Диплом (1190269), страница 8

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 8)

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации:

• доступности информации для легальных пользователей (устойчивого функционирования информационной системы ООО СПК «Развитие», при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время);

• целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в информационной системе ООО СПК «Развитие» и передаваемой по каналам связи;

• конфиденциальности - сохранения в тайне определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;

Для достижения основной цели защиты и обеспечения указанных свойств информации система обеспечения информационной безопасности ООО СПК «Развитие» должна обеспечивать эффективное решение следующих задач:

• своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационной системы ООО СПК «Развитие»;

• создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;

• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;

• защиту от вмешательства в процесс функционирования информационной системы ООО СПК «Развитие» посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);

• разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам ООО СПК «Развитие» (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;

• обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);

• защиту от несанкционированной модификации используемых в корпоративной информационной системе ООО СПК «Развитие» программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;

• обеспечение безотказной работы криптографических средств защиты информации.

Поставленные основные цели защиты и решение перечисленных выше задач достигаются:

• строгим учетом всех подлежащих защите ресурсов информационной системы ООО СПК «Развитие» (информации, задач, документов, каналов связи, серверов, автоматизированных рабочих мест);

• регистрацией в журналах действий персонала, осуществляющего обслуживание и модификацию программных и технических средств корпоративной информационной системы;

• полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов ООО СПК «Развитие» по вопросам обеспечения безопасности информации;

• подготовкой должностных лиц (работников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

• наделением каждого работника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам ООО СПК «Развитие»;

• четким знанием и строгим соблюдением всеми пользователями информационной системы ООО СПК «Развитие» требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

• персональной ответственностью за свои действия каждого работника, в рамках своих функциональных обязанностей имеющего доступ к информационным ресурсам ООО СПК «Развитие»;

• непрерывным поддержанием необходимого уровня защищенности элементов информационной среды ООО СПК «Развитие»;

• применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;

• эффективным контролем над соблюдением пользователями информационных ресурсов ООО СПК «Развитие» требований по обеспечению безопасности информации;

• юридической защитой интересов ООО СПК «Развитие» при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц.

Приобретение и установка средств и систем защиты автоматизированных систем (средства защиты от несанкционированного доступа, антивирусные программы и пр.) осуществляются по согласованию с ведущим специалистом по информационной безопасности СБ.

Ввод в действие и снятие с эксплуатации систем защиты АС осуществляются при участии ведущего специалиста по информационной безопасности и уполномоченных работников Дирекции по информационным технологиям.

Угрозы объектам информационной безопасности проявляются в виде:

• разглашения конфиденциальной информации;

• утечки конфиденциальной информации через технические средства различного назначения;

• несанкционированного доступа к охраняемым информационным ресурсам;

• несанкционированного уничтожения и модификации информационных ресурсов;

• нарушения работы автоматизированных систем и сетей.

Источниками угроз могут быть:

• некомпетентность или халатность пользователей или персонала;

• злой умысел, независимо от того, внешним или внутренним относительно систем является источник угрозы;

• умышленное проникновение сторонних лиц в помещения, к аппаратуре и оборудованию;

• случайные события и стихийные бедствия.

Кризисные ситуации могут иметь следующие степени тяжести:

• угрожающая - воздействие на объект информационной безопасности, которое может привести к полному выходу его из строя, а также уничтожение, модификацию или компрометацию (утечку) наиболее важной для ООО СПК «Развитие» информации. Для устранения угрожающей ситуации требуется, как правило, полная или частичная замена оборудования, программ и данных;

• серьезная - воздействие на объект информационной безопасности, которое может привести к выходу из строя отдельных компонентов, потере производительности, а также осуществлению несанкционированного доступа (НСД) к программам и данным. В этом случае система сохраняет работоспособность. Для устранения серьезной ситуации требуется, как правило, частичная замена (восстановление) оборудования, программ и данных, корректировка параметров системы, проведение организационно-технических мероприятий;

• обычная - попытка воздействия на объект информационной безопасности, не наносящая ощутимого ущерба, но требующая реакции и расследования. Для устранения обычной ситуации, как правило, требуется корректировка параметров защиты.

Работа по обеспечению ИБ в Обществе включает следующие этапы:

• определение информации содержащей коммерческую тайну и сроков ее действия;

• категорирование помещений по степени важности, обрабатываемой в них информации;

• определение категории информации обрабатываемой каждой отдельной системой;

• описание системы, определение факторов риска, определение уязвимых мест систем;

• выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;

• выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.

Отнесение информации к коммерческой тайне - установление ограничений на распространение информации, требующей защиты. Перечень сведений, относимых к категории коммерческой тайны определен Приказом по Обществу.

Отнесение информации к коммерческой тайне осуществляется в соответствии с принципами законности, обоснованности и своевременности. Обоснованность отнесения информации к коммерческой тайне заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно - важных интересов ООО СПК «Развитие», вероятных финансовых и иных последствий нарушения режима соблюдения коммерческой тайны. Своевременность отнесения сведений к коммерческой тайне заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Категорирование помещений производится по степени важности обрабатываемой в них информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.

Основная задача этапа описания систем - определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:

• цели и задачи системы;

• пользователи и обслуживающий персонал;

• способы взаимодействия с другими системами как внутри ООО СПК «Развитие», так и с внешними

• объектами;

• физическую топологию сети в зданиях ООО СПК «Развитие»;

• логическую топологию сети ООО СПК «Развитие», ее основные характеристики;

• перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;

• перечень используемого программного обеспечения (системное, прикладное, коммуникационное) и его характеристики.

Факторы риска — возможные ситуации, возникновение которых может расцениваться как угроза, и способные нанести ущерб материального или нематериального характера. Фактор риска оказывает воздействие на определенные участки объектов информационной безопасности и может учитываться или не учитываться в зависимости от степени воздействия на жизнедеятельность ООО СПК «Развитие». Основными факторами риска являются:

• стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному выходу из строя технических средств систем;

• несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в серверных комнатах;

• неисправности и нарушения в функционировании программных и технических средств, отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями или отказами;

• несанкционированные проникновения в информационно-вычислительную систему, в том числе по внешним каналам связи;

• мошенничество или умысел, а также некомпетентность или халатность, которые приводят к нарушению целостности или доступности информации;

• нарушение конфиденциальности отдельных данных;

• несанкционированный доступ к системным и прикладным данным и программам, а также ресурсам систем;

• повторное использование внешних и внутренних носителей информации для съема информации.

Перечень факторов риска может уточняться.

Уязвимые места - элементы технических средств, программ и данных, которые могут быть подвергнуты воздействию факторов риска. Уязвимые места необходимо защищать и контролировать.

К уязвимым местам объектов информационной безопасности относятся:

• все технические средства;

• все автоматизированные рабочие места (АРМ) и терминалы;

• все системное программное обеспечение и системные ресурсы, обеспечивающие функционирование автоматизированных систем и сетей ООО СПК «Развитие»;

• опорная сеть ООО СПК «Развитие» и передаваемые по ней данные;

• конфиденциальная и строго конфиденциальная информация;

• ресурсы и приложения систем, внутренние и внешние носители информации в системах, обрабатывающих конфиденциальную информацию.

Перечень уязвимых мест системы ООО СПК «Развитие» может уточняться.

Для каждого конкретного объекта информационной безопасности осуществляется выбор конкретных средств и методов защиты, контроля и управления с учетом уязвимых мест и факторов риска.

Основным объектом защиты является информация, циркулирующая в программно-аппаратных средствах, информационно-вычислительных системах и сетях, используемых в Обществе.

Основной целью обеспечения ИБ является защита АС и отдельных ее компонентов от воздействия факторов риска, а также минимизация воздействий от них.

Характеристики

Список файлов ВКР