Комплексная система защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
я лица, получающего такой пропуск. Разовый пропуск служит путёвкой в организацию, их выдают клиентам либо сотрудникам государственных надзирающих органов. За лицами, имеющими разовый пропуск, охранник с помощью видеонаблюдения обязан вести усиленный контроль:
постоянный;
временный;
разовый.
Таким образом, исходя из особенностей организации, была сформирована инструкция по организации охраны и пропускного режима (см. приложение 4), включающая в себя следующие положения:
цели и задачи охраны;
перечень основных объектов охраны;
состав службы охраны и распределение обязанностей;
основные положения организации пропускного режима, включая особенности защиты конкретных помещений, организацию пропускного режима на КПП, виды пропусков и тп.
2.5Оценка рисков и разработка частной модели угроз
Систему защиты информации на предприятии можно представить как непрерывное противодействие владельца активов и нарушителя, пытающегося за счёт создания угроз информационной безопасности, при помощи воздействия на уязвимости активов создать риск безопасности активов. Владелец для противодействия нарушителю принимает контрмеры по уменьшению риска за счёт воздействия на уязвимости (см. рисунок 6). Такое представление системы защиты позволяет строить модели информационной безопасности на основе теории игр. В таком случае участниками будут соответственно владелец активов и нарушитель, а в качестве матрицы сценариев для каждого участника будут использованы возможные действия над элементами (угрозы, уязвимости, активы, риски, контрмеры). Таким образом, будет матричная, некорпоративная игра с ненулевой суммой: выигрышем для злоумышленника будет количественная величина нанесённого ущерба, а для владельца - величина упущенного выигрыша злоумышленника, в оптимальном решении игры - сохранение полной стоимости активов и предотвращение ущерба.
Рисунок 6. Процессный подход к защите информации
Таким образом, исходя из процессного подхода к защите информации, деятельность по защите должна строиться на последовательном решении следующих задач:
1.Идентификации активов;
2.Идентификации и построения модели нарушителя;
.Идентификация и построение модели угроз информационной безопасности;
.Идентификация уязвимостей активов и системы защиты;
.Оценка комплексного показателя возможности нанесения ущерба владельцу активов - риска;
.Принятие решения о защите информации от имеющихся рисков информационной безопасности.
Комплекс мер по планированию, организации, координации и контроля выполнения указанных задач, документированию процессов, регламентированию действий процесса защиты - есть организационная составляющая защиты информации.
Техническая составляющая - сущность самих контрмер в техническом обличии, это может быть специальное оборудование и средства защиты, средства непосредственной физической охраны активов и тд.
Рассмотрим систему информационной безопасности ООО Кредит Коллектор в соответствии с процессным подходом к защите информации. Решение проблемы по идентификации активов представлено в разделе 2.1, результатом такой оценки является документально оформленный перечень сведений конфиденциального характера.
Идентификация нарушителя - комплексная задача организационной и технической защиты информации, такая задача решается при создании всего комплекса документов по защите информации, всех уровней (см. рисунок 3). Построение модели нарушителя - сложная и многоаспектная стратегическая задача высшего управляющего звена службы информационной безопасности. В рамках данного отчёта ограничимся тем, что в организации ООО Кредит Коллектор такая модель существует и отлично выполняет свои функции, в виде документа высшего уровня на ряду с политикой информационной безопасности.
Цель настоящего раздела - построение модели угроз ИБ. Так как организация ООО Кредит Коллектор небольшого размера, но содержит огромное количество персональных данных и коммерческой тайны, модель угроз будет объединять в себе уязвимости организации, угрозы ИБ и риски ИБ как результативный комплексный показатель. Оценка рисков будет производиться экспертными методами, включая метод многомерного шкалирования. За основу для построения модели угроз использованы рекомендации ISO 27005, ISO 13335-3.
Частная модель угроз включает в себе пять блоков, на основе которых выполняется оценка рисков и вывод об их актуальности, зафиксированный в приложениях к частной модели угроз:
.Основные уязвимости, оцененные экспертами как актуальные для ООО Кредит Коллектор - позволяют идентифицировать угрозы безопасности (см. рисунок 6). Перечень уязвимостей активов есть отправная точка для деятельности комиссии по анализу рисков. Изменение такого перечня в частной модели угроз в ООО Кредит Коллектор не рекомендуется;
.Уровни информационной инфраструктуры - позволяют оценить уровень угрозы ИБ с точки зрения распределения информационных потоков. Идентификация таких уровней в модели угроз позволяет направлять использовать деятельность по защите от конкретных угроз в конкретные подразделения. Например, угроза на физическом уровне, скорее всего, будет адресована подразделению занимающемуся физической охраной активов.;
.Источники угроз ИБ - основа для построения модели нарушителя, позволяет идентифицировать источник угроз?/p>