Курсовая работа По пм. 03 «Программно-аппаратные и технические средства защиты информации»

Ім'я файлу: методы+построения+комплексной+защиты+управления+информационной+б
Розширення: docx
Розмір: 104кб.
Дата: 29.11.2020
скачати
Пов'язані файли:
хир.docx
телереклама.docx

ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ и науки ГОРОДА МОСКВЫ

Государственное бюджетное ПРОФЕССИОНАЛЬНОЕ образовательное учреждение ГОРОДА МОСКВЫ

Колледж автоматизации

и информационных технологий № 20

Курсовая работа

По ПМ.03 «Программно-аппаратные и технические средства защиты информации»

Тема:Методы построения комплексной защиты управления информационной безопасностью

СтудентЯриков М.А.	Курс, группа 4 курс, от415
Дата защиты «__»____________2020г.	Оценка _______________________

Руководитель курсовой работы ______________

Москва

2020

Содержание

ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ и науки ГОРОДА МОСКВЫ 1

Государственное бюджетное ПРОФЕССИОНАЛЬНОЕ образовательное учреждение ГОРОДА МОСКВЫ 1

Курсовая работа 1

Введение 5

Раздел 1. Теоретические аспекты темы исследования 7

1.1 Анализ состояния дел в области информационной безопасности 7

1.2 Цели системы информационной безопасности и пути их достижения 11

1.3 Организационно-технологический анализ информационной системы (ИС) предприятия 12

Раздел 2. Анализ и характеристика модели построения комплексной защиты управления информационной безопасностью на примере ООО «Свобода и Безопасность» 16

2.1 Модель построения системы информационной безопасности 16

2.2 Формирование организационной политики безопасности 24

Заключение 29

Список использованных источников 30

Введение 3

Раздел 1. Теоретические аспекты темы исследования 5

1.1 Анализ состояния дел в области информационной безопасности 5

1.2 Цели системы информационной безопасности и пути их достижения 9

1.3 Организационно-технологический анализ информационной системы (ИС) предприятия 10

Раздел 2. Анализ и характеристика модели построения комплексной защиты управления информационной безопасностью на примере ООО «Свобода и Безопасность» 14

2.1 Модель построения системы информационной безопасности 14

2.2 Формирование организационной политики безопасности 22

Заключение 27

Список использованных источников 28

Введение

Актуальность. Подход к совершенствованию функционирования любого предприятия, достижения цели его работы, которая в большинстве случаев сводится к занятию лидерства на определённом сегменте рынка, сводится к повышению эффективности всех производственных процессов. Современные информационные системы и информационные технологии играют одну из ведущих ролей в решении задач повышения эффективности всех производственных процессов в целом.

Обеспечение безопасности информационной системы, непосредственно информационных ресурсов предприятия, а также всех остальных ресурсов является одной из приоритетных задач для современного предприятия.

Существование конкурентной информационной среды, т.е. среды в которой проводятся специальные информационно-психологические операции со стороны потенциальных конкурентов, целью которых является минимизация влияния или уничтожение своих оппонентов, говорит о необходимости организации комплексной защиты. При этом под комплексной защитой подразумевается решение двоединой задачи: защиты собственных информационных ресурсов и защите от негативного информационного влияния конкурентов.

Объект — комплексная защита управления информационной безопасностью.

Предмет — это процесс изучения и анализ методов комплексной защиты управления информационной безопасностью

Цель исследования – исследование методов и моделей построения комплексной защиты управления информационной безопасностью.

На основе цели исследования были определены основные задачи, которые требуется решить:

- анализ состояния дел в области информационной безопасности;

- изучение целей системы информационной безопасности и пути их достижения;

- характеристика модели построения системы информационной безопасности;

- исследования формирования организационной политики безопасности

Структура работы. Курсовая работа состоит с: введения, основной части (2-х разделов), заключения и списка использованных источников.

Раздел 1. Теоретические аспекты темы исследования

1.1 Анализ состояния дел в области информационной безопасности

Анализ состояния дел в области информационной безопасности показывает, что в ведущих странах сложилась достаточно четко очерченная система концептуальных взглядов на проблемы информационной безопасности.

И, тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, а имеют достаточно устойчивую тенденцию к росту.

Это свидетельствует о том, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация обеспечения безопасности информационной системы.

Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов.

Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности. Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, потенциально возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть одноразовым актом.¹

Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Комплексный характер защиты информации проистекает, прежде всего, из характера действий злоумышленников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.

Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм — систему информационной безопасности. Только в этом случае появляются системные свойства не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.

Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа к ней.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами. ²

Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты.

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Защита информации должна быть:³

централизованной; необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
плановой; планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
конкретной и целенаправленной; защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;
активной; защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом “обнаружить и устранить” принцип “предвидеть и предотвратить”;
надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
открытой для изменения и дополнения мер обеспечения безопасности информации;
экономически эффективной; затраты на систему защиты не должны превышать размеры возможного ущерба.

Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут не бесполезны создателям систем информационной безопасности:

средства защиты должны быть просты для технического обслуживания и “прозрачны” для пользователей;
каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;
независимость системы защиты от субъектов защиты;
разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
отсутствие на предприятии излишней информации о существовании механизмов защиты.

Все перечисленные позиции должны лечь в основу формирования системы защиты информации.

При обеспечении информационной безопасности существует два аспекта:

формальный, связанный с определением критериев, которым должны соответствовать защищаемые информационные технологии;
практический, характеризующий порядок определения конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии.

Критерии, которым должны соответствовать защищаемые информационные технологии, являются объектом стандартизации более пятнадцати лет. В настоящее время разработан проект международного стандарта “Общие критерии оценки безопасности информационных технологий”.

Первой удачной попыткой стандартизации практических аспектов безопасности стал британский стандарт BS 7799 “Практические правила управления информационной безопасностью”, изданный в 1995 году, в котором обобщен опыт обеспечения режима информационной безопасности в информационных системах разного профиля. Впоследствии было опубликовано несколько аналогичных документов: стандарты различных организаций и ведомств, например, германский стандарт BSI. Содержание этих документов в основном относится к этапу анализа рисков, на котором определяются угрозы безопасности и уязвимости информационных ресурсов, уточняются требования к режиму ИБ. ⁴

Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о единой концепции ИБ.

1.2 Цели системы информационной безопасности и пути их достижения

Главной целью любой системы информационной безопасности является:

- обеспечение устойчивого функционирования объекта,

- предотвращение угроз его безопасности,

- защита законных интересов Заказчика от противоправных посягательств,

- недопущение хищения финансовых средств,

- разглашения, утраты, утечки, искажения и уничтожения служебной информации,

- обеспечение нормальной производственной деятельности всех подразделений объекта.

Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Достижение заданных целей возможно в ходе решения следующих основных задач:⁵

* отнесение информации к категории ограниченного доступа (служебной тайне);

* прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

* создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

* создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

* создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.

1.3 Организационно-технологический анализ информационной системы (ИС) предприятия

Оценка соответствия типовым требованиям руководящих документов Российской Федерации к системе информационной безопасности предприятия в области организационно-технологических норм. Рассмотрим основные пункты плана организационно-технологического анализа информационной системы (ИС) предприятия.

1. Работы по исследованию и оценке информационной безопасности объекта.

2. Разработка рекомендаций по организационно-управленческому, технологическому, общетехническому обеспечению режима информационной безопасности предприятия:

- разработка элементов концепции обеспечения информационной безопасности предприятия.

- разработка элементов корпоративной политики обеспечения информационной безопасности предприятия на организационно-управленческом, правовом и технологическом уровне.

3. Экспертиза решений и проектов.

3.1. Экспертиза решений и проектов автоматизации на соответствие требованиям по обеспечению информационной безопасности экспертно-документальным методом.

3.2. Экспертиза проектов подсистем информационной безопасности на соответствие требованиям по безопасности экспертно-документальным методом.

4. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации:⁶

4.1. Анализ документооборота предприятия категории "конфиденциально" на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.

4.2. Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.

5. Работы, поддерживающие практическую реализацию плана защиты информационной системы (ИС) предприятия.

5.1. Разработка технического проекта модернизации средств защиты комплексной информационной системы (КИС), установленных у Заказчика по результатам проведенного комплексного аналитического исследования корпоративной сети.

5.2. Разработка системы поддержки принятия решений на предприятии Заказчика по обеспечению информационной безопасности предприятия на основе CASE-систем и программных систем поддержки принятия решений СППР.

5.3. Подготовка предприятия к аттестации.

- Подготовка "под ключ" предприятия к аттестации объектов информатизации заказчика на соответствие требованиям рабочей документации РД РФ.

- Подготовка предприятия к аттестации КИС на соответствие требованиям по безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности предприятия.

5.4. Разработка организационно-распорядительной и технологической документации:

- Разработка расширенного перечня сведений ограниченного распространения как части политики безопасности.

- Разработка пакета организационно-распорядительной документации (ОРД) в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.

- Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровнях.

6. Повышение квалификации и переподготовка специалистов:

6.1. Тренинги в области организационно-правовой составляющей защиты информации.

6.2. Обучение основам экономической безопасности.

6.3. Тренинги в области технологии защиты информации.

6.4. Тренинги по применению продуктов (технических средств) защиты информации.

6.5. Обучение действиям при попытке взлома информационных систем.

7. Сопровождение системы информационной безопасности после проведенного комплексного анализа или анализа элементов системы информационной безопасности предприятия.⁷

8. Ежегодная переоценка состояния информационной безопасности (ИБ).

Раздел 2. Анализ и характеристика модели построения комплексной защиты управления информационной безопасностью на примере ООО «Свобода и Безопасность»

2.1 Модель построения системы информационной безопасности

ООО «Свобода и Безопасность» с момента основания в 2015 году взяла курс на предоставление качественных и высокотехнологичных услуг на рынке систем обеспечения безопасности. Они проводят монтаж таких слаботочных систем как видеонаблюдение, охранной сигнализации, комплексных систем безопасности, систем контроля и управления доступом, видеодомофонных и аудиодомофонных систем.

Залогом успеха работы ООО «Свобода и Безопасность» является сбалансированное соотношение цены и качества реализуемых проектов. Индивидуальный подход к Заказчику с грамотно разработанным техническим заданием, точно и качественно выполненный рабочий проект, квалифицированный и вежливый персонал - визитная карточка компании. Спроектированные и установленные системы обеспечения безопасности работают надежно и высокоэффективно.

При выполнении работ используется следующую модель построения системы информационной безопасности ООО «Свобода и Безопасность» (рис.2), основанную на адаптации (ISO 15408) и проведении анализа риска (ISO 27005).

Рис. 2. Модель построения системы информационной
безопасности предприятия

Модель построения системы информационной
безопасности предприятия ООО «Свобода и Безопасность» построена по международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности".

Представленная модель информационной безопасности ООО «Свобода и Безопасность» - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рассматриваются следующие объективные факторы:

* угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

* уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;

* риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери - прямые или косвенные).⁸

Для построения сбалансированной системы информационной безопасности ООО «Свобода и Безопасность» предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия.

Систему информационной безопасности ООО «Свобода и Безопасность» (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.

Методика проведения аналитических работ при построении системы информационной безопасности.

Предлагаемая методика позволяет:

* полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасностью;

* избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;

* оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;

* обеспечить проведение работ в сжатые сроки;

* представить обоснование для выбора мер противодействия;

* оценить эффективность контрмер, сравнить различные варианты контрмер.

Определение границ исследования:

В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков.

При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные. Примерами внешних элементов являются сети связи, внешние сервисы и т. п.⁹

Построение модели информационной технологии:

При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

Эта модель, в соответствие с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т. д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

Выбор контрмер: на основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут являться рекомендации по проведению регулярных проверок эффективности системы защиты.

Управление рисками: обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

Оценка достигаемой защищенности: в завершение работ, можно будет определить меру гарантии безопасности информационной среды Заказчика, основанную на оценке, с которой можно доверять информационной среде объекта¹⁰.

Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на:

* вовлечении в процесс оценки большего числа элементов информационной среды объекта Заказчика;

* глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения;

* строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Методология анализа рисков: цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ.

Процесс оценивания рисков содержит несколько этапов:

* описание объекта и мер защиты;

* идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);

* анализ угроз информационной безопасности;

* оценивание уязвимостей;

* оценивание существующих и предполагаемых средств обеспечения информационной безопасности;

* оценивание рисков.

Риск характеризует опасность, которой может подвергаться система и использующая ее организация, и зависит от¹¹:

* показателей ценности ресурсов;

* вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов);

* степени легкости, с которой уязвимости могут быть использованы при возникновении угроз (уязвимости системы защиты);

* существующих или планируемых средств обеспечения ИБ.

Расчет этих показателей выполняется на основе математических методов, имеющих такие характеристики, как обоснование и параметры точности метода.

Построение профиля защиты: на этом этапе разрабатывается план проектирования системы защиты информационной среды Заказчика. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты (рис. 2). Необходимым элементом работы является утверждение у Заказчика допустимого риска объекта защиты.

Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности. ¹²

Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта. При этом часть этой работы уже была проделана при проведении анализа рисков (ISO 27001:2013) и создании алгоритм оценивания информационных рисков (рис. 3).

Рис. 3. Алгоритм оценивания информационных рисков

2.2 Формирование организационной политики безопасности

Прежде чем предлагать какие-либо технические решения по системе информационной безопасности ООО «Свобода и Безопасность», предстоит разработать для организации политику безопасности.

Собственно, организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.

Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются:

· внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;

· определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.

Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается Заказчиком. ¹³

Условия безопасного использования ИТ: предполагается, что система обеспечения безопасности объекта Заказчика, соответствующая выбранному профилю защиты, обеспечит требуемый уровень безопасности только в том случае, если она установлена, управляется и используется в соответствие с выработанными правилами. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкциям администраторов и пользователей.

Выделяются следующие виды условий безопасного использования ИТ:

· физические условия;

· условия для персонала;

· условия соединений.

Физические условия касаются размещения ресурсов объекта, а также защиты аппаратных средств и программного обеспечения, критичных к нарушению политики безопасности¹⁴.

Условия для персонала содержат организационные вопросы управления безопасностью и отслеживания полномочий пользователей.

Условия соединений не содержат явных требований для сетей и распределенных систем, но, например, условие равенства положения означает наличие единой области управления всей сетью объекта.

Условия безопасного использования объекта автоматизации оформляются в виде отдельного документа, который согласовывается и утверждается Заказчиком.

Формулирование целей безопасности объекта: в этом разделе профиля защиты дается детализованное описание общей цели построения системы безопасности объекта Заказчика, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив).

Факторы безопасности, в свою очередь, могут распределяться на технологические, технические и организационные.

Определение функциональных требований безопасности: функциональные требования профиля защиты определяются на основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить на два типа: управление доступом к информации и управление потоками информации.

На этом этапе предстоит правильно определить для объекта компоненты функций безопасности. Компонент функции безопасности описывает определенный набор требований безопасности - наименьший выбираемый набор требований безопасности для включения в профиль защиты. Между компонентами могут существовать зависимости.
Требования гарантии достигаемой защищенности: структура требований гарантии аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии.

Классы и семейства гарантии отражают такие вопросы, как разработка, управление конфигурацией, рабочая документация, поддержание этапов жизненного цикла, тестирование, оценка уязвимости и другие вопросы.

Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями "базовая", "средняя", "высокая".¹⁵

Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего.

Уровни гарантии. Предлагается использовать табличную сводку уровней гарантированности защиты. Уровни гарантии имеют иерархическую структуру, где каждый следующий уровень предоставляет большие гарантии и включает все требования предыдущего.

Формирование перечня требований:

Перечень требований к системе информационной безопасности, эскизный проект, план защиты (далее - техническая документация, ТД) содержит набор требований безопасности информационной среды объекта Заказчика, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.¹⁶

В общем виде разработка ТД включает:

- уточнение функций защиты;

- выбор архитектурных принципов построения СИБ;

- разработку логической структуры СИБ (четкое описание интерфейсов);

- уточнение требований функций обеспечения гарантоспособности СИБ

- разработку методики и программы испытаний на соответствие сформулированным требованиям.

Оценка достигаемой защищенности:

На этом этапе производится оценка меры гарантии безопасности информационной среды объекта автоматизации. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта.

Базовые положения данной методики предполагают, что степень гарантии следует из эффективности усилий при проведении оценки безопасности.

Увеличение усилий оценки предполагает:

· значительное число элементов информационной среды объекта, участвующих в процессе оценивания;

· расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности;

· строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Заключение

С точки зрения выбора программных средств для защиты информационной безопасности государственная политика поддержки национального производителя побуждает российские корпорации с государственным участием полностью или активно работающих с государственными контрактами переходить на российское программное обеспечение. Небольшой бизнес предпочитает его по причинам доступности в цене, более высокой надежности, обеспечения информационной безопасности в узких секторах ИС.

Минусом политики импортозамещения является отсутствие единой российской операционной системы. Более 20 существующих продуктов решают тактические, а не стратегические задачи, и компаниям приходится мириться с уязвимостями в Windows и Linux. О том, что они хорошо известны кибермошенникам, свидетельствует эпидемия вируса WannaCry, шифровальщика, остановившего заводы и больницы по всему миру и нанесшего ущерб, оцениваемый в десятки миллиардов долларов.

В целом рассмотренная выше методика проведения аналитических работ при построении системы информационной безопасности позволяет оценить или переоценить уровень текущего состояния информационной безопасности предприятия, выработать рекомендации по обеспечению (повышению) информационной безопасности предприятия ООО «Свобода и Безопасность», снизить потенциальные потери предприятия или организации путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности предприятия, а также предложить планы защиты конфиденциальной информации предприятия, передаваемой по открытым каналам связи, защиты информации предприятия от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.

Список использованных источников

1. ГОСТ Р ИСО/МЭК 17799-2006 Информационная технология. Практические правила управления информационной безопасностью

2. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

3. ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения

4. ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности
5. Костенников М.В., Куракин А.В., Кулешов Г.Н., Несмелов П.В. Государственная служба и информационные технологии // Административное и муниципальное право. - 2015. - 12. - C. 27 - 34.

6. Владимирова Т.В. Новые социальные мобильности как практики обеспечения информационной безопасности // Политика и Общество. - 2016. - 8. - C. 902 - 909. DOI: 10.7256/1812-8696.2014.8.11110.

7. Р. М. Асланов, А. А. Морозов Анализ обеспечения информационной безопасности в РФ // Национальная безопасность / notabene. - 2016. - 2. - C. 25 - 28.

8. Куракин А.В., Кулешов Г.Н., Несмелов П.В. Информационная безопасность в системе государственной службы // Административное и муниципальное право. - 2015. - 2. - C. 172 - 176. DOI: 10.7256/1999-2807.2013.02.13.

9. И. С. Садикова Правовые аспекты защиты персональных данных // Право и политика. - 2012. - 4. - C. 758 - 761.
10.7256/2073-8560.2015.1.14317.

10. Серёгин С.Ф., Харитонов В.В. Ключевые проблемы совершенствования системы безопасности полетов государственной авиации // Транспортный вестник. - 2016. - 1. - C. 1 - 22. DOI: 10.7256/2453-8906.2016.1.19459. URL: http://www.e-notabene.ru/transport/article_19459.html

11. Калюжный Ю.Н. Теоретико-правовые подходы к определению принципов обеспечения безопасности дорожного движения в Российской Федерации // Административное и муниципальное право. - 2016. - 11. - C. 902 - 909. DOI: 10.7256/1999-2807.2016.11.19506.

12. Коробейников А.Г., Гришенцев А.Ю., Святкина М.Н. Применение интеллектуальных агентов магнитных измерений для мониторинга объектов железнодорожной инфраструктуры // Кибернетика и программирование. - 2015. - 3. - C. 9 - 20. DOI: 10.7256/2306-4196.2013.3.8737. URL: http://www.e-notabene.ru/kp/article_8737.html

13. Опалев А.В. Правовое обеспечение национальной безопасности: объект, предмет и задачи // Национальная безопасность / notabene. - 2016. - 2. - C. 244 - 250. DOI: 10.7256/2073-8560.2014.2.11295.

14. Болкунов О.Н. Количественное измерение международной энергетической безопасности // Национальная безопасность / notabene. - 2017. - 4. - C. 536 - 548. DOI: 10.7256/2073-8560.2013.4.8897.

15. Гузий А.Г., Лушкин А.М. Методические особенности подготовки специалистов по управлению безопасностью авиационных полетов // Вопросы безопасности. - 2016. - 3. - C. 30 - 40. DOI: 10.7256/2409-7543.2016.3.19013. URL: http://www.e-notabene.ru/nb/article_19013.html

16. Hall J., Ramsey B., Rice M., Lacey T., Z-wave network reconnaissance and transceiver fingerprinting using software-defined radios, (2016) Proceedings of the 11th International Conference on Cyber Warfare and Security, ICCWS 2016, pp. 163-171.

17. Wei C.-C., Chen Y.-M., Chang C.-C., Yu C.-H., The Implementation of Smart Electronic Locking System Based on Z-Wave and Internet, (2015) Proceedings-2015 IEEE International Conference on Systems, Man, and Cybernetics, SMC 2015, art. no. 7379483, pp. 2015-2017.

18. Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И.С. Клименко. — Москва : ИНФРА-М, 2020. — 180 с. — (Научная мысль). — DOI 10.12737/monography_5d412ff13c0b88.75804464. - ISBN 978-5-16-015149-6. - Текст : электронный. - URL: https://znanium.com/catalog/product/1018665 (дата обращения: 28.11.2020). – Режим доступа: по подписке.

19. Кузнецова Е.И. Разработка инструментария обеспечения экономической безопасности предприятия // Национальная безопасность / notabene. - 2015. - 1. - C. 101 - 107. DOI:

1 1. ГОСТ Р ИСО/МЭК 17799-2006 Информационная технология. Практические правила управления информационной безопасностью

2. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

2 2. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

3. ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения

3 ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения

4 ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности

5 Костенников М.В., Куракин А.В., Кулешов Г.Н., Несмелов П.В. Государственная служба и информационные технологии // Административное и муниципальное право. - 2015. - 12. - C. 27 - 34.

6 Владимирова Т.В. Новые социальные мобильности как практики обеспечения информационной безопасности // Политика и Общество. - 2016. - 8. - C. 902 - 909. DOI: 10.7256/1812-8696.2014.8.11110.

7 Куракин А.В., Кулешов Г.Н., Несмелов П.В. Информационная безопасность в системе государственной службы // Административное и муниципальное право. - 2015. - 2. - C. 172 - 176. DOI: 10.7256/1999-2807.2013.02.13.

8 Серёгин С.Ф., Харитонов В.В. Ключевые проблемы совершенствования системы безопасности полетов государственной авиации // Транспортный вестник. - 2016. - 1. - C. 1 - 22. DOI: 10.7256/2453-8906.2016.1.19459. URL: http://www.e-notabene.ru/transport/article_19459.html

9 Опалев А.В. Правовое обеспечение национальной безопасности: объект, предмет и задачи // Национальная безопасность / notabene. - 2016. - 2. - C. 244 - 250. DOI: 10.7256/2073-8560.2014.2.11295.

Болкунов О.Н. Количественное измерение международной энергетической безопасности // Национальная безопасность / notabene. - 2017. - 4. - C. 536 - 548. DOI: 10.7256/2073-8560.2013.4.8897.

10 Кузнецова Е.И. Разработка инструментария обеспечения экономической безопасности предприятия // Национальная безопасность / notabene. - 2015. - 1. - C. 101 - 107. DOI

11 Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И.С. Клименко. — Москва : ИНФРА-М, 2020. — 180 с. — (Научная мысль). — DOI 10.12737/monography_5d412ff13c0b88.75804464. - ISBN 978-5-16-015149-6. - Текст : электронный. - URL: https://znanium.com/catalog/product/1018665 (дата обращения: 28.11.2020). – Режим доступа: по подписке

12 Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И.С. Клименко. — Москва : ИНФРА-М, 2020. — 180 с. — (Научная мысль). — DOI 10.12737/monography_5d412ff13c0b88.75804464. - ISBN 978-5-16-015149-6. - Текст : электронный. - URL: https://znanium.com/catalog/product/1018665 (дата обращения: 28.11.2020). – Режим доступа: по подписке

13 Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И.С. Клименко. — Москва : ИНФРА-М, 2020. — 180 с. — (Научная мысль). — DOI 10.12737/monography_5d412ff13c0b88.75804464. - ISBN 978-5-16-015149-6. - Текст : электронный. - URL: https://znanium.com/catalog/product/1018665 (дата обращения: 28.11.2020). – Режим доступа: по подписке

14 Кузнецова Е.И. Разработка инструментария обеспечения экономической безопасности предприятия // Национальная безопасность / notabene. - 2015. - 1. - C. 101 - 107. DOI

15 Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И.С. Клименко. — Москва : ИНФРА-М, 2020. — 180 с. — (Научная мысль). — DOI 10.12737/monography_5d412ff13c0b88.75804464. - ISBN 978-5-16-015149-6. - Текст : электронный. - URL: https://znanium.com/catalog/product/1018665 (дата обращения: 28.11.2020). – Режим доступа: по подписке

16 Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И.С. Клименко. — Москва : ИНФРА-М, 2020. — 180 с. — (Научная мысль). — DOI 10.12737/monography_5d412ff13c0b88.75804464. - ISBN 978-5-16-015149-6. - Текст : электронный. - URL: https://znanium.com/catalog/product/1018665 (дата обращения: 28.11.2020). – Режим доступа: по подписке

скачати