СОДЕРЖАНИЕ
ВВЕДЕНИЕ
1 АНАЛИЗ СУЩЕСТВУЮЩИХ РЕШЕНИЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ПРЕДПРИЯТИЯ
1.1. Общая характеристика предметной области
1.2. Методика исследования информационной безопасности
2 ПРОЕКТИРОВАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
2.1. Разработка модели системы
2.2. Угрозы информационной безопасности
2.3. Расчет рисков информационной безопасности
2.4. Анализ рисков
2.5. Разработка системы информационной безопасности
3 ТЕХНОЛОГИЯ РЕАЛИЗАЦИИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
3.1. Модели угроз
3.2. Оценка вероятности осуществления угроз и оценка тяжести последствий от их реализации
3.3. Модели нарушителей
3.4. Каналы утечки информации
3.5. Оценка рисков информационной безопасности в исходном состоянии объекта или процесса
3.6. Состояние организационного, физического, программно-аппаратного, технического и инженерно-технического уровней (направлений) защиты информации
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ПРИЛОЖЕНИЯ
ВВЕДЕНИЕ
В настоящий момент налаженная и широко распределенная сеть информационных и вычислительных комплексов играет такую же важную роль в жизни, какую в прошлом имели электрификация, телефонизация, радио и телевидение, взятые вместе. Яркий пример этого утверждения явилось появление развитие глобальной информационной сети Intеrnеt. В настоящее время говорят о новом витке спирали развития общественных формаций — информационное общество.
В новых рыночно-конкурентных условиях появляется большое количество проблем, которые связаны не только с обеспечением целостности и конфиденциальности коммерческих, финансовых или предпринимательских данных как видов интеллектуальной собственности, но также и физических и юридических лиц, их имущественной собственности и личной безопасности.
Как утверждается в известном афоризме «цель оправдывает средства», информация также имеет определенную стоимость. Следовательно, сами факты получения данных злоумышленниками приносят им определенные доходы, ослабив тем самым возможность конкурента к равному коммерческому состязательству. Главной целью злоумышленников является получение сведений о составе, состояниях и видах деятельности объектов, являющихся конфиденциальными интересами (фирма, изделие, проект, рецепт, технология и др.) в целях насыщения своей информационной потребности. Корыстные цели злоумышленников или конкурентов могут заключаться и во внесении определенного изменения в состав данных, которые циркулируют на объектах конфиденциального интереса. Такие действия могут приводить к дезинформации в определенной сфере деятельности, учетных данных, в результатах решения некоторой задачи. Более опасными целями являются уничтожение накопленного информационного массива в документной или компьютерной формах или программного продукта. В связи с этими фактами большое значение приобретают методы организации эффективных систем информационной безопасности организации.
Информационной безопасностью называется комплекс мер по защите данных от неавторизованного доступа, разрушений, модификаций, раскрытий или задержки при доступе. В информационную безопасность включаются меры по защите процесса создания информации, её ввода, обработки и вывода. Цель информационной безопасности состоит в том, чтобы обезопасить ценность систем, защищать и гарантировать точность и целостность данных, а также минимизировать последствия, которые могут возникнуть в том случае, когда данные будут модифицированы или разрушены. В рамках информационной безопасности требуется учет всех действий, в ходе которых информация создается, подвергается модификации, когда к ней осуществляется доступ или она распространяется по сети.
Цель данной дипломной работы состоит в увеличении уровня защиты данных в информационной системе предприятия.
Как следует из поставленной цели работы, следует решить какие задачи:
— проанализировать существующие решения информационной безопасности для предприятия;
— спроектировать систему информационной безопасности предприятия;
— изучить технологию реализации системы информационной безопасности предприятия.
Дипломная работа состоит из введения, трех глав, заключения и списка литературы.
1 АНАЛИЗ СУЩЕСТВУЮЩИХ РЕШЕНИЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ПРЕДПРИЯТИЯ
1.1. Общая характеристика предметной области
Полное фирменное наименование: закрытое акционерное общество магазин «ТопСистемс».
ЗАО магазин «ТопСистемс» осуществляет розничную продажу комплектующих для ПК, и другого компьютерного оборудования. Основная цель организации, как коммерческого предприятия, состоит в извлечении прибыли от деятельности и продолжать в течении максимально длительного срока оставаться на рынке, при этом расширяя свой ассортимент и рынки сбыта.
На территории РФ расположено всего 5 филиалов магазина, с главным офисом Московской области.
ЗАО «ТопСистемс» сотрудничает с большим количеством различных поставщиков. Заказы товаров осуществляются по телефону. Оплату товара поставщикам осуществляют при помощи безналичных расчетов платежными поручениями.
Процессы продаж осуществляются следующим образом: клиенты покупают необходимые комплектующие в розницу через розничные магазины организации. Расчеты производят наличными деньгами через кассу магазина. Все обслуживание клиентов осуществляют продавцы розничных магазинов.
Бухгалтерская документация ведется бухгалтерами. Они также сдают регулярные отчеты в налоговую органы. Основные показатели за последние годы сведены в таблицу 1.
Таблица 1
Показатели эффективности
| №
п//п |
_Основные_
_показатели |
2016 год | 2017год | Отклонения
(%) 2016 к 2017 |
2018 год | Отклонения
(%) 2016 к 2018 |
| _1. | _Объём предоставленных _услуг, тыс. руб. | 9500 | 10100 | 106 | 12800 | 134 |
| _2. | _Себестоимость
_предоставленных _услуг, тыс. руб. |
8200 | 8400 | 103 | 10340 | 127 |
| _3. | _Затраты на _1 рубль
_предоставленных _услуг,коп; |
1,16 | 1,20 | 75 | 1,23 | 77 |
| _4. | _Прибыль, тыс.руб; | 1300 | 1700 | 131 | 2460 | 189 |
| _5. | _Рентабельность,% | 25 | 34 | 136 | 33 | 132 |
| _6. | _Численность _персонала, _чел; | 6 | 7 | 117 | 10 | 167 |
| _7. | _Производительность
_труда, тыс.руб/_чел; |
1583 | 1483 | 93 | 1280 | 81 |
| _8. | _Среднемесячная
_заработная плата, _руб; |
25000 | 30000 | 120 | 36000 | 144 |
| _9. | _Фонд оплаты труда,
_руб; |
15000
0 |
210000 | 140 | 360000 | 240 |
Проанализировав вышеприведенную информацию, проведем оценку финансовых результатов деятельности магазина «ТопСистемс» за период 2016, 2017, 2018 годы.
Из данных таблицы 1 следует, что объемы предоставленных услуг с каждым годом растут: в 2017, по отношению к 2016 году- на 6 %, в 2018 году по отношению к 2016 году — на 34 %.
На такое оказали влияние такие факторы как:
— значительное расширение рынка оказываемых услуг;
— с пополнением штата сотрудников срок выполнения работ резко сократился.
Себестоимость оказанных услуг в 2017 году, по сравнению с 2016 годом, повысилась на 3 %, а в 2018 году, соответственно, повысилась на 27%. На повышение себестоимости оказали влияние следующие факторы:
— увеличение энергозатрат, телефонная связь, оплата интернета;
— установка новой охранной сигнализации; теле-радио реклама.
Затраты на _1 рубль оказанных услуг (_отношение себестоимости к объему предоставленных услуг_) в 2017 и 2018 годах, по отношению к 2016 году снизились.
Это уменьшение было вызвано тем, что фирма стремилась к минимизации затрат за счет следующих категорий:
-_подключение безлимитных тарифов подключения к интернету;
— большего применения «сарафанного радио» для привлечения клиентов;
— _ограничений междугородних телефонных переговоров.
Как следует из показателей по прибыли (разницей между объемами услуг и себестоимостью) агентство работало рентабельно, то есть его прибыль вырастает с каждым годом: в 2017 году, относительно 2016 года возросла на 31 %, в 2018 году, так же, относительно 2016 года увеличилась на 89 %.
На это оказало влияние уменьшение затрат на _1 рубль оказанных услуг. Динамику роста рентабельности обусловили те же причины.
Численность сотрудников организации ежегодно возрастает, в 2017 году в штате фирмы появился 1 риэлтор, в 2018 году — еще 3 новых специалиста. Этот факт обусловлен увеличением объема оказанных услуг. При возникновении необходимости специалисты могут подменить друг друга, увеличивая тем самым, уровень своей квалификации, в тоже время не допуская потери клиентов.
В 2017 году производительность труда (_отношение объемов оказанных услуг к численности работников), по отношению к 2016 году, уменьшилась на 7 %, а в 2018 году, по сравнению с 2016 годом увеличилась на 19%. На это оказало влияние расширение персонала. Однако для организации это является нормой, сотрудники быстро включаются в рабочий темп. Значит наличествует тенденция к повышению производительности труда сотрудников.
Среднемесячные заработные платы работников в 2017 году, по сравнению с 2016 годом, возросла на 20%, в 2018 году, соответственно на 44%. Соответственно, вырос и фонд оплаты труда (_произведение среднемесячной заработной платы на численность работников_). Этот рост обусловлен ростом объемов оказанных услуг, к тому же, за оперативность и профессионализм руководство оказывает поощрение премированием, к тому же, за счет организации проводит платные семинары.
В целом, магазин «ТопСистемс» функционирует стабильно, имеет прибыль, несмотря на общую экономическую нестабильность, которая связана с повышением или понижением цен на рынке.
Организационную структуру предприятия ЗАО магазин «ТопСистемс»в виде графической схемы представим на рисунке 1.
Рисунок 1 — Структура ЗАО магазин «ТопСистемс»
Персонал предприятия включает в себя:
-_директора, который проводит непосредственное управление процессами фирмы, проводит безналичные расчеты с поставщиками и покупателями, осуществляет анализы более ранних продаж и осуществляет прием заявок от менеджеров на заказы товара, на основе анализов и заявки осуществляет заказы необходимых товаров у поставщика, находит возможность для увеличения ассортимента;
— менеджера, который передаёт директору заявку на заказ товара у поставщика;
-_продавцов. Они осуществляют реализацию в розницу в торговых залах. После продажи товара они делают отметку в базе данных о количестве реализованных единиц товара, несут ответственность за хранение;
— системного администратора, который проводит настройку и установку оборудования, занимается устранением неполадок программного обеспечения (ПО) и компьютерного оборудования. Он осуществляет наблюдение за работоспособностью ЭВМ и периферийных устройств. Так же на него возлагаются обязанности администратора по информационной безопасности (ИБ);
— бухгалтерию. Бухгалтера ЗАО магазин «ТопСистемс» осуществляют сплошное, непрерывное, взаимосвязанное, документальное отображение хозяйственного функционирования предприятия.
Функции данного отдела организации наложены на соответствующих должностных лиц (бухгалтеров), которые осуществляют учет, необходимый для характеристик отдельной стороны деятельности фирмы. Указанное должностное лицо несет ответственность за правильное и своевременное оформление хозяйственной операции, а также обеспечивают сохранность и учет денежных средств, которые циркулируют в процессе осуществления хозяйственной деятельности.
С бухгалтерами заключены договора о полной материальной ответственности в соответствии с законодательством РФ.
1.2. Методика исследования информационной безопасности
Проблема обеспечения информационной безопасности (ИБ) современных автоматизированных систем (АС) компаний стоит в ряду первых и самых важных. Сложность этих систем, разветвленность составляющих их основу компьютерных сетей еще больше усугубляют ситуацию. В теоретическом плане одним из актуальных направлений является разработка методик оценки ИБ на этапах проектирования, разработки и функционирования АС.
Важность этого направления заключается, прежде всего, в обосновании необходимости применения тех или иных средств обеспечения ИБ и способов их использования, а также в определении их достаточности или недостаточности для конкретной АС. Кроме того, ИБ, как любая характеристика, должна иметь единицы измерения. Очевидно, что по своей сути оценка ИБ является комплексной. Комплексность проявляется в том, что она характеризует защищенность информации и поддерживающей инфраструктуры от всей совокупности угроз и на всех стадиях жизненного цикла АС.
Анализ показывает, что в настоящее время существуют два основных подхода к оценке ИБ АС.
Первый – на основе характеристик защитных для объекта оценки механизмов и достаточности системы защиты. Суть подхода в том, что вывод об уровне ИБ делается на основании значение показателя эффективности системы защиты. При этом в рамках данного подхода внимание уделяется лишь одному из аспектов информационной безопасности – защите информации от несанкционированного доступа.
Второй подход основан на тесной связи системы показателей количественных оценок ИБ АС с эффективностью функционирования этой АС в условиях воздействия всех видов угроз ИБ. Второй подход является методологически более верным с точки зрения системного анализа, так как в этом случае выполняется один из основных принципов системного подхода, который заключается в том, что каждый элемент системы, выполняя определенную функцию, способствует достижению цели (выполнению общесистемной функции). Об эффективности функционирования этого элемента можно говорить тогда, когда существует прирост эффективности системы в целом. То есть если в том виде деятельности компании, который связан с применением АС, наблюдается улучшение ситуации, рост соответствующих показателей, то можно говорить и об эффективности системы обеспечения ИБ.
Анализ показывает, что разработка методики оценки ИБ предполагает наличие или разработку модели объекта оценки, модели системы защиты, а в ряде случаев модели потенциального нарушителя (например, при оценке АС военного назначения).
Наличие модели объекта оценки необходимо для определения существующих в нем связей, процессов, выявления конкретных элементов, требующих защиты, характерных уязвимостей и угроз, а также выработки показателей ИБ. Модель потенциального нарушителя необходима для определения конкретных стратегий поведения нарушителя, а также уточнения характера угроз, источником которых он является.
Одной из самых распространенных является так называемая оценка по требованиям нормативных документов. В результате удовлетворения тем или иным требованиям АС относят к тому или иному классу защищенности. Примером такого подхода может служить международный стандарт ИСО/МЭК 15408.99 «Критерии оценки безопасности информационных технологий», разработанный в рамках проекта «Общие критерии». Из-за отсутствия соответствующей теории и расчетных соотношений в данном стандарте не приведены единицы измерения и количественная оценка безопасности информации в АС. Другой подход, основанный на анализе рисков, предусматривает оценку рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС.
Известные методики можно классифицировать по типу используемой в них процедуры принятия решения на одноэтапные, в которых оценки риска выполняется с помощью одноразовой решающей процедуры, и многоэтапные, с предварительным оцениванием ключевых параметров.
Одноэтапные методики, как правило, используются на начальной стадии проектирования АС, когда ключевые факторы, определяющие информационную безопасность, еще не выявлены. Недостатком одноэтапных процедур является высокая степень «субъективного фактора» в оценке риска и трудности их использования для анализа риска.
Многоэтапные методики с предварительным оцениванием ключевых параметров являются более конструктивными. Например, методика оценки риска, изложенная в специальных рекомендациях 800-30 (NIST) предполагает предварительное оценивание двух параметров: потенциального ущерба и вероятности реализации угрозы. Однако достаточно «жесткий» механизм получения оценок риска существенно ограничивает возможности данной методики. Известны методики получения оценок риска с предварительным оцениванием трех ключевых параметров (метод CRAMM). Здесь кроме потенциального ущерба и вероятности реализации угрозы оценивается степень уязвимости АС. Можно говорить, что методика оценивания риска CRAMM по сравнению с методикой NIST является более конструктивной, поскольку она позволяет анализировать большее количество параметров по более точным шкалам. Однако по существу механизм вывода оценок рисков, представленный в CRAMM, остался табличным, то есть отражает только взаимосвязи между уровнями, определенными для шкал входных данных и величиной риска.
Известен подход к определению множества рисков как к декартовому произведению множества угроз, множества уязвимостей и множества активов объекта оценки — R = Y x V x A. Это множество рисков определяет множество ущербов U = R x S, где S – множество ценностей активов. На основе оценок элементов указанных множеств предлагается ввести обобщенные и частные интегральные показатели защищенности. В качестве обобщенных интегральных показателей защищенности ОИ предлагается использовать:
— средний риск нанесения ущерба владельцам активов от воздействия всех видов угроз без использования средств обеспечения безопасности, характеризующий уязвимость;
— средний ущерб, наносимый владельцам активов при реализации всех видов угроз без использования средств обеспечения безопасности.
В качестве частных интегральных показателей защищенности предложено использовать:
— средний риск нанесения ущерба при реализации угрозы определенного вида через все возможные уязвимости на активы всех типов, характеризующий степень опасности угрозы определенного вида, и соответствующий ему ущерб;
— средний риск нанесения ущерба от воздействия всех видов угроз через все возможные уязвимости на определенный тип активов, характеризующий незащищенность активов определенного типа, и соответствующий ему ущерб и т. д.
Таким образом, вопрос оценки ИБ в АС, несмотря на существующие в настоящее время решения, по-прежнему остается актуальным. При всей важности этого направления, до настоящего времени нет простых в описании и использовании и достаточно точных методик оценки ИБ АС (под точностью надо понимать, прежде всего, адекватность используемых при оценке моделей).
Решение задачи совершенствования методик оценки уровня ИБ АС связано с первоначальными условиями, которые должны быть заданы в техническом задании на АС, а также повышением объективности исходных данных, используемых при расчете.
Первоначальные условия должны содержать модель ожидаемого поведения нарушителя. У квалифицированного нарушителя более широкие возможности, следовательно, при оценке потребуется рассмотреть большее количество возможных каналов несанкционированного доступа.
Добиться повышения объективности исходных данных можно несколькими путями. Во-первых, за счет повышения комплексности подхода к проблеме оценки, которая должна выражаться во включении в рассмотрение мер защиты не только преимущественно организационного или программно-технического характера, а всех поддающихся достаточно точной оценке мер защиты, включая и физическую защиту. Во-вторых, повысить объективность исходных данных можно за счет изменения подхода к оцениванию ресурсов, для чего, прежде всего, необходимо определить соответствующий критерий оценивания.