................................................7 1.4.2 Выбор инженерно-технических мер ..... Error! Bookmark not defined. 2 Проектная часть ......................................................................................................8 2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия....................................................8 2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия ...................................................................................................................8 Организационно-административная 2.1.2 основа создания системы обеспечения информационной безопасности и защиты информации предприятия Error! Bookmark not defined. Комплекс проектируемых программно-аппаратных средств обеспечения 2.2 информационной безопасности и защиты информации предприятия .....................9 Структура 2.2.1 программно-аппаратного комплекса информационной безопасности и защиты информации предприятия....................................................9 Контрольный пример реализации проекта и его описание ........ Error! 2.2.2 Bookmark not defined. 3 3.1 Обоснование экономической эффективности проекта .....................................10 Выбор и обоснование методики расчёта экономической эффективности ... 10 3.2 Расчёт показателей экономической эффективности проекта ....................11 Заключение ...................................................................................................................12 Список использованной литературы .........................................................................13 Приложение 1. Общие положения политики информационной безопасности ЗАО «Московский Прожекторный Завод» ........................ Error! Bookmark not defined. Приложение 2. Общие требования по обеспечению информационной безопасности ....................................................................................... Error! Bookmark not defined. Приложение 3. Инструкция по работе с персоналомError! Bookmark not defined. Введение Информационная безопасность – одно из популярнейших сегодня понятий. Наша жизнь уже неразрывно связана с информационными технологиями в современном их понятии, и поэтому защищать свои данные уже приходится каждому из нас. Одно из основных направлений в обеспечении информационной безопасности – это безопасность при пользовании удаленными сервисами, что особенно актуально при совершении финансовых транзакций. Безопасность в сфере информационных технологий — это комплекс мер, и она должна восприниматься как система. Компьютерная безопасность имеет различные аспекты, среди которых нельзя выделить более значимые или менее. Здесь важно все. Нельзя отказаться от какой-либо части этих мер, иначе система не будет работать. Компьютерная безопасность мало отличается от безопасности в общем смысле. В обычной жизни никто не будет ставить железную дверь с хорошим замком на деревянный амбар с дыркой в стене. Точно так же и автомобиль с хорошей резиной, но неисправными тормозами будет небезопасен. Аналогично и при обеспечении компьютерной безопасности важно соблюдать меры защиты во всех точках соприкосновения с агрессивной средой. Каждый информационный ресурс, будь то компьютер пользователя или сервер организации, должен быть полностью защищен. Защищены должны быть файловые системы, сеть и т.д. Доступ к данным тоже должен быть безопасным, и люди, работающие с информацией, могут рассматриваться как звено в цепочке механизма, который обеспечивает работоспособность и безопасность всей системы. В нашей работе будут рассмотрены вопросы, касающиеся построения системы комплексной системы защиты информации в ЗАО «Московский Прожекторный Завод». Целью настоящей работы является рассмотрение существующего положения с обеспечением информационной безопасности в данной организации, принятие решение о модернизации существующей системы информационной безопасности, обоснование решений по организационным, 1 Аналитическая часть 1.1 Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения) 1.1.1 Общая характеристика предметной области ЗАО «Московский Прожекторный Завод» (основано в 1932 году) - крупное, стабильно работающее предприятие на рынке энергообеспечения Военнопромышленного комплекса страны. Предприятие проводит большой объем научноисследовательских и опытно-конструкторских работ по выполнению государственного оборонного заказа по серийным поставкам оборудования (в том числе, на экспорт) по различным направлениям военной техники для РВСН, ПВО, сухопутных и инженерных войск. Основываясь на своих компетенциях, завод производит широкую номенклатуру оборудования для различных отраслей промышленности, ЖКХ, медицины, транспорта. Высокое качество изделий завода основывается на проверенных технологиях ОПК (от проекта до заводских испытаний), которые были отработаны на разнообразных заказах для Министерства обороны. Профиль деятельности: научно-исследовательские и опытно-конструкторские разработки; разработка, производство, испытание систем управления подачей и распределением электроэнергии для продукции военного назначения; выпуск широкого спектра продукции гражданского назначения – электростанции, металлическая мебель, стабилизаторы; торговая деятельность – реализация продукции отечественного и импортного производства. Многопрофильное промышленное производство, оснащенное современным оборудованием с числовым программным управлением (ЧПУ). Система автоматизации проектирования и технологической подготовки производства (САПР). Система Менеджмента Качества, соответствующая требованиям ГОСТ РВ 15.002-2003 (Военный регистр) и ГОСТ ИСО 9001-2001 1.2 Анализ рисков информационной безопасности 1.2.1 Идентификация и оценка информационных активов Основу процесса анализа риска составляет определение: что надо защищать, от кого и как. Для этого выявляются активы (компоненты АС), нуждающиеся в защите. Некоторые активы (например, технические и программные средства) идентифицируются очевидным образом. Про некоторые активы (люди, расходные материалы) часто забывают. При идентификации активов могут быть затронуты и нематериальные ценности, способные, однако, пострадать от нарушения режима безопасности, например: репутация компании, моральный климат в коллективе. Информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия, модификации или недоступности в течение определенного времени; Программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности. Т.е. требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов компании, к ним будет нарушен доступ, и вследствие этого компания понесет убытки; Защите подлежит: вся конфиденциальная информация и информационные ресурсы, независимо от ее представления и местонахождения в информационной среде компании: сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации в соответствии с Федеральным законом "О коммерческой тайне"; Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ; 1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 1.3.1 Выбор комплекса задач обеспечения информационной безопасности На основе ранее проведенного анализа рисков и угроз выяснено, что наиболее актуальной угрозой для рассматриваемой компании является несколько угроз, в том числе утечки информации и заражение вирусным программным обеспечением. Следовательно, модернизация системы защиты должна быть направлена на защиту от утечек информации и усиление антивирусной защиты. Нарушитель, имеющий легальный доступ к корпоративной сети, может вынести информацию за пределы периметра многими способами, например такими как: Копирование на съемный носитель(flash-память,DVD и т.п.) Пересылка по электронной почте (в т.ч. web-почте) Передача файла через сторонний ресурс (файлообменник, форум в Интернете и т.д.) Отправка текстового фрагмента посредством IM Печать на бумаге и вынос за пределы организации (контролируемой Визуальный съем информации (в т.ч. с использованием технических зоны) средств) В каждом случае нарушитель имеет легальный (обусловленный его служебными обязанностями) доступ к информации. Запретить этот доступ невозможно, сам факт доступа также не является нарушением. Поэтому перед службой информационной безопасности встаёт проблема интерпретации и анализа действий пользователя. И тут на помощь может прийти система предотвращения утечки данных (data loss prevention – DLP). В самом простом случае критичная информация является просто набором файлов. Тогда для сохранения её конфиденциальности можно использовать 1.4 Выбор защитных мер 1.4.1 Выбор организационных мер К организационным мероприятиям охраны конфиденциальной информации можно отнести следующие положения. 1. Провести анализ фактического состояния системы защиты от НСД. 2. Определить перечень информации, составляющей конфиденциальную информацию. 3. Назначить ответственное лицо за соблюдение режима конфиденциальности. 4. Ограничить доступ к конфиденциальной информации путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка. 5. Разработать памятку по обеспечению режима конфиденциальности. 6. Вести учет лиц, получивших доступ к конфиденциальной информации и лиц, которым такая информация была предоставлена или передана. 7. Наносить на материальные носители (документы и т.д.), содержащие конфиденциальную информацию, соответствующий гриф. 8. Организовать обучение работников правилам обращения с информацией конфиденциального характера. Кроме того, так как на настоящее время в организации нет единой системы организационного обеспечения информационной безопасности, предлагается в составе отдела информационных технологий ввести должность сотрудника, ответственного за обеспечение информационной безопасности компании. Как вариант, эта должность может называться заместитель генерального директора по безопасности. Функции данного сотрудника могут заключаться в следующем: обеспечение безопасности производственно-торговой деятельности и защиты информации и сведений, являющихся коммерческой тайной; организация работы по правовой, организационной иинженерно- технической (физической, аппаратной, программной и математической) защите коммерческой тайны; 2 Проектная часть 2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия Правовую основу обеспечения информационной безопасности в Российской Федерации составляют Конституция Российской Федерации, Гражданский Кодекс Российской Федерации, Уголовный Кодекс Российской Федерации, Федеральные законы Российской Федерации «О безопасности», «О государственной тайне», «Об информации, информатизации и защите информации», «О связи», «Об участии в международном информационном обмене», «О техническом регулировании». А также другие нормативные правовые акты Российской Федерации, Доктрина информационной безопасности Российской Федерации, международные договоры и соглашения, заключенные или признанные Российской Федерацией. Основные положения государственной политики в сфере обеспечения информационной безопасности изложены в Концепции национальной безопасности Российской Федерации и Доктрине информационной безопасности Российской Федерации. Согласно Доктрине информационной безопасности Российской Федерации выделены четыре основные составляющие национальных интересов РФ в информационной сфере: обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени; области укрепление механизмов правового регулирования отношений в охраны интеллектуальной собственности, создание условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации 2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия Решение состоит из следующих модулей: Модуль для защиты периметра корпоративной сети - InfoWatch Traffic Monitor Модуль для защиты рабочих станций - InfoWatch Device Monitor Модуль централизованного архивирования и управления - InfoWatch Forensic Storage Рисунок 2.1 Схема работы InfoWatch Traffic Monitor Standard Модуль для защиты периметра корпоративной сети –InfoWatch Traffic Monitor Осуществляет контроль данных, передаваемых с помощью web-почты, блогов, форумов и др., зашифрованного Интернет-протокола, корпоративной почтовой системы и систем обмена мгновенными сообщениями (например, ICQ) и включает в себя несколько под-модулей. InfoWatch Traffic Monitor for Web для контроля данных, передаваемых с помощью web-почты, блогов, форумов и др. InfoWatch Traffic Monitor for HTTPS для контроля данных, передаваемых с помощью зашифрованного Интернет-протокола 3 Обоснование экономической эффективности проекта 3.1 Выбор и обоснование методики расчёта экономической эффективности В соответствии с современной теорией оценки эффективности систем [15], качество любого объекта, в том числе и СЗИ, проявляется лишь в процессе его использования по назначению (целевое функционирование), поэтому наиболее объективным является оценивание по эффективности применения. Проектирование, организация и применение СЗИ фактически связаны с неизвестными событиями в будущем и поэтому всегда содержат элементы неопределенности. Кроме того, присутствуют и другие причины неоднозначности, такие как недостаточно полная информация для принятия управленческих решений или социально-психологические проектирования СЗИ факторы. естественным Поэтому, образом например, сопутствует этапу значительная неопределенность. По мере реализации проекта ее уровень снижается, но никогда эффективность СЗИ не может быть адекватно выражена и описана детерминированными показателями. Процедуры испытаний, сертификации или лицензирования не устраняют полностью неопределенность свойств СЗИ или ее отдельных элементов и не учитывают случайный характер атак. Поэтому объективной характеристикой качества СЗИ - степенью ее приспособленности к достижению требуемого уровня безопасности в условиях реального воздействия случайных факторов, может служить только вероятность, характеризующая степень возможностей конкретной СЗИ при заданном комплексе условий. В общей теории систем такая характеристика называется вероятностью достижения цели операции или вероятностью выполнения задачи системой. Данная вероятность должна быть положена в основу комплекса показателей и критериев оценки эффективности СЗИ. При этом критериями оценки служат понятия пригодности и оптимальности. Пригодность означает выполнение всех установленных к СЗИ требований, а оптимальность — достижение одной из характеристик экстремального значения при соблюдении ограничений и условий на другие свойства системы. При выборе конкретного критерия необходимо его согласование с целью, возлагаемой на СЗИ. 3.2 Расчёт показателей экономической эффективности проекта В предыдущем разделе была рассчитана суммарная величина потерь в случае реализации рассмотренных угроз. В данном пункте рассчитаем постоянные и переменные затраты на разработку документов для обеспечения системы защиты информации и внедрение аппаратно-программного комплекса, определим экономическую эффективность ее внедрения и срок окупаемости предлагаемых мер. В ходе проектирования, внедрения и эксплуатации системы безопасности возможны разовые и постоянные затраты. К разовым затратам относятся следующие: Заработная плата персонала при разработке системы безопасности, в том числе политики безопасности; Затраты на приобретение материалов, аппаратного и программного обеспечения. К постоянным затратам отнесем такие затраты, как заработная плата сотрудников, поддерживающих работоспособность системы безопасности информационной системы. Разовые затраты оценены в таблице 3.3.. Таблица 3.1 Содержание и объем разового ресурса, выделяемого на защиту информации Организационные мероприятия № п\п 1. 2. 3. 4. 5. 6. Выполняемые действия Изучение требований руководящих документов Исследование существующей информационной системы Определение информационных активов Определение существующих угроз Определение уязвимых мест Определение мероприятий по обеспечению ИБ Среднечасовая зарплата специалиста (руб.) Трудоемкость операции (чел.час) Стоимость, всего (тыс.руб.) 138 28,8 3,312 138 21,6 2,484 138 14,4 1,656 138 24 2,76 138 40,8 4,692 138 67,2 7,728 Заключение Одним из основных сдерживающих факторов внедрения информационных систем и информационных и коммуникационных технологий в сферы экономики и бизнеса является их принципиальная уязвимость от различного рода угроз. Информационная безопасность компьютерных систем, рассматриваемая как состояние их защищенности от воздействий деструктивного характера, является в настоящее время одной из самых существенных проблем, причем их значимость по мере масштабов внедрения компьютерной техники во все жизненно важные сферы жизнедеятельности общества, будет только возрастать. Однако отсутствие надлежащих знаний, умений и навыков в области ИБКС чревато серьезными издержками при использовании ИКТ в сфере экономики и бизнеса, поскольку одним из основных принципиальная сдерживающих уязвимость от факторов различного рода их внедрения угроз является информационной безопасности. Сложность, многоаспектность и чрезвычайная важность для пользователей ИКТ проблематики ИБКС (в условиях конкурентной борьбы в рамках современных рыночных отношений, когда понятия информационного противоборства и информационного оружия отражают реалии современного бизнеса) требуют комплексного, системного подхода к её изучению. Понятие безопасности – чрезвычайно сложное, как сама жизнь, явление, с признаками общего, особенного и единичного. Безопасность в глобальном плане – это состояние защищенности личности, общества, государства и ноосферы от многообразных факторов, базирующееся на деятельности людей, общества, государства, мирового сообщества по выявлению (изучению), предупреждению, ослаблению, устранению (ликвидации) и отражению опасностей и угроз, способных погубить их, лишить фундаментальных материальных и духовных ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития. Итак, в нашей работе был произведен анализ угроз, которые могут возникнуть в ходе деятельности ЗАО «Московский Прожекторный Завод», а также определены основные программные, аппаратные и административные факторы обеспечения информационной безопасности. Разработана политика безопасности компании, предложено внедрить систему защиты от утечек информации, в Список использованной литературы 1. Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2005 г.- 399 с. 2. Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2006.-193 с. 3. Бузов Г.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.- Горячая линияТелеком.-2005.-416 с. 4. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002г.-272с. 5. Домарев В.В. "Безопасность информационных технологий. Системный подход" - К.:ООО ТИД «Диасофт», 2004.-992 с. 6. Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003, 212 с. 7. Карпунин М.Г., Моисеева Н.К. «Основы теории и практики функционально-i стоимостного анализа». — М. Высшая школа, 1988. 8. Кнорринг Г.М. Справочная книга для проектирования электрического освещения / Г.М.Кнорринг, И.М.Фадин, Сидоров В.Н. — 2-е изд., перераб. и доп. — СПб.: Энергоатомиздат, 1992 .— 448с. 9. Кульгин М. В.,Технология корпоративных сетей. Энциклопедия. СПб, Питер, 2001, 300 с. 10. Лапонина О. Р., Межсетевое экранирование, Бином, 2007 г.-354с. 11. Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2002 г, 304 с. 12. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2004.-280 с.