МИНИСТЕРТСВО ОБРАЗОВАНИЯ И НАУКИ РФ
ГБОУ АО СПО «АСТРАХАНСКИЙ КОЛЛЕДЖ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ»

ПРАКТИЧЕСКАЯ РАБОТА №3

РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Выполнил: Коваленко И.А., студент 3 курса

Группы ПБ-33к

Астрахань 2022

1. Общие положения

1.1 Назначение Концепции по обеспечению информационной безопасности.

 Основной целью концепции обеспечения информационной безопасности является защита объектов информационной безопасности от угроз, вызванных неэффективностью процедур контроль, технологических сбоев, несанкционированных действий персонала или иных форм несанкционированного доступа к ним.

Обеспечение целостности и безопасности данных Клиента обеспечит безопасность самого Клиента, его личных данных и не позволит использовать её в коростных целях третьим лицам.

1.2. Цели системы информационной безопасности

Цель обеспечения информационной безопасности – защитить информационные данные и поддерживающую инфраструктуру от случайного или преднамеренного вмешательства, что может стать причиной потери данных или их несанкционированного изменения, для адвоката сохранность информации должна стоять на первом месте.

1.3. Задачи системы информационной безопасности.

Задачей информационной безопасности является реализация комплекса мер для сохранения свойств информации - защита её конфиденциальности, сохранение целостности, обеспечение доступности, а также противодействие нарушителям информационной безопасности

Для эффективного обеспечения безопасности информации требуется создание развитого методологического базиса, позволяющего решить следующие комплексные задачи:

• 
  создать систему органов, ответственных за безопасность информации
  
• 
  разработать теоретико-методологические основы обеспечения безопасности информации
  
• 
  решить проблему управления защитой информации и ее автоматизации
  
• 
  организовать подготовку специалистов по защите информации
  

2. Проблемная ситуация в сфере информационной безопасности

---

2.1. Объекты информационной безопасности.

Основными объектами защиты системы обеспечения ИБ являются:

• 
  информация, содержащая коммерческую тайну, банковскую тайну другая информация ограниченного доступа, информация клиентов и их личные тайны;
  
• 
  информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации.
  

2.2. Определение вероятного нарушителя.

Нарушитель информационной безопасности — это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов или ради игры, или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

2.3. Описание особенностей (профиля) каждой из групп вероятных нарушителей.

1. 
   «Неопытный (невнимательный) пользователь» – клиент, зарегистрированный как пользователь системы, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам с превышением своих полномочий, ввода некорректных данных и т.п., по ошибке, некомпетентности или халатности, без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.
   
2. 
   «Мошенник» – пользователь, зарегистрированный как пользователь системы, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).
   
3. 
   «Внешний нарушитель (злоумышленник)» — постороннее лицо, возможно зарегистрированное как пользователь системы (например, сотрудник сторонней организации, являющейся информационным посредником), действующее целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Внешний нарушитель может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования, включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети.
   
4. 
   «Внутренний злоумышленник» – пользователь, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне — из сетей общего пользования.
   

---

2.4. Основные виды угроз информационной безопасности Предприятия.

При создании системы защиты информации в образовательном учреждении обязательно необходимо учитывать те угрозы, которые могут возникнуть.

Угрозы информационной безопасности могут быть классифицированы по различным признакам:

1. 
   По природе возникновения (естественные и искусственные)
   

Естественные – это те угрозы, которые возникли в результате какого-либо природного катаклизма (землетрясения, наводнения и др.);

Искусственные – результат деятельности человека.

2. 
   По степени преднамеренности:
   

Случайные – угрозы, вызванные ошибками или халатностью персонала; Преднамеренные – возникают в результате целенаправленной деятельности злоумышленников.

3. 
   По аспекту информационной безопасности:
   

Угрозы конфиденциальности, угрозы целостности, угрозы доступности.

4. 
   По компонентам, на которые нацелена угроза:
   

Данные, программное обеспечение, аппаратное обеспечение.

Все источники угроз информационной безопасности можно разделить на три основные группы:

• 
  Обусловленные действиями субъекта (антропогенные источники) — субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.
  
• 
  Обусловленные техническими средствами (техногенные источники) — эти источники угроз менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.
  
• 
  Стихийные источники — данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить, или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы.
  

---

2.5. Общестатистическая информация по искусственным нарушениям информационной безопасности.

Согласно докладу о глобальных рисках Всемирного экономического форума 2019 года, мошенничество с данными и кибератаки являются четвертым и пятым глобальными рисками, с которыми сталкивается каждая организация. По своей значимости эти риски приравниваются к экологическим проблемам.

В официальном ежегодном отчете о киберпреступности (ACR) за 2019 год, опубликованном Cybersecurity Ventures, сообщается, что атаки хакеров во всём мире происходят каждые 14 секунд, а к 2021 году их частота возросла до каждой 11 секунды. Специалисты компании InfoWatch в конце года рассказали Известиям, что за прошлый год в сеть утекло более 14 млрд. конфиденциальных записей. Рост числа утечек во всём мире по сравнению с 2018 годом увеличился на 10%, в России – более чем на 40%. Согласно последнему отчёту DLA Piper о статистике GDPR (Общий регламент защиты персональных данных ЕС), Нидерланды, Германия и Великобритания занимают первые три строчки по количеству уведомлений о нарушениях данных, о которых было сообщено регулятору.

2.6. Оценка потенциального ущерба от реализации угрозы.

Настоящая Методика оценки угроз безопасности информации разработана в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее - системы и сети), а также по разработке моделей угроз безопасности информации систем и сетей.

Методика применяется для определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях, отнесенных к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

---

В иных случаях решение о применении настоящей Методики принимается обладателями информации или операторами систем и сетей.

3. Механизмы обеспечения информационной безопасности Предприятия

3.1. Принципы, условия и требования к организации и функционированию системы информационной безопасности.

Общепринятым методом войти в систему во время атаки на информационные ресурсы является вход при помощи официального логин-запроса. Технические средства, позволяющие выполнить вход в нужную систему, – логин и пароль.

При авторизации стоит придерживаться нескольких общих требований:

1. Обеспечение высокого уровня безопасности. Терминал (точка входа активного пользователя в информационную систему), не имеющий специальной защиты, используется исключительно в том месте, где доступ к нему получают работники с наивысшим квалификационным уровнем. Терминал, который установлен в публичном общественном месте, должен всегда иметь уникальный логин и пароль сложного уровня. Это необходимо для того, чтобы обеспечить полноценную информационную безопасность.

2. Наличие систем контроля за общим доступом в помещение, где установлено оборудование, на котором хранится информация, в архивные помещения и другие места, которые являются уязвимыми с точки зрения информационной безопасности.

Если используются удаленные терминалы, должны соблюдаться такие основные требования:

· Все удаленные терминалы обязаны посылать запрос на ввод логина и пароля. Доступ без ввода пароля должен быть запрещен.

· Если есть возможность, то в качестве обеспечения информационной защиты надо применить схему так называемого возвратного звонка от модема. Только она, используя уровень надежности автоматической телефонной станции, дает подтверждение, что удаленные пользователи получили доступ с конкретного номера телефона.
3.2. Основные направления политики в сфере информационной безопасности.

Настоящая политика разработана в соответствии с законодательством Российской Федерации в области безопасности персональных данных, информационной безопасности и защиты информации, нормативных актов федеральных и региональных органов исполнительной власти, уполномоченных в области обеспечения физической и технической защиты информации.

---

Смотрите также файлы

• Методы расчета показателей надежности сжат.docx

• Влияние химических веществ отработанных батареек на рост и развитие растений.docx

• Теория вероятностей и математическая статистика.docx

• Создание локальной.docx

• Контрольная работа 2 по дисциплине "Английский язык" по теме " Boss private office (What a modern day office should look like).docx