Предложения по структуре и функционированию системы информационной безопасности организации

Министерство  образования и науки Российской Федерации.

Государственное образовательное учреждение высшего  профессионального образования «Санкт-Петербургский Государственный Архитектурно-Строительный Университет».

Факультет Экономики и управления.

Кафедра Управления. 

Методические указания по разработке реферата на тему: 
 

"Предложения  по структуре и  функционированию  системы информационной  безопасности организации". 
 

по дисциплине

"Основы  информационной безопасности"

для студентов специальности "Менеджмент организации". 
 
 
 
 

Санкт - Петербург.

2008.

 

УДК  (658.  ) 

Методические  указания по разработке реферата на тему: "Предложения по структуре и  функционированию системы информационной безопасности организации" по дисциплине "Основы информационной безопасности" для студентов специальности 061100 -  "Менеджмент организации".  /СПбГАСУ; Сост.: Белова Н. Е. Бражников С. А., - СПб., 2008. - ?28? с. 

        В методическом пособии даются конкретные рекомендации по разработке важного для современного организационного управления и весьма специфичного вида управленческого документа - реферата на заданную тему.  Реферат, как правило, задаётся руководством организации и преследует цель общей предварительной оценки состояния некоторого, возможно сложного, чаще всего, нового перспективного, но дорогостоящего объекта (технологии, устройства и др.). Интерес к таким объектам сегодня естественно всё чаще возникает с целью возможного последующего их внедрения и использования для совершенствования производственных процессов или/и процессов управления организацией и получения конкурентных преимуществ на рынке.  Реферат разрабатывается на основе анализа целенаправленно отбираемого и затем изучаемого, как правило, достаточно представительного, перечня источников, публикаций, документов. Реферат при этом призван дать лишь общие главные сведения об объекте и обоснованные соображения о его возможном дальнейшем внедрении и использовании в организации. Поэтому современный менеджер и должен уметь оперативно, со знанием дела и содержательно отрабатывать такие документы, как рефераты.

 

1. Введение. Понятие реферата, его назначение и роль в современном организационном управлении. 

          Под  рефератом  (от латинского refero - доношу, излагаю) понимается некое краткое изложение на заданную тему основных положений учения, научной проблемы или некоторого актуального для организации, но пока что недостаточно изученного объекта (вопроса, положения, сущности и пр.), в письменном виде и/или в форме публичного доклада.

Изучаемая при реферировании по целенаправленно выбранным и/или предложенным источникам сущность, чаще всего, представляется как слабо структурированный и довольно сложный, но функционально многогранный и семантически разнородный объект нередко, к тому же, интенсивно развивающийся и совершенствующийся. Именно такие объекты, всё чаще сегодня именуемые инновационными, и представляют повышенный интерес для руководства организаций. Этот интерес вполне понятен и оправдан, так как внедрение и использование именно таких объектов с высокой вероятностью могут гарантировать конкурентные преимущества на современных рынках. Но инновационные сложные объекты чаще всего стоят дорого и риски от неэффективного их применения весьма высоки. Поэтому и возникает естественная необходимость предварительного ознакомительного исследования характеристик такого объекта и целесообразности его применения в организации для целей получения вышеупомянутых конкурентных преимуществ на рынке. В дальнейшем, как правило, предполагается на основе материалов реферата и предварительном положительном решении руководства организации о возможности применения объекта более углубленное его изучение. В настоящее время именно такими объектами и являются современные системы информационной безопасности (СИБ) организаций, значимость которых в информационном процессе управления сегодня постоянно возрастает. Так, например, стоимость средств автоматизации организационного управления, как было отмечено выше, непрерывно увеличивается и для некоторых организаций уже составляет величину более 50% от годового дохода. Однако, отказаться от постоянного увеличения вложений с целью совершенствования средств автоматизации управления уже невозможно, так как именно они составляют информационную основу конкурентной борьбы. Именно поэтому основной "интерес" злоумышленников это, естественно, информационное обеспечение (ИО) процессов управления, а конкретнее - базы данных (БД) информационных систем организаций – конкурентов. По данным статистики США на рубеже веков, при полной потере БД из общего числа потерпевших организаций в первые три дня объявляли о своем банкротстве 60%, а в течение года - 90% из оставшихся. То есть, за год из 100 организаций "на плаву" оставались только 8!  И подобных примеров весьма эффективных результатов информационных атак (в основном со стороны конкурентов) можно привести достаточное количество. Целенаправленные разрушающие воздействия конкурентов и прочих "доброжелателей" на информационные системы организаций сегодня становятся обычным средством конкурентной борьбы и этот факт игнорировать уже просто невозможно.  Поэтому и используются в организациях достаточно сложные и дорогостоящие СИБ как обязательный и весьма важный элемент информационной системы управления.

 

2. Цели  и задачи разработки реферата. 

Основная цель предлагаемого к разработке реферата заключается в определении структуры и основных положений функционирования некоторого пускового варианта СИБ, способного обеспечить некоторый наперёд  заданный удовлетворительный уровень безопасности информационной системы организации при возможном установленном комплексе как внешних, так и внутренних угроз процессу функционирования. Для простоты, предлагается рассмотреть в реферате только вопросы обеспечения безопасности основного коллективного инструментария современного менеджера, а именно корпоративной локальной вычислительной сети  (ЛВС)  организации.  Такая ЛВС изучалась в дисциплине  “Аппаратно-программные комплексы управления“, по рабочей программе которой выполнялся соответствующий курсовой проект.  Под структурой  СИБ  далее будем понимать некоторое множество средств безопасности, – различного вида обеспечений (ресурсов), которые должны “встраиваться” в структуру ЛВС и обеспечивать требуемый уровень безопасности её функционирования. Кроме того, в вышеупомянутую ЛВС  необходимо включить дополнительно подсистему – комплекс средств администратора системы безопасности организации, а также средства обеспечения безопасности обмена с внешними сетями (Интернет, интранет, местные радиосети (типа WiFi и др.), VPN (виртуальные частные сети) и пр.). Все вышеупомянутые средства обеспечения безопасности и должны выбираться из литературных и прочих источников (например, сайты Интернет), которые должны быть перечислены в обязательном прилагаемом перечне реферированных источников и на которые в тексте реферата должны быть обязательно даны соответствующие ссылки в общепринятой редакции.

Прямое  переписывание текстов  из первичных источников будет считаться  плагиатом, а реферат  к рассмотрению принят не  будет! 

        Основные  задачи реферата должны сводиться к обоснованному выбору и краткому описанию предлагаемых к использованию средств информационной безопасности из приведенных в списке реферируемых источников. Указанный список должен содержать хорошо известные и положительно зарекомендовавшие себя на практике средства СИБ, производимые фирмами с высоким рейтингом на современном рынке средств обеспечения безопасности. При выборе этих средств, кроме основных характеристик, определяющих их функциональные возможности, обязательно должны приводиться и значения ценовых характеристик.  При этом, каждый тип средства безопасности должен представляться, как минимум, в двух вариантах, ибо только в этом случае возможна процедура выбора и обоснование выбора конкретного средства.  Все вопросы отбора средств обеспечения безопасности и их характеристик обязательно должны согласовываться с преподавателем, ведущим лекционную часть дисциплины. Результаты выбора вариантов этих средств рекомендуется расположить в Excel-таблице, или в Word-таблице (Приложение 2) со  следующими основными атрибутами:

- Полное официальное наименование  средства;

- Краткое наименование (идентификатор);

- Фирма – производитель;

- Основное функциональное назначение;

- Тип средства; (аппаратура, программа,  информационный файл и пр.);

- Цена;

- Единица измерения цены.

Естественно, при необходимости, состав атрибутов таблицы может быть пополнен. Таблица позволит оперативно и с высокой точностью выполнить расчёты ценовых характеристик всей СИБ, или её отдельных частей, а также просчитать, при необходимости, несколько вариантов системы оптимизируя её структуру и значения ценовые характеристик этих вариантов. Общий объём пояснительной записки реферата не должен превышать 25  листов печатного текста стандарта А4. При этом титульный лист, оглавление, иллюстрации, список литературных и других источников, таблицы, возможные иллюстрации средств обеспечения безопасности и прочее в расчёт листов не включать. 

 

3. Обязательные    разделы    содержания   реферата,    рекомендации   по разработке материалов конкретных разделов. 

Реферат предлагается разрабатывать путём последовательного изучения и отработки следующих основных вопросов.

1. Основные характеристики организации  и специфика её информационной  системы.

2. Классификация, специфика и краткий анализ основных угроз информационной системе организации.

3.Основная  цель реферата.

4. Формулировка основных задач  СИБ организации и средства их возможной реализации.

5. Средства разграничения доступа к глобальным сетям, данным и программам.

6. Средства идентификации и аутентификации  пользователей информационной системы  организации.

7. Обоснование необходимости использования ЭЦП и предложения по её внедрению и применению в информационном процессе организации.

8. Предложения по структуре СИБ и размещению её элементов в ЛВС  АПКУ организации. Схема ЛВС организации с предлагаемыми элементами СИБ.

9. Основные экономические характеристики  СИБ и предложения по этапности  её внедрения.

10. Выводы, предложения и  рекомендации  по дальнейшему развитию и совершенствованию СИБ.

 

          В первом разделе должны быть кратко, но конкретно, описаны следующие основные характеристики организации и её информационной системы.

1. Полное название организации, сфера её деятельности, количество работающих, примерный годовой доход, список организаций, с которыми осуществляется наиболее интенсивный обмен данными с указанием примерного объёма обмениваемых данных за сутки, а также и другие характеристики внешних организаций, которые достойны, по мнению автора реферата, внимания;

2. Основные структурные характеристики информационной системы организации и процессов этой системы. При описании особое внимание следует уделить входам и выходам информационной системы, перечислить все сетевые подключения: Интернет, интранет-сети, виртуальные частные сети, радиосети передачи данных и др.

3.- Структурные характеристики ЛВС  на основе прилагаемой схемы (взять из курсового проекта по дисциплине  “Аппаратно-программные комплексы управления”). Здесь для основных элементов ЛВС: рабочих станций (РС), серверов, корпоративных сетевых устройств (КСУ) необходимо задать степень их конфиденциальности: высокая (В), средняя (С) или низкая (Н). Задание и обоснование значений этих характеристик далее даст возможность обосновано выбирать и предлагать к применению средства обеспечения безопасного доступа к вышеуказанным ресурсам ЛВС. 

          Во втором разделе  должны быть перечислены и идентифицированы все основные угрозы информационной системе организации, как внешние, так и внутренние, с обязательным указанием степени их опасности, опять же: высокая (В), средняя (С) или низкая (Н). Кроме того, для всех угроз должны быть указаны их предполагаемые (или желательно известные) источники и их известные, или, опять же предполагаемые, характеристики. Все вышеуказанные сведения об угрозах и позволят в дальнейшем обоснованно выбирать средства защиты от них и строить структуру и процесс защиты в СИБ. Целесообразно данные об угрозах представить в виде таблицы со следующими основными атрибутами:

- полное наименование угрозы;