На каждом этапе проведения выпускной работы по каждому виду работ определяется уровень квалификации исполнителей. Исполнители выпускной работы: — консультант по технологиям защиты информации (консультант);- экономист;- ИТ-менеджер.
2.3 Внедрение, ввод в действие и обеспечение продуктивного функционирования в ходе эксплуатации КСЗИЦелямиобеспечения информационной безопасностиявляется обеспечение: целостности данных;
требований конфиденциальности информации;
доступности информации. Одной из главных целей обеспечения сетевой безопасности является обеспечение защиты от несанкционированного изменения, подмены и уничтожения. Целостность информации должна гарантировать сохранность информации как в случае действий злоумышленников, так и влияния случайных факторов. Обеспечение целостности данных является как правило одной из самых сложных задач обеспечения сетевой безопасности. Второй главной целью обеспечения безопасности при использовании сетевых технологий является обеспечение конфиденциальности данных. При проектировании системы защиты конфиденциальности данных необходимо определить и обосновать типы обрабатываемой конфиденциальной информации в системе. Основными видами конфиденциальной информации являются:
криптографические системы;
персональные данные;
коммерческая тайна;
информация, определенная локальными нормативными актами предприятия. Обеспечение доступности информации является необходимым условием функционирования автоматизированных систем. Доступными информационными ресурсами в локальных сетях, как правило, являются:
Общие сетевые ресурсы и файловые хранилища;
— Принтеры, сканеры;
— Средства управления и администрирования;
— Программные ресурсы. Таким образом, архитектура информационной безопасности должна одновременно выполнять задачи защиты сетевой информации, а также доступности необходимых компонент для пользователей. Для обработки данных, необходимость защиты которых определяется положениями законодательства Российской Федерации или решением их обладателей, должно проводиться создание АСЗИ, в которых соблюдаются в рамках действующих нормативно-правовых актов требования о ЗИ. Реализация требований о защите информации в АСЗИ производится с использованием системы ЗИ, которая является неотъемлемой составной компонентой АСЗИ. Цель создания системы ЗИ АСЗИ предполагает обеспечение ЗИ от угроз, связанных с неправомерным доступом, уничтожением, модифицированием, блокированием, копированием, предоставлением, распространением, а также от иными неправомерными действиями в отношении указанной информации, соблюдением конфиденциальности данных ограниченного доступа, реализация прав на доступ к информации. Создание (модернизация) АСЗИ предполагает необходимость выполнения требований:
необходимость обеспечения комплексного решения задач по обеспечению информационной безопасности;
— проектирование системы ЗИ АСЗИ должно производиться с учетом возможностей реализации регламентов по защите обрабатываемых данных с использованием в АСЗИ методологий и программного обеспечения по организации сетевого взаимодействия;
— необходимо обеспечение системы ЗИ АСЗИ с учетом обеспечения возможности формирования различных вариантов ее реализации, а также расширения функционала ее компонент в зависимости от условий функционирования АСЗИ и требований о ЗИ;
— ЗИ должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой информации;
— входящие в состав АСЗИ средства ЗИ и контроля эффективности ЗИ не должны препятствовать нормальному функционированию АСЗИ;
— программное обеспечение системы ЗИ должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ и не должно снижать требуемый уровень защищенности информации в АСЗИ;
— программно-технические средства, используемые для построения системы ЗИ, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности информации в АСЗИ. Защита информации в создаваемой АСЗИ является составной частью работ по их реализации и производится во всех организациях, участвующих в процессе создания (модернизации) этих систем. Необходимо осуществление контроля выполнения требований:
к хранению, передаче и обработке защищаемых данных;
— к технологиям взаимодействия с другими подсистемами;
— к условиям использования АСЗИ;
— к персоналу, работающему с системой. Реализация АСЗИ должна производиться в соответствии с техническим заданием. Процесс создания АСЗИ представляет собой совокупность упорядоченных во времени, взаимосвязанных, объединенных в стадии и этапы работ, выполнение которых необходимо и достаточно для создания АСЗИ, соответствующей заданным к ней требованиям. Далее проведем рассмотрение методики аудита информационной безопасности. Проанализируем перечень нормативных актов в рамках обеспечения требований по защите персональных данных ООО «Профсервис» согласно уровню защищенности 3. В качестве параметров оценки выберем степень реализации мер согласно Приказу ФСТЭК России № 21 от 18.
02.2013.
1.ИАФ -Проведение идентификации и аутентификации субъектов и объектов доступа.
ИАФ 1. Наличие идентификации и аутентификации пользователей, входящих в персонал организации.
ИАФ 2. Проведение идентификации и аутентификации используемых устройств. ИАФ 3. Возможность управления идентификаторами, в т. ч. создания, присвоения, уничтожения идентификаторов. ИАФ 4. Возможность управленияаутентификаторами, в том числе хранения, выдачи, инициализации, блокированияаутентификаторов и принятие мер при утрате и (или) компрометации аутентификаторов. ИАФ 5. Возможность защиты обратной связи при вводе в систему. ИАФ 6. Авторизация сторонних пользователей.
2. Технология по управлению доступом (УПД).УПД.1Технология добавления, активации, блокирования, уничтожения пользователей.
УПД.2Разграничение доступа: реализация дискреционного, мандатного, ролевого или иного метода, типов (чтения, записи, выполнения или иного типа) УПД. ЗПроведение фильтрации, маршрутизации, контроля соединений, однонаправленной передачи и иных способовменеджмента информационных потоков между устройствами, блоками информационной системы, а также между подсистемами.
УПД.4Проведение разделения полномочий (ролей) пользователей, администраторов и сотрудников, обеспечивающих работу информационной системы.
УПД.5Назначение минимально возможных прав и привилегий сотрудникам, администраторам и персоналу, обеспечивающемуработу информационной системы.
УПД.6Ограничение возможностей неуспешнойавторизации в информационной системе3. РСБ — регистрация событий безопасности.
РСБ.1Определение событий защиты информации, подлежащих протоколированию, и сроков их хранения.
РСБ.2Определение состава и содержания данных о событиях безопасности, подлежащих протоколированию.
РСБ.ЗСбор, запись и хранение данных о событиях безопасности в течение установленного времени хранения.
РСБ.4Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти.
РСБ.5Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них4. Для критерия М4 (Антивирусная защита):М41: наличие утвержденного положения об антивирусной защите. Источник: ISO 18 045−2008.
Значимость: 0,3;М42: назначение администраторов антивирусной защиты. Источник: ISO 18 045−2008.
Значимость: 0,2;М43: использование единых политик антивирусной защиты, централизованного управления. Источник: ISO 18 045−2008.
Значимость: 0,2;М44: наличие утвержденного перечня носителей информации, исключение использования неутвержденных МНИ. Источник: ISO 18 045−2008.
Значимость: 0,05;М45: блокирование USB-портов на рабочих станциях, где не предусмотрено их использование. Источник: ISO 18 045−2008.
Значимость: 0,05.М46: защита от удаления и отключения АВЗ. Значимость: 0,2 Источник: ISO 18 045−2008.
Значимость: 0,05.
5.Управление инцидентами (ИНЦ)ИНЦ.1Определение лиц, ответственных за выявление инцидентов и реагирование на них.
ИНЦ.2Обнаружение, идентификация и регистрация инцидентов.
ИНЦ.3Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами.
ИНЦ.4Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий.
ИНЦ. 5Принятие мер по устранению последствий инцидентов.
ИНЦ. 6Планирование и принятие мер по предотвращению повторного возникновения инцидентов6. Защита информационной системы (ЗИС)ЗИС1. Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы.
ЗИС 2. Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов.
ЗИС 3. Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных.
ЗИС 4. Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов.
ЗИС 5. Защита Wi-FiЗИС 6. Сегментирование ИСПДн. Для каждого из критериев оценки защищённости ИСПДн определяются коэффициенты значимости. Оценка защищенности производится экспертом по каждой из указанной позиции соответствующего уровня защищенности. Итогом является интегральная оценка от 0 до 1, показывающая степень соответствия защищенности системы требованиям стандартов защиты ИСПДн. Результаты расчетов приведены ниже. В рамках данной работы было проведено создание инструмента для оценивания состояния ИСПДн. Рис.
3.1. Оценка параметра ИАФРис.
3.2. Оценка параметра УПДРис.
3.3. Оценка параметра РСБРис.
3.4. Оценка параметра состояния антивирусной защиты.
Рис.
3.5. Оценка параметра ИНЦВ поля оценок доступен ввод значений в столбцы вероятности как 0 или 1. При этом при попытке ввода некорректного значения выдается сообщение:
Рис.
3.6. Сообщение об ошибке ввода данных.
Если на какую-либо из позиций будет введено 2 вероятности, то программа вычислять итоговый рейтинг не будет, выдав сообщение об ошибке ввода. В рамках данной работы было проведено изучение состояния защиты информации в рассматриваемых условиях значение общего рейтинга было получено около 0,7, что в целом соответствует необходимому уровню систему защиты информации. При этом выработаны рекомендации к совершенствованию защиты информации:
для обеспечения требований к антивирусной защите системы необходимо с использованием централизованной политики запретить использование неучтенных носителей информации, а также заблокировать использование USB-портов для копирования данных на тех рабочих станциях, где это не предусмотрено технологией;
необходимо утвердить список помещений с особым порядком доступа, а также опечатывать помещения, где обрабатывается конфиденциальная информация;
необходимо использовать централизованные политики управления аутентификаторами;
при обмене информацией, содержащей персональные данные, необходимо использовать средства защиты каналов связи (VipNet);привести в систему регистрацию инцидентов информационной безопасности.
Заключение
.
Основной целью данной работы являлся расчет экономической эффективности в рамках принятия управленческих решений при проектировании системы информационной безопасности. Все поставленные задачи в рамках данной работы были выполнены. В данной работе проведен анализ технологии расчета экономической эффективности мер по защите информации на примере анализа типовой информационной системы, на основании полученных результатов даны рекомендации по совершенствованию системы защиты информации. Рассмотрены теоретические основы проведения аудита информационной безопасности. Определен перечень угроз информационной безопасности в типовой технологии, проведена оценка модели нарушителя. Далее проведено рассмотрение теоретических аспектов и математических моделей проведения аудита системы информационной безопасности. Показано, что проведение аудита системы информационной безопасности позволит выявить узкие места в системе защиты информации и дать рекомендации по их устранению. В практический части работы с использованием метода экспертных оценок проведен выбор оптимальной системы для аудита информационной безопасности. Далее определен перечень основных позиций, подлежащих аудиту информационной безопасности.
Для каждой из позиций проведена оценка текущего состояния системы защиты информации и даны рекомендации по ее совершенствованию. На примере системы антивирусной защиты проведены расчеты эффективности данного сегмента информационной безопасности. В соответствии с требованиями, предъявляемыми законодательством к данному классу информационных систем необходимо проведения ряда организационных мер по защите персональных данных. Необходимо наличие документационного обеспечения согласно перечню, утвержденному действующим законодательством. Согласно данным требованиям проведен анализ имеющегося документационного обеспечения, а также организационных и технологических мер по защите персональных данных. Показано, что документационное и программно-техническое обеспечение работы с персональными данными соответствует требованиям действующего законодательства. Показано, что типовая информационная система не имеет целостного подхода к защите информационных ресурсов — политики защиты информации на каждом информационном ресурсе уникальны, что увеличивает трудозатраты специалистов на выполнение требований защиты информации, снижая общую защищенность системы. Проведенные в рамках исследования путем обобщения и развития научно-методического аппарата обеспечения качества оценивания характеристик ПСЗИ в процессе мониторинга и анализа деятельности системы выполнены в рамках решения общей проблемы совершенствования методов оценки ПСЗИ на различных этапах жизнедеятельности. Исследования показали, что повышение и обеспечение точности и достоверности оценивания ПСЗИ достигается за счет комплексного подхода к задаче оценивания характеристик ПСЗИ. В диссертации уделено внимание как научной, так и практической направленности с доведением большинства рассматриваемых вопросов до готовых к применению методик.
При проведении исследований получены следующие теоретические и практические результаты: Разработан научно-методический аппарат оптимального распределения ресурсов измерений для повышения качества оценивания ПСЗИ, основанный на впервые применяемом для задач такого класса, математическом аппарате динамического программирования, ранее не применявшийся при анализе ПСЗИ. Предложенная методика оптимизации планирования измерений атрибутов ПСЗИ позволяет снизить на 10−15% затраты ресурса на проведение измерений, либо повысить качество оценок показателей ПСЗИ. В ходе выполнения работы обоснованы пути решения задачи повышения качества оценивания ПСЗИ разработан комплексный подход, заключающийся в получении интегрального количественного показателя эффективности ПСЗИ, использовании методологического аппарата расчета интегрированного показателя с применением положений теории планирования эксперимента, получения аналитических моделей процессов функционирования ПСЗИ, на основе регрессионного анализа, применении методики планирования измерений атрибутов ПСЗИ, Дальнейшие исследования по вопросам решаемой в работе задачи целесообразно проводить в следующих направлениях. 1.
Совершенствование и обоснование номенклатуры определяемых характеристик ПСЗИ при формировании системы исходных данных для решения, поставленной в работе научной задачи на примере ИС типовой организации. 2. Повышение качества оценок характеристик ПСЗИ путём обоснования требований к измерительным средствам и комплексам, применяемым при проведении мониторинга и анализа ПСЗИ. 3. Углубленная разработка процедур объединения неоднородных данных о свойствах исследуемой ПСЗИ. 4.
Расширение возможностей теоретико-экспериментального метода оценивания характеристик ИБ объектов в различных информационных ситуациях.Списоксокращенийиусловныхобозначений.
АС — автоматизированная система.
АСЗИ — автоматизированная система защиты информации.
БД — база данных.
ИБ — информационная безопасность.
ИС — информационная система.
ИТ — информационные технологии.
ОЗП — основная заработная плата.
СМИБ — система мониторинга информационной безопасности.
СУБД — системы управления базами данных.
ССВ — совокупная стоимость владения.
ФЗП — фонд заработной платы.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ1.TardaskinaT. M. Orhanizatsiyno-ekonomichniskladoviinformatsiynoyibezpekytelekomunikatsiynykhmerezhzahal'nohokorystuvannya: avtoref. dys. nazdobuttyanaukstupenyaek. nauk: spets. 08.
00.04. ekonomikataupravlinnyapidpryyemstvamy (zavydamyekonomichnoyidiyal'nosti) / T.M. Tardaskina — Odesa, 2008. — 24s. 1012. H.
ranaturovV.M. Metodychnyypidkhiddootsinkyvytratnazabezpechennyainformatsiynoyibezpekytelekomunikatsiy / V.M.Hranaturov, L. V. M ykhaylova // VisnykKhmel’nyts’kohonatsional’nohouniversytetu. — 2014. — №.
5, T. 1. — S. 235−239.
3. Larina I.E. Ekonomika zashchity informatsii: ucheb. posob. /I.E. Larina. — M.: MHIU, 2007. — 92s.
4. Holikov Yu. A. E konomicheskaya ffektivnost' sistemy zashchity informatsii: ucheb. posob.
/ Y u. A. H olikov, L. Y u.
S ul’hina. -N: S&# 183;HHA, 2012. — 41 s.Infotecs. Защита для бизнеса. [.
Электронный ресурс]. — Режим доступа:
http://www.infotecs.ru/products/, свободный. Яз.рус. (дата обращения 01.
03.2016)KasperskyEndpointSecurity. Антивирус Касперского для бизнеса. [Электронный ресурс]. — Режим доступа:
http://www.kaspersky.ru/protect-my-business/, свободный. Яз.рус. (дата обращения 01.
03.2017)SecretDisk4. Шифрование данных. [Электронный ресурс]. Режим доступа:
http://www.aladdin-rd.ru/catalog/secret_disk/personal/, свободный. Яз.рус. (дата обращения 01.
03.2016)Абдикеев Н. М. Информационный менеджмент.
М.: ИНФРА-М¸ 201. — 658с. Аксенов В. В. Аудит системы менеджмента информационной безопасности. Руководство. 2012 г. [Электронный ресурс]. — Режим доступа:
http://itsec.by/, свободный. Яз. рус. (дата обращения: 09.
09.2013). Алешенков М. Основы национальной безопасности/М.Алешенков /Основы безопасности жизни.-2015.-№ 11.-С.5−10.Андреев Э. М., Миронов А. В. Социальные проблемы интеллектуальной уязвимости и информационной безопасности //Социальногуманитарныезнания.-2011.-№ 4.-С.169−180.Андрианов В. В., Зефиров С. Л., Голованов В. Б., Голдуев Н. А. Обеспечение информационной безопасности бизнеса. — М.: Альпина Паблишерз, 2011. -.
338с.Астахов А. М. Искусство управления информационными рисками. — М.: ДМК Пресс, 2010. — 314 с. Аудит информационных систем.
Регола-мониторинг. [ Электронный ресурс]. URL:
http://spb.systematic.ru/about/news/regola-monitoring.htm (дата обращения: 10.
12.2015)Брандман Э. М. Глобализация и информационная безопасность общества/Э.М.Брандман //Философия и общество.-2011.-№ 1.-С.31−41.Брандман Э. М. Цивилизационные императивы и приоритеты информационной безопасности общества/Э.М.Брандман //Философия и общество.-2011.-№ 3.-С.60−77.-Предпринимательство, с.131−144.Гафнер В. В. Информационная безопасность: Учебное пособие / В. В. Гафнер. — Рн/Д: Феникс, 2011.
— 324 c. Гашков С. Б., Применко Э. А., Черепнев М. А. Криптографические методы защиты информации. — М.: Академия, 2011. — 304 с. Герасименко В. А., Малюк А. А. Основы защиты информации. — М.: МИФИ, 2012.
— 410c.Грибунин.
В.Г. Комплексная система защиты информации на предприятии. — М.: Академия, 2011. -.
416 с. Гришина Н. В. Комплексная система защиты информации на предприятии. — М.: Форум, 2011. — 240 с. Громов Ю. Ю. Информационная безопасность и защита информации: Учебное пособие.
— Ст. Оскол: ТНТ, 2011. — 384 c. Доктрина информационной безопасности //Средства массовой информации постсоветской России: Учеб. пособие /.
Я.Н. Засурский, Е. Л. Вартанова, И. И. Засурский.
М., 2002.-С.262−301.Ефимова Л. Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография. — М.: ЮНИТИ-ДАНА, 2013. — 239 c.
