ОПРЕДЕЛЕНИЕ ЭФФЕКТИВНОСТИ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Цель информационной безопасности — обеспечить, бесперебойную работу предприятия и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

Тема разработки информационной политики безопасности на предприятиях, организациях очень актуальна в современном мире. Информационная безопасность (на уровне организаций, предприятий ) это защищённость информации и инфраструктуры поддерживающей от случайных и преднамеренных воздействий искусственного или естественного характера, которые могут нанести недопустимый ущерб, субъектам информационных отношений.

Режим информационной безопасности – это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:

• целостность и доступность информации;

• конфиденциальность информации;

• невозможность отказа, от совершенных действий;

• аутентичность электронных документов..

Цель проекта – совершенствование системы информационной безопасности на предприятии.

Исходя из цели курсового проекта, можно выделить следующие задачи:

проанализировать объекты защиты;

проанализировать действующие системы информационной безопасности;

выявить угрозы информационной безопасности;

выявить недостатки ИБ;

разработать рекомендации по исправлению выявленных недостатков.

Модель обеспечения информационной безопасности

Угрозой безопасности информации в компьютерной сети (КС) являются события или действия, которые могут вызвать изменения функционирования КС, связанные с нарушением защищенности обрабатываемой в ней информации.

Классификация угроз ИБ

Уязвимость информации — это возможность возникновения такого состояния, при котором создаются условия для реализации угроз ИБ.

Атакой на Компьютерные Сети называют действие, совершаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС – это реализация угрозы безопасности и информации в ней.

Проблемы, возникающие с безопасностью информационной передачи при работе в КС, можно разделить на 3 основных типа:

• Перехват информации – целостность информации остается, но её конфиденциальность утрачена;

• Модификация информации – исходное сообщение изменяется либо, полностью подменяется другим и отсылается адресату;

• Подмена авторства. Данная проблема, может иметь серьёзные последствия. Например, лицо может отправлять письма от чужого имени (этот вид обмана называться спуфингом) или Web – сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.

Специфика КС, с точки зрения уязвимости, связана с наличием интенсивного информационного взаимодействия между территориально разнесенными и разнородными элементами.
Уязвимыми, являются буквально все структурно-функциональные элементы КС: серверы (Host-машины), межсетевые мосты (шлюзы, центры коммутации), рабочие станции, каналы связи и т.д.
Известно, большое количество разноплановых угроз ИБ различного происхождения. В литературе встречается множество разнообразных классификаций, подвидов где в качестве критериев деления используются виды порождаемых опасностей, источники появления угроз, степень злого умысла и т.д.

Общая классификация угроз безопасности

Естественные угрозы – это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы – это угрозы КС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

Источники угроз по отношению к КС могут быть внешними или внутренними (компоненты самой КС – ее аппаратура, программы, персонал).

Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему.

Модель реализации угроз информационной безопасности

Недостатки выявленные на предприятии требуют их устранения, поэтому необходимо проведение следующих мероприятий:

• регулярное резервное копирование данных на персональные компьютеры сотрудников, предотвратив тем самым потерю данных из-за сбоев дисков, внесении неверных изменений в документы, отключения электропитания, воздействия вирусов;

• использование встроенных в операционную систему и другие программные продукты, средства автоматического обновления во избежание угроз несанкционированного доступа к персональным компьютерам;

• использование потоковой фильтрации интернет трафика сотрудников и блокировать его для предотвращения, передачи конфиденциальных данных;

• использование корпоративный почтовых серверов для обмена документами с другими сотрудниками и представительствами , ведения деловой переписки;

• проведение тренингов среди сотрудников по повышению компьютерной грамотности и обучения работы с АС предприятия;

• ограничение доступа в архив для не профильных сотрудников – только секретари должны иметь доступ; а также внесения соответствующей информации в трудовой договор, что сотрудник обязуется выполнять положения о мерах информационной защиты.

Проектирование системы информационной безопасности

Следующим этапом построения системы ИБ является ее проектирование, включая систему управления ИБ.

Задача проектирования системы ИБ связана тесно с понятием архитектуры системы информационной безопасности. Построение архитектуры информационной системы безопасности, как интегрированного решения, соблюдение баланса между инвестициями в систему ИБ и уровнем защищенности обеспечивают ряд преимуществ: интеграция подсистем позволит снизить совокупную стоимость владения, повысить возврта инвестиций, при внедрении и улучшает систему управляемости, а следовательно, возможность отслеживания событий, связанных с информационной безопасностью.

Интегрированная архитектура системы ИБ.

К идеологии и созданию комплексной архитектуры системы ИБ компания TopS BI пришла после долгих лет работы с компаниями по проектам обеспечения ИБ. Повышеная эффективность системы ИБ может быть достигнута, если ее компоненты представлены качественными решениями, функционируют как единый комплекс и имеют, централизованное управление. Система информационной безопасности должна строиться на основе анализа рисков, и стоимость ее внедрения и поддержки должна быть адекватной существующим угрозам, экономически обоснованной.

Интегрированная архитектура систем ИБ включает в себя набор подсистем:

• защита периметра сети и межсетевых взаимодействий;

• защита серверов сети;

• средства защиты рабочих станций;

• мониторинг и аудит безопасности;

• средства обнаружения атак и автоматического реагирования;

• комплексная антивирусная защита;

• средства анализа защиты и управления политикой информационной безопасности;

• средства контроля целостности данных;

• средства криптографической защиты;

• инфраструктура открытых ключей;

• резервное копирование и восстановление данных;

• автоматизированная система установки обновлений ПО;

• средства управления безопасности;

• аутентификация и идентификация.

Центром комплексной системы ИБ, реализуемой нашей компанией, служат решения Check Point, с которыми, TopS работает с 1996 года. Выбор других поставщиков решений так же не случаен, они входят в консорциум OPSEC (Open Platform for SECurity), объединяющий более 400 производителей решений в области информационной безопасности и их продукты можно интегрировать в единую систему.

Архитектура системы ИБ включает в себя систему управления информационной безопасности (СУИБ). СУИБ ставит перед собой следующие задачи: систематизация процессов обеспечения ИБ, расстановка приоритетов компании, достижение адекватности системы существующим рискам, достижение ее «прозрачности». Обеспечение «прозрачности» особенно важно, так как позволяет чётко определить, что процессы и подсистемы ИБ взаимосвязаны, какие финансовые и людские ресурсы необходимы для их обеспечения. Создание СУИБ позволяет обеспечить отслеживание изменений, вносимых в систему ИБ, отслеживать процессы выполнения политики безопасности, управлять системой в критичных ситуациях.

Процесс управления безопасностью (Security Management) отвечает за планирование, исполнение, контроль и техническое обслуживание всей инфраструктуры информационной безопасности. Организация этого процесса усложняется тем обстоятельством, что обеспечение ИБ связано не только с защитой информационных систем и бизнес-процессов, которые поддерживаются этими информационными системами. У компании часто существуют бизнес-процессы, не связанные с ИТ, но попадающие в сферу обеспечения информационной безопасности, например: процессы кадровой службы.

Был выработан подход к построению процессно-ролевой модели системы управления информационной безопасности, основываясь на стандарте и методике аудита ЦБ РФ, лучшей практике ITIL, NIST SP800-35 «Guide to Information Technology Security Services», рекомендациях Microsoft service management function (SMF), ISO 27701, а также существующих моделях ISM3, «The Systems Security Engineering Capability Maturity Model». Для построения СУИБ выделяются процессы обеспечения ИБ, описывается их связь с ИТ-процессами, строится ролевая модель. Это обеспечивает «прозрачность» СУИБ, основанной на оценке рисков, позволяет эффективно отслеживать изменения, вносимые в систему ИБ, дает преимущество в страховании информационных рисков, позволяет снизить и оптимизировать стоимость поддержки системы ИБ, пройти сертификацию системы управления.

Становится очевидно – обеспечение информационной безопасности на предприятии является комплексной задачей.

Для решения проблемы обеспечения ИБ необходимо применение организационных, законодательных и программно-технических мер. Пренебрежение хотя бы одним аспектом этой проблемы может привести к утечке информации, стоимость и роль которой в жизни современного общества имеет большое значение.

Для решения, в какой мере система защиты ИБ требуемый уровень безопасности, необходимо оценить эффективность СЗИ показателями, носящими вероятностный характер. Совершенствование нормативной базы, методического обеспечения в области ИБ должно происходить, прежде всего, в этом направлении. Результаты оценки эффективности систем защиты информации могут быть получены при системном подходе. Его обязательность прямо вытекает из ГОСТ Р50922-96. Количественная оценка эффективности СЗИ требует больше усилий, чем используемые качественные методы. Однако и экономичность будет намного выше, и интересы заказчика и разработчика СЗИ, будут защищены более надежно.

Список литературы

1. Галатенко, В.А. “Основы информационной безопасности”. – М.: “Интуит”, 2003.
2. Завгородний, В.И. “Комплексная защита информации в компьютерных системах”. – М.: “Логос”, 2001.
3. Зегжда, Д.П., Ивашко, А.М. “Основы безопасности информационных систем”.
4. Носов, В.А. Вводный курс по дисциплине “Информационная безопасность”.
5. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”.
6. Федеральный закон Российской федерации от 26 июля 2006 г. № 152-ФЗ “О персональных данных”.
7. А. Баутов. Стандарты и оценка эффективности защиты информации. Доклад на Третьей Всероссийской практической конференции “Стандарты в проектах современных информационных систем”. Москва, 23-24 апреля 2003 г.
8. А. Баутов, Экономический взгляд на проблемы информационной безопасности. Открытые системы, 2002, № 2.