Файл: Разработка модели системы информационной безопасности на предприятии.docx

Руководящий документ Гостехкомиссии РФ «Критерии оценки безопасности информационных технологий». Это документ разработан в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 и обеспечивает его практическое использование. Основная цель РД – реализация комплексных методов по обеспечению безопасности информационных систем и использование необходимого функционала. Он направлен на проектирование систем безопасности соответствующих возможным угрозам и сохраняющих баланс между эффективностью и стоимостью.⁷

Руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Этот РД определяет классификацию АС и в соответствии с классом определяет требования к возможным подсистемам.⁸

Руководящий документ Гостехкомиссии РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Первый РД, который не имеет зарубежных аналогов. Основная идея данного РД – классификация межсетевых экранов в соответствии с сетевой моделью OSI, которая фильтрует потоки данных.

На сегодняшний день в сфере реализации систем безопасности сформировалось такое понятие как «лучшая практика». «Лучшая практика» это такие политики безопасности, которые отражают наилучшие процедуры, средства, руководства и стандарты безопасности и могут быть применимы как эталон при разработке системы безопасности. Эталонными считаются политики таких компаний, как Microsoft, IBM, Symantec и др.

1. 
   Политика Symantec
   

Специалисты компании Symantec утверждают, что основой эффективной системы безопасности являются руководящие документы, к числу которых можно отнести: политики безопасности, международные стандарты, описание процедур обеспечения безопасности и метрики. Все эти руководящие документы способны ответить на три основных вопроса:

- почему нужно защищать информацию?

- что нужно предпринять для обеспечения безопасности?

- как реализовать политику в соответствии с требованиями?

Разработка комплексной системы безопасности должна включать следующие этапы:

• 
  анализ информационных активов;
  
• 
  идентификация возможных угроз;
  
• 
  анализ и оценка рисков безопасности;
  
• 
  назначение лиц, ответственных за обеспечение безопасности;
  
• 
  создание комплексной системы, в соответствии со стандартами, руководствами и процедурами;
  
• 
  управление системой безопасности;
  

---

2. 
   Политика Microsoft
   

Стратегия информационной политики компании Microsoft содержит четыре основных компонента:

• 
  цель обеспечения информационной безопасности компании;
  
• 
  нормы системной безопасности
  
• 
  схема принятия решений (строится по результатам анализа рисков);
  
• 
  определение действий по минимизации рисков;
  

Процесс разработки политики безопасности разделен на четыре категории:

• 
  организационная (направленная на повышение осведомленности и расширение знаний сотрудников в сфере информационной безопасности, а также на поддержку руководства);
  
• 
  данные и пользователи (включает такие средства защиты как: авторизация, защита персональных данных, аутентификация);
  
• 
  разработка системы (разработка защищенной системы, сокращение поверхности атаки, обеспечение простоты использования);
  
• 
  сопровождение (регулярный контроль и журналирование системы, реагирование на происшествия и инциденты);
  

Для поддержания уровня защищенности компания применяет контроль информационных рисков (идентификация, оценка и минимизация рисков). Такой подход позволяет достигнуть баланса между требованиями и методикой защиты.

3. 
   Политика IBM
   

Специалисты компании IBM выделяют четыре основных этапа построения системы безопасности:

• 
  идентификация информационных рисков и методов борьбы с ними;
  
• 
  описание мер защиты активов в соответствии с задачами и целями компании;
  
• 
  описание действий при происшествиях;
  
• 
  анализ остаточных рисков и принятие решение о дополнительном капиталовложении в методы обеспечения безопасности;
  

Ответ на вопрос «Что нужно защищать?» - основной аспект политики информационной безопасности, в соответствии со стратегией IBM. Политика должна создаваться с целью минимальных её изменений в будущем. Эффективная политика безопасности должна содержать:

• 
  цели и задачи обеспечения информационной безопасности;
  
• 
  взаимодействие со стандартами безопасности и законодательством;
  
• 
  расширение знаний по вопросам информационной безопасности;
  
• 
  выявление и ликвидация вирусных атак;
  
• 
  обеспечение непрерывности деятельности;
  
• 
  установление ролей и обязанностей персонала;
  
• 
  журналирование инцидентов нарушения безопасности;
  

---

Далее идет процесс создания документации, которая содержит правила анализа рисков компании, описание рекомендуемых методов и средств защиты и так далее. Документация может подлежать изменениям в соответствии с актуальными уязвимостями и угрозами.

Однако, помимо правовой основы, система информационной безопасности и её функции по обеспечению состоянию защищенности объекта должны быть реализованы в соответствии с нижеизложенными принципами:

• 
  легитимность (создание системы информационной безопасности, а также реализация мероприятий по защите, не противоречащих законодательству и нормативам);
  
• 
  комплексность (разрабатываемая система защиты предусматривает комплексную реализацию методов, обеспечивает защиту информационных ресурсов на техническом и организационном уровнях и предотвращает возможные пути реализации угроз);
  
• 
  постоянность (обеспечивает непрерывную защиту объектов);
  
• 
  прогрессивность (подразумевает непрерывное развитие средств и методов защиты, в соответствии с развитием технологий и методов атак);
  
• 
  рациональность (использование экономически выгодных и эффективных средств защиты);
  
• 
  ответственность (каждый сотрудник ручается за обеспечение безопасности в рамках своих полномочий);
  
• 
  контроль (предполагает постоянный контроль над обеспечением защиты и своевременное выявление угроз);
  
• 
  использование действующей системы безопасности (проектируемая система создается на основе действующей системы, с использованием штатных аппаратных и программных средств);
  
• 
  использование аппаратно – программных компонентов защиты отечественного производства (проектирование системы безопасности предусматривает преобладание отечественных технических средств защиты);
  
• 
  этапность (проектирование системы безопасности предпочтительнее делать поэтапно);⁹
  

Проанализировав существующие политики и стандарты информационной безопасности можно утверждать, что для обеспечения надлежащего уровня информационной защиты требуется комплекс мер, включающий в себя функции программного обеспечения, политики безопасности, методы и организационные структуры. В соответствии с этим и с основной целью необходимо выполнить следующие задачи:

• 
  изучить исходную информационную и организационную структуру ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»;
  
• 
  по результатам анализа исходной информационной системы определить конкретные угрозы и уязвимости информационной безопасности;
  
• 
  определить уровень и класс исходной защищенности объекта;
  
• 
  выявить актуальные угрозы;
  
• 
  составить модель нарушителя;
  
• 
  сопоставить исходную систему с требованиями стандартов безопасности;
  
• 
  разработать политику безопасности и определить действия по обеспечении информационной безопасности;
  

---

Выполнение вышеизложенных целей и задач позволит создать эффективную систему информационной безопасности предприятия, отвечающую требованиям законодательства и стандартам информационной безопасности.

---

1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ

1.1. Описание предприятия

Дата создания образовательной организации: 23 июня 1930 года.

Полное наименование организации: Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Нижегородский государственный архитектурно-строительный университет».

Сокращенные наименования: ННГАСУ, ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет».

Полное наименование на английском языке: Nizhny Novgorod State University of Architecture and Civil Engineering.

Сокращенное наименование на английском языке: NNGASU.

Место нахождения ВУЗа: 603950, Нижегородская область, г. Нижний Новгород, ул. Ильинская, д. 65.

Учредитель ВУЗа - Российская Федерация. Функции и полномочия учредителя ВУЗа осуществляет Министерство Образования и Науки Российской Федерации.
Место нахождения Учредителя: 125993, г. Москва, ул. Тверская, 11.

Ректор – Андрей Александрович Лапшин

ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет» является некоммерческой организацией, создан с целью развития экономики и социальной среды региона, отрасли и России посредством повышения уровня образования студентов на основе достижений науки, инноваций и технологий.

Основные направления деятельности ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»:

• 
  Подготовка конкурентоспособных, на российском и международном рынке труда, специалистов строительной и смежных отраслей, на основе современных образовательных стандартов и научных исследований;
  
• 
  Обеспечение способного выдержать конкуренцию научного потенциала, задействованного в реальных секторах экономики страны;
  
• 
  Создание и совершенствование условий необходимых для самореализации, а также профессионального роста сотрудников и студентов;
  
• 
  Развитие межвузовской кооперации на российском и международном уровне и укрепление положения на международной арене;
  

Общее управление ВУЗом осуществляет Ученый совет

---