Разработка методики оценки рисков утечки конфиденциальной информации, циркулирующей в корпоративной сети

Автор работы: Пользователь скрыл имя, 21 Декабря 2011 в 19:14, курсовая работа

Краткое описание

Новые информационные технологии активно внедряются во все сферы народного хозяйства. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (академические сети, сети военных ведомств и т.д.), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека.

Содержание работы

1.Анализ проблемы. Постановка задачи.
1.1.Актуальность проблемы обеспечения безопасности корпоративной сети.
1.1.1. Проблемы безопасности современных корпоративных сетей.
1.1.2. Способы обеспечения информационной безопасности корпоративных сетей.
1.1.3. Пути решения проблем защиты информации в корп сетях.
1.1.4. Основные принципы обеспечения информационной безопасности корп. сети.
1.2.Анализ схем функционального построения корпоративных етей.
1.2.1. Этапы проектирования корпоративных сетей.
1.2.2. Анализ требований.
1.2.3. Построение функциональной модели производства.
1.2.4. Построение технической модели.
1.2.5. Построение физической модели.
1.2.6. Разработка технического задания.
1.3.Анализ методов и средств, применяемых для обеспечения безопасности корпоративной сети.
1.3.1. Межсетевые экраны.
1.3.2. Системы IDS.
1.3.3. Сервер обновлений ПО.
Вывод.
1.4.Анализ существующих методов оценки рисков утечки конфиденциальной информации в корпоративной сети.
1.3.1. виды методов
1.3.2. достоинства и недостатки сущ. методов.
1.3.3.анализ ограничений по выбору методики.
1.5.Постановка задачи.
2.Разработка методики оценки рисков утечки информации, циркулирующей в корпоративной сети.
2.1.Выбор и обоснование направлений совершенствования базовой методики оценки рисков утечки информации в корпоративной сети.

Содержимое работы - 1 файл

РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ РИСКОВ УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.doc

— 228.00 Кб (Скачать файл)

Для большинства  администраторов локальных сетей, особенно масштаба отдела, анализ требований к сети является чем-то экзотическим. Очень часто такой администратор покупает сетевое оборудование, операционные системы и приложения в ближайшем компьютерном магазине. В лучшем случае он консультируется с дистрибьютором или дилером. Очевидно, что администратор сети отдела скорее всего не захочет заниматься анализом требований, так как он покупает простую сеть для отдела, а не для предприятия в целом. Такой произвольный выбор вполне допустим для масштаба отдела, так как эта сеть не оказывает значительного влияния на работу предприятия. Если эта сеть откажет, то это повлияет только на пользователей одного отдела. Кроме того, в связи с тем, что цена такой сети сравнительно невелика, не очень велики и потери в случае ошибки.

Работы по проектированию и установке корпоративной сети лучше всего поручить сотрудникам  отдела автоматизации, а не администраторам  сетей групп и отделов. Хорошо, если сотрудники этого отдела имели дело с мейнфреймами; в этом случае у них есть опыт тщательного информационного анализа системы, планирования и установки ответственных приложений для больших машин. Вместе с тем совершенно необходим и опыт работы с сетями, для которых (в отличие от централизованных систем на базе мейнфреймов) характерно большее разнообразие оборудования, программного обеспечения и протоколов, а также разнообразие поставщиков.

Для выполнения анализа требований к корпоративной  сети необходимо:

• Оценить текущее состояние локальных сетей и парка компьютеров на предприятии, что поможет выявить, какие проблемы требуют решения.

• Определить цели и выгоды от корпоративной сети, что поможет вам правильно спроектировать сеть.

• Обосновать перед  руководством предприятия необходимость покупок.

• Написать эффективное  техническое задание.

• Определить критерии для оценки качества сети.

Различные компании выполняют анализ требований к сети различными способами с различной  степенью детализации в соответствии с традициями предприятия и его технической политикой. Документ, описывающий требования к сети, может быть объемом от 10 до 150 страниц. Некоторые предприятия выполняют такой анализ сами. Другие предприятия прибегают к помощи консультантов или системных интеграторов. Это делается в тех случаях, когда персонал отдела автоматизации не имеет достаточного опыта в проектировании и установке сетей. Кроме того, использование независимых консультантов или системных интеграторов в силу их объективности поможет взглянуть по-новому на проблемы и их решения.

1.2.3. Построение функциональной модели производства

Сеть предприятия  предназначена для того, чтобы  выполнять производственные функции, поэтому следует оценить ее роль в производственной структуре предприятия. Для успешного построения корпоративной сети нужно построить функциональную модель (или, по-другому, бизнес-модель), из которой потом получить техническую и физическую модели сети. Большинство крупных системных интеграторов придерживаются такой стратегии.

Архитектура приложений и вычислительной системы играет ключевую роль в деловой архитектуре предприятия. Бизнес предприятия базируется на архитектуре управления данными, на приложениях и архитектуре сети. Успешный анализ требований и успешное построение корпоративной сети требуют от технического специалиста умения думать как бизнесмен. Общей ошибкой некоторых руководителей проектов является мышление только в технических и технологических терминах.

Перед тем, как  начать оценивать требования к корпоративной  сети, нужно получить общее представление о том, что происходит в каждом отделе. Именно бизнес-модель описывает, как делаются дела на предприятии. В ней обычно не упоминается компьютерная система, она скорее концентрируется на деловой практике и последовательности работ. Сначала постройте модель, е которой отражается последовательность работ всего предприятия, а затем постройте модель для последовательности работ в каждом отделе. Детально опишите, как выполняются работы, кто выполняет эти работы и каковы взаимосвязи между рабочими группами и отделами.

Для разработки бизнес-модели необходимо собрать бригаду, состоящую из руководителей отделов, ведущих специалистов и сотрудников отдела автоматизации. Обратите внимание на следующие моменты:

• Необходимо назначить руководителя работы.

• Нужно опросить руководителей отделов и конечных пользователей корпоративной сети, чтобы определить их функции и выяснить, как их компьютерные системы помогают им в работе.

• Необходимо выяснить, как работа переходит из одного отдела в другой, и каким образом информация и задачи передаются от одного сотрудника к другому.

• Необходимо узнать, в чем заключаются зависимости - кто утверждает какой-либо этап работы и в какой последовательности должны завершаться этапы.

• Нужно понять, какие узкие места имеются у системы - слишком большое время ответа или же неэффективная обработка данных.

1.Работа с руководящим составом

Опросите руководителей  подразделений и пользователей  для того, чтобы определить, что они хотят получить от корпоративной сети. Их ответы будут лежать в диапазоне от "Я хочу в точности то, что имею сегодня" до прогрессивных идей на переднем плане науки и техники таких, как полностью автоматизированное производство и электронный документооборот. Действительно ли руководители хотят уменьшить количество денег, затрачиваемых на экспресс-доставку и обмен сообщениями за счет улучшения коммуникаций? Действительно ли они хотят взаимодействовать электронным способом с покупателями и поставщиками?

На этой ранней стадии проекта есть время для воображения и мозговых атак. Спросите руководителей, какие сервисы они хотели бы иметь, если бы цена не имела никакого значения. Расспросите руководителей и пользователей о существующей компьютерной системе. Не слишком ли она много простаивает из-за отказов? Не слишком ли она медленная? К каким источникам информации они обычно обращаются? Затем попросите руководителей отделов упорядочить свои требования в порядке их приоритетности. Этот список поможет вам определить этапы развертывания сети.

На этом этапе  руководители подразделений предприятия  должны оценить эффективность своих ручных и компьютеризованных операций. Автоматизация неэффективных деловых процедур приводит к неэффективным компьютерным системам. Действительно ли руководители готовы изменить процедуры своей деятельности или же эти изменения чересчур нарушат их деловую практику?

После того, как  вы уяснили функции подразделений, вы должны объяснить их руководителям, как корпоративная сеть может кардинально изменить и улучшить их работу. Необходимо потратить большое количество времени, чтобы объяснить, как сеть может изменить ведение дел на предприятии.

При этом необходимо пользоваться терминами, понятными  руководителям. Общей ошибкой является употребление технических терминов, а не производственных. Руководителей не волнуют преимущества 100 Мбитной сети FDDI по сравнению с 16 Мбитной сетью Token Ring. Им нет дела до разницы между обнаружением коллизий и передачей токена. Однако их беспокоит, сможет ли сеть помочь им производить больше телевизоров, продавать больше автомобилей, уменьшить страховые запасы сырья. Объясните, что руководители отделов и менеджеры теперь смогут уменьшить время ожидания покупателей за телефоном. А, например, руководителю издательской фирмы необходимо объяснить, что, имея сеть, сотрудники могут не только передавать текст, но также и звуки, и изображение. Информация будет передаваться как единое целое, а не как разрозненный набор чисел, слов, картинок. Использование конкретных содержательных примеров поможет деловым людям понять, какое влияние сеть окажет на организацию работ и на производительность.

Построение бизнес-модели предприятия - не простая задача. Это  объясняется дефицитом технических специалистов, понимающих производственные проблемы, и наоборот, отсутствием понимания технических аспектов у многих управленцев. Технические специалисты и управленческие работники должны взаимно обучаться для того, чтобы построить эффективную и полезную корпоративную сеть.

Построение бизнес-модели поможет также получить поддержку руководства предприятия, так как покажет, что разработчики сети понимают и производственные моменты предприятия, а не только технические. Общая стратегия заключается в том, чтобы найти руководителя или менеджера, который увидит выгоду для себя от внедрения корпоративной сети. Этот человек потом будет выступать как ваш "спонсор" перед высшим руководством.

2. Работа с пользователями  сети

Корпоративная сеть строится для удовлетворения производственных потребностей. Конечные пользователи будут работать с ней каждый день, поэтому обязательно нужно сделать, чтобы им было удобно работать с сетью. К сожалению, о конечных пользователях часто забывают во время планирования, проектирования и установки корпоративной сети. И когда сеть полностью установлена, пользователи начинают говорить "Она не работает" или "Она всегда отказывает". Они говорят, что печать теперь занимает больше времени, чем раньше, и что сеть им не нравится вообще. Вместо того, чтобы использовать сеть как инструмент, они смотрят на нее как на помеху.

Одним из главных  условий успешной работы является общение. Как правило, сотрудники отдела автоматизации слишком мало разговаривают не только друг с другом, но и с конечными пользователями. Конечные пользователи часто больше других знают о компьютерных системах, и именно они создают наибольшую нагрузку на компьютеры. Так как они работают с сетью каждый день, то часто обладают наилучшим пониманием того, как взаимосвязаны деловые функции и компьютерные системы. Обязанностью сотрудников отдела автоматизированных информационных систем является выбор такого оборудования, которое наилучшим образом удовлетворяет потребностям конечного пользователя, а не просто самой новой, самой быстрой продукции.

Необходимо назначить  по крайней мере одного конечного пользователя, ответственного за связь между пользователями и отделом автоматизации, чтобы пользователи были уверены, что их интересы кто-то представляет. Этот "связной" должен периодически встречаться с другими пользователями, оповещать их о ходе разработки и служить постоянной обратной связью.

Недовольство  пользователей иногда основывается на неверных, часто завышенных, ожиданиях. Необходимо дать пользователям реалистичную картину того, что сеть может делать. Необходимо объяснить, какое ожидается среднее время простоев из-за отказов. (Во время анализа требований необходимо выяснить, какое время простоев пользователи считают допустимым.) Нужно честно рассказать пользователям об этапности установки сети. Часто сотрудники отдела автоматизированных информационных систем не говорят о том, что, например, при установки первой очереди корпоративной сети связь с компьютерами VAX и не планировалась, и что она вступит в строй только через год. Пользователи, не предупрежденные об этом, будут очень разочарованы.

Необходимо иметь  ввиду, что на предприятии имеется  две группы сотрудников, которые будут работать с корпоративной сетью: сотрудники отдела автоматизации, которые будут поддерживать сеть и управлять ею, и конечные пользователи, которые будут использовать ее как инструмент. Цели и потребности этих двух групп часто противоположны. В то время, как конечные пользователи заинтересованы в расширении функций и сервисов сети, сотрудники отдела автоматизации больше озабочены простотой эксплуатации и поддержания надежной работы сети. И те и другие требуют обучения, хотя и по разным причинам и по разным программам. Конечных пользователей надо обучать, чтобы работа в корпоративной сети не показалась им странной и неудобной, сотрудников отдела автоматизации необходимо обучать обслуживанию новой современной техники, чтобы они не боялись потерять в будущем работу и не противились внедрению корпоративной сети.

Нужно иметь ввиду, что большинство людей не любит перемен. Они привыкли к используемым программам и компьютерам, многие не хотят отказываться от твердо укоренившихся в памяти приемов. При разработке взаимодействия пользователя с будущей системой будет полезно промоделировать существующее взаимодействие при условии, что оно будет иметь смысл в новом окружении. Необходимо также помнить, что нельзя уменьшать существующие функциональные возможности системы - их можно только наращивать.

1.2.4. Построение технической модели

После разработки бизнес-модели предприятия и определения  того, какие процедуры требуют  изменения или улучшения, необходимо построить техническую модель сети. Техническая модель описывает в  достаточно общих терминах, какое  компьютерное оборудование нужно использовать, чтобы достичь целей, определенных в бизнес-модели. Чтобы построить техническую модель, нужно проанализировать существующее оборудование, определить системные требования, оценить сегодняшнее и завтрашнее состояния техники.

Информация о работе Разработка методики оценки рисков утечки конфиденциальной информации, циркулирующей в корпоративной сети