Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Разработка комплекса мероприятий по модернизации существующей системы информационной безопасности↑ ⇐ ПредыдущаяСтр 6 из 6 Содержание книги
Похожие статьи вашей тематики
Поиск на нашем сайте
В результате анализа системы информационной безопасности ОАО «Газпром» были выявлены существенные уязвимости системы. Для разработки мероприятий с целью устранения выявленных недочетов системы безопасности выделим следующие группы сведений, которые подлежат защите: - сведения о частной жизни сотрудников, позволяющие идентифицировать их личность (персональные данные); - сведения, связанные с профессиональной деятельностью и составляющие банковскую, аудиторскую и тайну связи; - сведения, связанные с профессиональной деятельностью и отмеченные как сведения «для служебного пользования»; - информация, уничтожение или изменение которой отрицательно скажутся на эффективности работы, а восстановление потребует дополнительных затрат. С точки зрения административных мер были разработы следующие рекомендации: - система защиты информации должна соответствовать законодательству Российской Федерации и государственным стандартам; - классификация и категорирование защищаемых информационных ресурсов и установление порядка доступа к ним должны быть закреплены в документах предприятия; - здания и помещения, где установлены или хранятся средства обработки информации, производятся работы с защищаемой информацией, должны охраняться и быть защищены средствами сигнализации и пропускного контроля; - проведение обучения персонала по вопросам информационной безопасности (объяснять важность парольной защиты и предъявляемых к паролю требований, проводить инструктаж по антивирусному ПО и т.п.) следует организовывать при приеме сотрудника на работу; - каждые 6-12 месяцев проводить тренинги, направленные на повышение грамотности сотрудников в сфере информационной безопасности; - аудит системы и корректировка разработанных регламентов должна проводиться ежегодно, 1 октября, или незамедлительно после внедрения серьезных изменений в структуру предприятия; - права доступа каждого пользователя к информационным ресурсам должны оформляться документально (при необходимости доступ запрашивается у руководителя письменным заявлением); -обеспечение политики информационной безопасности должны обеспечивать администратор по программному обеспечению и администратор по аппаратному обеспечению, их действия координируются начальником группы. Сформулируем политику в отношении паролей: - не хранить их в незашифрованном виде (не записывать их на бумагу, в обычный текстовый файл и т.п.); - менять пароль в случае его разглашения или подозрения на разглашение; - длина должна быть не менее 8 символов; - в числе символов пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы, пароль не должен включать в себя легко вычисляемые последовательности символов (имена, клички животных, даты); - менять один раз в 6 месяцев (внеплановая замена пароля должна производиться немедленно после получения уведомления о происшествии, инициировавшем замену); - при смене пароля нельзя выбирать те, которые использовались ранее (пароли должны отличаться, по меньшей мере, на 6 позиций). Сформулируем политику в отношении антивирусных программ и обнаружения вирусов: - на каждой рабочей станции должно быть установлено лицензионное антивирусное ПО; - обновление антивирусных баз на рабочих станциях с выходом в Интернет – 1 раз в сутки, без выхода в Интернет – не реже 1 раза в неделю; - установить автоматическую проверку рабочих станций на обнаружение вирусов (частота проверок – 1 раз в неделю: пятница, 12:00); - прервать обновление антивирусных баз или проверку на вирусы может только администратор (следует установить на указанное действие пользователя парольную защиту). Сформулируем политику в отношении физической защиты: - техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям, проводить каждые 1-2 месяца; - сетевые кабели должны быть защищены от несанкционированного перехвата данных; - записи обо всех предполагаемых и действительных сбоях, произошедших с оборудованием должны сохраняться в журнале - каждая рабочая станция должна быть снабжена источником бесперебойного питания. Определим политику в отношении резервирования информации: - для резервных копий следует отвести отдельное помещение, находящееся за пределами административного здания (помещение должно быть оборудовано электронным замком и сигнализацией); - резервирование информации следует проводить каждую пятницу, в 16:00. Политика в отношении приема/увольнения сотрудников должна иметь следующий вид: - о любых кадровых изменениях (прием, повышение, увольнение сотрудника и т.п.) должно в течение 24 часов сообщаться администратору, который, в свою очередь, в срок, равный половине рабочего дня должен внести соответствующие изменения в систему разграничения прав доступа к ресурсам предприятия; - новый сотрудник должен проходить инструктаж у администратора, включающий ознакомление с политикой безопасности и всеми необходимыми инструкциями, уровень доступа к информации новому сотруднику назначается руководителем; - при увольнении сотрудника из системы удаляются его идентификатор и пароль, проводится проверка рабочей станции на наличие вирусов, анализ целостности данных, к которым у сотрудника имелся доступ. Политика в отношении работы с локальной внутренней сетью (ЛВС) и базами данных (БД): - при работе на своей рабочей станции и в ЛВС сотрудник должен выполнять только задания, непосредственно касающиеся его служебной деятельности; - о сообщениях антивирусных программ о появлении вирусов сотрудник должен ставить в известность администратора; - никому, кроме администраторов, не разрешается вносить изменения в конструкцию или конфигурацию рабочих станций и другие узлы ЛВС, производить установку любого программного обеспечения, оставлять без контроля рабочую станцию или допускать к ней посторонних лиц; - администраторам рекомендуется постоянно держать запущенными две программы: утилиту обнаружения атаки ARP-spoofing и сниффер, использование которого позволит увидеть сеть глазами потенциального нарушителя, выявить нарушителей политики безопасности; - следует установить ПО, препятствующее запуску других программ, кроме назначенных администратором, исходя из принципа: «Любому лицу предоставляются привилегии, необходимые для выполнения конкретных задач». Все неиспользуемые порты компьютера должны быть аппаратно или программно дезактивированы; - ПО следует регулярно обновлять. Политика в отношении работы с Интернет: - за администраторами закрепляется право ограничивать доступ к ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а так же к ресурсам, содержание и направленность которых запрещены международным и Российским законодательством; - сотруднику запрещается загружать и открывать файлы без предварительной проверки на наличие вирусов; - вся информация о ресурсах, посещаемых сотрудниками компании, должна сохраняться в журнале и, при необходимости, может быть предоставлена руководителям отделов, а также руководству - конфиденциальность и целостность электронной корреспонденции и офисных документов обеспечивается за счёт использования ЭЦП. Помимо этого, сформулируем основные требования к составлению паролей для сотрудников компании ОАО «Газпром». Пароль – все равно что ключи от дома, только является ключом к информации. Для обычных ключей крайне нежелательно быть потерянными, украденными, переданными в руки незнакомого человека. То же самое и с паролем. Конечно, сохранность информации зависит не только от пароля, для ее обеспечения требуется установить целый ряд специальных настроек и, быть может, даже написать программу, защищающую от взлома. Но выбор пароля – это именно то действие, где только от пользователя зависит, насколько сильным будет это звено в цепи мер, направленных на защиту информации. При выборе пароля следует руководствоваться следующими правилами: 1) пароль должен быть длинный (8-12-15 символов); 2) содержать как ЗАГЛАВНЫЕ, так и прописные латинские буквы; 3) содержать цифры; 4) не должен являться словом из словаря (любого, даже словаря специальных терминов и сленга), именем собственным или словом кириллицей, набранным в латинской раскладке (латынь - kfnsym); 5) его нельзя связать с владельцем; 6) он меняется периодически или по мере надобности; 7) не используется в этом качестве на различных ресурсах (т.е. для каждого ресурса – для входа в почтовый ящик, операционную систему или базу данных – должен использоваться свой, отличающийся от других, пароль); 8) его возможно запомнить. Выбирать слова из словаря нежелательно, поскольку злоумышленник, проводя атаку «по словарю», будет пользоваться программами, способными перебирать до сотен тысяч слов в секунду. Любая информация, связанная с владельцем (будь то дата рождения, кличка собаки, девичья фамилия матери и тому подобные «пароли»), может быть легко узнана и угадана. Использование заглавных и прописных букв, а также цифр значительно усложняет задачу злоумышленника по подбору пароля. Пароль следует хранить в секрете, а если вы заподозрите, что пароль стал кому-то известен, смените его. Также очень полезно менять их время от времени.
ЗАКЛЮЧЕНИЕ Проведенное исследование позволило сделать следующие выводы и сформулировать рекомендации. Установлено, что основной причиной проблем предприятия в области защиты информации является отсутствие политики обеспечения информационной безопасности, которая включала бы организационные, технические, финансовые решения с последующим контролем их реализации и оценкой эффективности. Сформулировано определение политики информационной безопасности как совокупности закрепленных документально решений, целью которых является обеспечение защиты информации и связанных с ней информационных рисков. Проведенный анализ системы информационной безопасности выявил существенные недостатки, в числе которых: - хранение резервных копий в серверной, резервный сервер находится в одном помещении с основными серверами; - отсутствие надлежащих правил в отношении парольной защиты (длина пароля, правила его выбора и хранения); - администрированием сети занимается один человек. Обобщение международной и российской практики в области управления информационной безопасностью предприятий позволило заключить, что для ее обеспечения необходимы: - категорирование информации (на служебную или коммерческую тайну); - прогнозирование и своевременное выявление угроз безопасности, причин и условий, способствующих нанесению финансового, материального и морального ущерба; - создание условий деятельности с наименьшим риском реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба; - создание механизма и условий для эффективного реагирования на угрозы информационной безопасности на основе правовых, организационных и технических средств. В первой главе работы рассмотрены основные теоретические аспекты. Дан обзор нескольких стандартов в области информационной безопасности. Сделаны выводы по каждому и в целом, и выбран наиболее подходящий стандарт для формирования политики ИБ. Во второй главе рассмотрена структура организации, проанализированы основные проблемы связанные с информационной безопасностью. Как результат сформированы рекомендации по обеспечению должного уровня информационной безопасности. Так же рассмотрены меры для предотвращения дальнейших инцидентов, связанных с нарушением информационной безопасности. Конечно, обеспечение информационной безопасности организации – это непрерывный процесс, требующий постоянного контроля. И естественно сформированная политика не является железным гарантом защиты. Помимо внедрения политики нужен постоянный контроль за ее качественным исполнением, а так же совершенствованием в случае каких-либо изменений в компании или прецедентов. Для организации рекомендовано было взять в штат так же сотрудника, деятельность которого будет напрямую связана с этими функциями (администратор защиты).
СПИСОК ЛИТЕРАТУРЫ 1. Белов Е.Б. Основы информационной безопасности. Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. -М.: Горячая линия - Телеком, 2006. – 544с 2. Галатенко В.А. Стандарты информационной безопасности: курс лекций. Учебное пособие. - 2-ое издание. М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2009. - 264 с. 3. Глатенко В.А. Стандарты информационной безопасности / Открытые системы 2006.- 264с 4. Долженко А.И. Управление информационными системами: Учебный курс. - Ростов-на-Дону: РГЭУ, 2008.-125 с 5. Калашников А. Формирование корпоративной политики внутренней информационной безопасности http://www.bytemag.ru/?ID=612637 6. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации/ М.2009- 280с 7. Мэйволд Э., Безопасность сетей. Самоучитель // Эком, 2009.-528 с 8. Семкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И., Основы организационного обеспечения информационной безопасности объектов информатизации // Гелиос АРВ, 2008 г., 192 с 9. Тихонов В.А., Райх В.В., Информационная безопасность. Концептуальные, правовые, организационные и технические аспекты // Гелиос АРВ, 2009г., 528 с 10. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства.:М - ДМК Пресс, 2008. - 544 с 11. Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2009. - 352 с 12. Ярочкин В.И., Информационная безопасность: учебник для студентов вузов// -М.: Академический проект; Гаудеамус, 2-е изд., 2009 г., 544 с ПРИЛОЖЕНИЕ Приложение 1. Бухгалтерский баланс за 2010г. Приложение 2. Бухгалтерский баланс за 2011г.
|
||||
Последнее изменение этой страницы: 2016-12-27; просмотров: 1298; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.142.172.190 (0.008 с.) |