Разработка методики оценки рисков утечки конфиденциальной информации, циркулирующей в корпоративной сети

Автор работы: Пользователь скрыл имя, 21 Декабря 2011 в 19:14, курсовая работа

Краткое описание

Новые информационные технологии активно внедряются во все сферы народного хозяйства. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (академические сети, сети военных ведомств и т.д.), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека.

Содержание работы

1.Анализ проблемы. Постановка задачи.
1.1.Актуальность проблемы обеспечения безопасности корпоративной сети.
1.1.1. Проблемы безопасности современных корпоративных сетей.
1.1.2. Способы обеспечения информационной безопасности корпоративных сетей.
1.1.3. Пути решения проблем защиты информации в корп сетях.
1.1.4. Основные принципы обеспечения информационной безопасности корп. сети.
1.2.Анализ схем функционального построения корпоративных етей.
1.2.1. Этапы проектирования корпоративных сетей.
1.2.2. Анализ требований.
1.2.3. Построение функциональной модели производства.
1.2.4. Построение технической модели.
1.2.5. Построение физической модели.
1.2.6. Разработка технического задания.
1.3.Анализ методов и средств, применяемых для обеспечения безопасности корпоративной сети.
1.3.1. Межсетевые экраны.
1.3.2. Системы IDS.
1.3.3. Сервер обновлений ПО.
Вывод.
1.4.Анализ существующих методов оценки рисков утечки конфиденциальной информации в корпоративной сети.
1.3.1. виды методов
1.3.2. достоинства и недостатки сущ. методов.
1.3.3.анализ ограничений по выбору методики.
1.5.Постановка задачи.
2.Разработка методики оценки рисков утечки информации, циркулирующей в корпоративной сети.
2.1.Выбор и обоснование направлений совершенствования базовой методики оценки рисков утечки информации в корпоративной сети.

Содержимое работы - 1 файл

РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ РИСКОВ УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.doc

— 228.00 Кб (Скачать файл)

Необходимость применения стандартов. Информационные системы (ИС) компаний почти всегда построены на основе программных и аппаратных продуктов различных производителей. Пока нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить в разнородной ИС надежную защиту информации требуются специалисты высокой квалификации, которые должны отвечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее ИС, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах устройств защиты, межсетевых экранов (МЭ), шлюзов и VPN, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков приводят к созданию сложной среды защиты, трудной для управления, а иногда и несовместимой. 
Интероперабельность продуктов защиты является неотъемлемым требованием для КИС. Для большинства гетерогенных сред важно обеспечить согласованное взаимодействие с продуктами других производителей. Принятое организацией решение безопасности должно гарантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потребность в применении единого набора стандартов как поставщиками средств защиты, так и компаниями — системными интеграторами и организациями, выступающими в качестве заказчиков систем безопасности для своих корпоративных сетей и систем. 
Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии, которым должно следовать управление безопасностью. Стандарты являются необходимой основой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности в гетерогенных средах.

Комплексный подход к решению проблемы обеспечения  безопасности, рациональное сочетании законодательных, административно-организационных и программно-технических мер и обязательное следование промышленным, национальным и международным стандартам — это тот фундамент, на котором строится вся система защиты корпоративных сетей.

 

1.1.3. Пути решения проблем защиты информации в сетях

Для поиска решений  проблем информационной безопасности при работе в сети Интернет был создан независимый консорциум ISTF (Internet Security Task Force) — общественная организация, состоящая из представителей и экспертов компаний-поставщиков средств информационной безопасности, электронных бизнесов и провайдеров Internet-инфраструктуры. Цель консорциума — разработка технических, организационных и операционных руководств по безопасности работы в Internet.

Консорциум ISTF выделил 12 областей информационной безопасности, на которых в первую очередь должны сконцентрировать свое внимание создатели электронного бизнеса, чтобы обеспечить его работоспособность. Этот список, в частности, включает:

• аутентификацию (механизм объективного подтверждения идентифицирующей информации);

• право на частную, персональную информацию (обеспечение конфиденциальности информации);

• определение  событий безопасности (Security Events);

• защиту корпоративного периметра;

• определение атак;

• контроль за потенциально опасным содержимым;

• контроль доступа;

• администрирование;

• реакцию на события (Incident Response). Рекомендации ISTF предназначены для существующих или

вновь образуемых компаний электронной коммерции  и электронного бизнеса.

Их реализация означает, что защита информации в  системе электронного бизнеса должна быть комплексной.

Для комплексной  зашиты от угроз и гарантии экономически выгодного и безопасного использования  коммуникационных ресурсов для электронного бизнеса необходимо:

• проанализировать угрозы безопасности для системы  электронного бизнеса;

• разработать  политику информационной безопасности;

• защитить внешние  каналы передачи информации, обеспечив конфиденциальность, целостность и подлинность передаваемой по ним информации;

• гарантировать  возможность безопасного доступа  к открытым ресурсам внешних сетей и Internet, а также общения с пользователями этих сетей;

• защитить отдельные  наиболее коммерчески значимые ИС независимо от используемых ими каналов передачи данных;

• предоставить персоналу защищенный удаленный  доступ к информационным ресурсам корпоративной  сети;

• обеспечить надежное централизованное управление средствами сетевой защиты.

Согласно рекомендациям  ISTF, первым и важнейшим этапом разработки системы информационной безопасности электронного бизнеса являются механизмы управления доступом к сетям общего пользования и доступом из них, а также механизмы безопасных коммуникаций, реализуемые МЭ и продуктами защищенных виртуальных сетей VPN.

Сопровождая их средствами интеграции и управления всей ключевой информацией системы защиты (PKI — инфраструктура открытых ключей), можно получить целостную, централизованно управляемую систему информационной безопасности.

Следующий этап включает интегрируемые в общую структуру средства контроля доступа пользователей в систему вместе с системой однократного входа и авторизации (Single Sign On).

Антивирусная  защита, средства аудита и обнаружения  атак, по существу, завершают создание интегрированной целостной системы безопасности, если речь не идет о работе с конфиденциальными данными. В этом случае требуются средства криптографической защиты данных и электронно-цифровой подписи.

Для реализации основных функциональных компонентов  системы безопасности для электронного бизнеса применяются различные методы и средства защиты информации:

• защищенные коммуникационные протоколы;

• средства криптографии;

• механизмы  аутентификации и авторизации;

• средства контроля доступа к рабочим местам сети и из сетей общего пользования;

• антивирусные комплексы;

• программы  обнаружения атак и аудита;

• средства централизованного  управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщениями любых приложений по открытым IP-сетям.

Применение комплекса средств защиты на всех уровнях корпоративной системы позволяет построить эффективную и надежную систему обеспечения информационной безопасности.

 

1.1.4. Основные принципы обеспечения информационной безопасности

    Построение системы защиты должно основываться на следующих основных принципах:

  • Системность подхода.
  • Комплексности решений.
  • Разумная достаточность средств защиты.
  • Разумная избыточность средств защиты.
  • Гибкость управления и применения.
  • Открытость алгоритмов и механизмов защиты.
  • Простота применения защиты, средств и мер.
  • Унификация средств защиты.
 

    Системность подхода

    Защита информации предполагает необходимость учета всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности.

    При создании системы защиты необходимо учитывать все слабые и наиболее уязвимые места системы обработки информации, а также характер возможных объектов и нарушения атак на систему со стороны нарушителя, пути проникновения в систему для НСД к информации.

    Система защиты должна строиться с учетом не только всех известных каналов проникновения, но и с учетом возможности появления преимущественно новых путей реализации угроз безопасности.

Системный подход также предполагает непротиворечивость применяемых средств защиты.

Различают следующие виды системности: Пространственная системность

    Может практиковаться как увязка вопросов защиты информации

    по вертикали:

государство(правительственные органы)

министерство

корпоративные гос. учреждения

частные предприятия

автоматизированные системы обработки данных, вычислительные системы

по горизонтали:

    пространственная системность предполагает увязку вопросов ЗИ в локальных узлах и территориях распределения элементов АСОД. 

    Временная системность (принцип непрерывности

функционирования системы защиты):

    Защита информации это не разовые мероприятия, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла защиты системы. Разработка системы защиты должна начинаться с момента проектирования системы защиты, а ее адаптация и доработка должна осуществляться на протяжении всего времени функционирования системы.

  В частности по времени суток система защиты должна функционировать круглосуточно. Действительно, большинству средств защиты для выполнения своих функций необходима поддержка (администрирование), в частности для назначения и смены паролей, назначения секретных ключей, реакции на факты НСД и т.д. Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа защищаемых систем и СЗИ (средств защиты информации). Такие. перерывы в работе СЗИ могут использоваться для внесения закладок, совершения НСД и т.д. 

    Организационная системность

    Означает единство организации всех работ по ЗИ и управления к их осуществлению. Организационная системность предполагает создание в масштабах государства стройной системы органов, профессионально ориентированных на ЗИ.

 

    1.2.Анализ  схем функционального  построения корпоративных  сетей.

1.2.1. Этапы проектирования  корпоративных сетей

Заранее следует  оговориться, что рассматриваемые  в этом разделе вопросы методологии проектирования часто не вполне соответствуют существующей сейчас практике реализации проектов фирмами-интеграторами. Нельзя однозначно сказать, насколько это хорошо или плохо, но одновременно с произошедшими за последние пять лет изменениями отношений собственности и глубокой организационной перестройкой предприятий была утеряна и культура выполнения проектных работ, включавшая в себя следование строго регламентированному перечню этапов, непременное сопровождение каждого этапа стандартной документацией, ведение протоколов рабочих совещаний и всевозможных видов актов "приемно-сдаточных испытаний " и "приемки".

Сейчас каждый сетевой интегратор выполняет проекты согласно своим собственным представлениям о рациональной организации труда, и методика проектирования каждой фирмы является неким "ноу-хау". Тем не менее, с учетом более богатого (но, может быть, не всегда нам подходящего) западного опыта можно остановиться на некоторых типовых этапах выполнения сетевых проектов.

1.2.2. Анализ требований

Нельзя построить  хорошую корпоративную сеть без  ясного понимания деловых целей предприятия и без четкого плана достижения этих целей. Первый шаг, заключающийся в определении проблем предприятия и, следовательно, целей проекта называется анализом требований.

Анализ требований к сети поможет оценить деловую  значимость информационно-технологических  решений, определить главные цели и  выбрать приоритеты для отдельных частей компьютерной системы, которую вы хотите улучшить или расширить. Четкое определение требований к функциям сети поможет избежать реализации не нужных свойств сети, что сэкономит средства вашего предприятия. Тщательный анализ требований к сети является основой для написания хорошего технического задания, на базе которого системные интеграторы смогут разработать проект сети. Наконец, ясное понимание целей поможет сформулировать критерии качества для оценки и тестирования реализованной сети.

Информация о работе Разработка методики оценки рисков утечки конфиденциальной информации, циркулирующей в корпоративной сети