ВВЕДЕНИЕ 3
ГЛАВА 1 ОПРЕДЕЛЕНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 8
ГЛАВА 2 АНАЛИЗ ТЕКУЩЕЙ ПОЛИТИКИ ИБ И ПОСТАНОВКА ЗАДАЧИ НА РАЗРАБОТКУ ПОЛИТИКИ ИБ 15
2.1 Анализ политики информационной безопасности Департамента финансов 15
2.2 Постановка задачи на разработку политики информационной
безопасности для департамента финансов 27
ГЛАВА 3 ПРОЕКТИРОВАНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 31
3.1 Перечень задействованных средств защиты информации 32
3.2 Методы обеспечения информационной безопасности 46
ГЛАВА 4 АПРОБАЦИЯ ЭФФЕКТИВНОСТИ РАЗРАБОТАННОЙ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 53
4.1 Расчёт показателей экономической эффективности политики
информационной безопасности 55
4.2 Тестирование политики информационной безопасности 61
ЗАКЛЮЧЕНИЕ 66
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 68
ПРИЛОЖЕНИЕ А Список тем рассматриваемых при анализе политики информационной безопасности 72
ПРИЛОЖЕНИЕ Б Политика информационной безопасности Департамента финансов г.о. Тольятти 74
Ежедневная работа, связанная с обработкой электронных документов, а также с обработкой конфиденциальных данных подразумевает в себе множество рисков и угроз для целостности обрабатываемой информации. Ежегодно объем обрабатываемых данных растёт, следовательно, растёт и количество вероятных угроз.
Принято считать, что чем больше объемы конфиденциальной информации, которыми владеет организация, тем выше её стоимость. Следовательно, любая компрометация данных, может повлечь к существенным финансовым потерям, от которых организация может уже никогда не восстановиться.
В современном мире существует невероятное множество угроз информационной безопасности и целостности данных. Киберпреступники постоянно меняют методы и средства с помощью которых они бы могли заполучить необходимые данные.
С точки зрения киберпреступников информация - это товар и чем актуальнее, новее информация, тем выше её цена. На текущий момент, киберпреступления это уже не просто удалённые атаки на определенные ресурсы, сейчас всё чаще для киберпреступлений задействуются методы социальной инженерии.
Сами по себе методы социальной инженерии направлены на получение необходимого доступа к информации, данные методы основаны на особенности психологии человека, на которого оказывается воздействие.
Использование таких методов порождает вид угрозы, который образуется не извне, а внутри организации, так называемые «инсайд атаки». Такой вид атак опасен тем, что человек или сотрудник, нарушивший информационную безопасность, может даже и не подозревать, что совершил противоправные действия.
Чтобы избежать этого, необходимо задействовать политику информационной безопасности. Данная политика должна снизить вероятность компрометации данных либо их искажения.
Итак, политика информационной безопасности должна обеспечить максимальную защиту от возможных рисков, а именно:
• кражи информации;
• уничтожения информации;
• искажения информации.
Целью диссертационной работы является создание политики информационной безопасности с учётом угроз, исходящий от методов социальной инженерии.
Для достижения данной цели были поставлены и решены следующие задачи:
1) провести анализ угроз информационной безопасности характерных для организаций финансовой отрасли;
2) провести анализ текущей политики информационной безопасности, используемой в организации;
3) провести анализ IT рынка и средств, направленных на защиту информации;
4) выбрать средства, которые необходимо задействовать в разрабатываемой политике ИБ;
5) провести анализ экономической эффективности новой политики ИБ;
6) провести тестирование политики ИБ;
7) сделать вывод о пригодности для использования новой политики информационной безопасности.
Предмет исследования - степень защиты информации с помощью политики информационной безопасности.
Объект исследования политика информационной безопасности департамента финансов.
Гипотеза диссертационного исследования состоит в том, что можно повысить уровень защиты информации, если при разработке политики информационной безопасности сделать уклон на защиту от внутренних угроз и социальной инженерии.
Теоретической и методологической основой исследования являются разработки зарубежных и отечественных специалистов, осуществляющих работу по разработке и модернизации политики информационной безопасности в различных секторах бизнеса, а также материалы научных конференция, данные информационно-аналитических отчетов.
Научная новизна диссертационной работы заключается в разработке политики информационной безопасности, способной обеспечить защиту информации от угроз, исходящих изнутри организации.
Практическая значимость исследования заключается в повышении уровня защиты информации в финансовых организациях за счёт разработки политики информационной безопасности.
Основой для теоретического исследования выступили труды отечественных и зарубежных деятелей в области информационной безопасности, а также исследования лабораторий, которые занимаются защитой информации.
В процессе исследования были использованы средства и методы защиты: основные положения об информационной безопасности, анализ и сопоставление имеющихся средств для защиты данных, анализ и классификация собранных данных с последующим моделированием и проектированием политики ИБ, апробацией результатов и оценкой итогов.
Основные этапы исследования: исследование проводилось с 2017 по 2019 года в несколько этапов:
На первом этапе формулировалась тема исследования, проводился сбор информации по теме исследования из различных источников, осуществлялась формулировка гипотезы, постановка цели, задач.
Второй этап - в ходе данного этапа осуществлялся анализ методов и средств, которые задействуются в организации, а также проводился анализ средств представленных на IT рынке, осуществлялось написание и публикация научных статей по теме исследования.
Третий этап заключался в том, что осуществлялось тестирование разработанной политики информационной безопасности на тестовом стенде, осуществлялся сбор и анализ данных, полученных в результате тестирования, а также последующая оценка полученных результатов.
На защиту выносится:
• Документ- политика информационной безопасности;
• Модель политики информационной безопасности, показывающая список средств защиты;
• Результаты апробации разработанной политики информационной безопасности.
В первой главе рассматривается сущность политики информационной безопасности. Раскрывается суть, назначения, цели и принципы использования политики информационной безопасности. Производится анализ угроз, а также статистические данные из исследований компаний направленных на защиту данных. Также происходит анализ средств для защиты данных.
Во второй главе производится анализ текущей политики информационной безопасности, определяются слабые места. Производится анализ помещений, с точки зрения внутренней угрозы.
В третьей главе производится разработка политики информационной безопасности. Выбираются средства, которые необходимо задействовать для повышения уровня защиты данных.
В четвёртой главе производится тестирование политики информационной безопасности, производится экономический анализ эффективности политики информационной безопасности.
Диссертация состоит из введения, четырех глав, заключения, списка литературы и приложений. Работа изложена на 71 страницах и включает 22 рисунка, 17 таблиц.
Во время работы над магистерской диссертацией была проанализирована научная литература, относящаяся к разработке политики информационной безопасности, обеспечению защиты периметра, а также нормы, стандарты и законы РФ в сфере информационной безопасности. Попутно были рассмотрены труды независимых лабораторий в сфере информационной безопасности и рассмотрены статистические данные за прошлые года. Этот анализ позволил сделать заключение о том, что направление информационной безопасности в настоящее время очень востребовано. Анализ статистических данных и анализ прецедентов происходивших в департаменте финансов показал, что в большинстве случаев реализация угроз и различных утечек данных происходила с участием сотрудников работающих в департаменте финансов.
Были рассмотрены и проанализированы основные угрозы целостности информации и средства защиты от них. Рассмотрены средства защиты информации, проанализирован ИТ рынок и выбраны основные средства для защиты данных.
Была проанализирована текущая политика информационной безопасности и на основе её разработана новая политика информационной безопасности.
Апробация полученных результатов на основе проведенного тестирования политики информационной безопасности Департамента Финансов показала, что использование новой политики информационной безопасности приводит к повышению уровня безопасности, так как позволяет сократить вероятность успешной реализации угроз злоумышленниками.
Основной научный результат магистерской диссертации состоит в том, что разработанная политика информационной безопасности позволяет снизить вероятные риски компрометации, потери или искажения данных. Основные преимущества реализованной политики информационной безопасности заключаются в следующем:
• больший контроль за действиями сотрудников;
• снижение рисков инсайдерской атаки;
• разграничение доступа в помещения;
• частичная автоматизация идентификации персоны.
Таким образом, реализованная политика информационной безопасности может получить широкое применение, её использование позволит снизить риски потери данных, так же с точки зрения экономической составляющей её использование является целесообразным и эффективным.
1. Веснин В.Р. Информационное обеспечение управления. - Москва: Гном- пресс, 1999. - 440с.
2. Лачихина А.Б. Модели противодействия угрозам нарушения информационной безопасности при эксплуатации баз данных в защищенных корпоративных информационных системах [Текст]: дис. к.т.н: 05.13.19, 05.13.17 / Лачихина Анастасия Борисовна - Москва, 2010.
3. Луцкий, С.Я. Корпоративное управление техническим перевооружением фирм: Учебное пособие / С.Я. Луцкий [Текст]. - М.: Высшая школа, 2016. - 319 с.
4. Ожигова М.И. Повыгение уровня информционной защищенности корпоративной компьютерной сети за счёт разработанных модулей сканирования сетевых ресурсов. М.: ЦРНС. - 2015. - 183-190 с.
5. Edited by Doctor of Economics professor D. Chistov. New Information Technologies in Education [Текст]. Moscow - 2016. Part 1.
6. IBM collaboration software Lotus Notes and Domino [Электронный ресурс]. - Режим доступа: https://www-01.ibm.com/software/lotus/(09.10.2017).
7. Сатунина А. Управление проектом корпоративной информационной системы предприятия. М.: Инфра М. - 2009- 352 с.
8. Аверченков В. И. Аудит информационной безопасности: учебное пособие для вузов. М. Флинта. 2016 - 269 с.
9. Бабаш А.В., Баранова Е.К., Ларин Д.А. Информационная безопасность. История защиты информации в России. М. : КДУ - 2013 - 736 с.
10. Зоря А.И. Обоснование степени защиты информации, протекающих в бизнес-процессах на предприятии: выпускная квалификационная работа. 2015 - 85с.
11. Загийнайлов Ю.Н. Основы информационной безопасности. Директ- Медиа. 2015-105с.
12. Сычев Ю.Н. Основы информационной безопасности. Евразийский открытый институт. 2010 - 328 с.
13. Куняев Н.Н. Правовое обеспечение национальных интересов Российской Федерации в информационной сфере. Логос. 2010 - 347 с.
14. Родичев Ю. Нормативная база и стандарты в области информационной безопасности. Питер. 2017 - 256 с.
15. Баранова Е., Бабаш А. Информационная безопасность и защита. Инфра - М. 2017 - 324 с.
16. Мэйволд Э. Безопасность сетей. Национальный Открытый Университет «ИНТУИТ». 2016 - 572
17. Бонларев В. Введение в информационную безопасность автоматизированных систем. МГТУ им. Н. Э. Баумана. 2016 - 252 с.
18. Нестеров С. Основы информационной безопасности. Лань. 2016 - 324 с.
19. Кочерга С. А., Ефимова Л. Л. Информационная безопасность детей. Российский и зарубежный опыт: монография. ЮНИТИ - ДАНА. 2013 - 239 с.
20. Логос. Конфиденциальное делопроизводство и защищенный электронный документооборот: учебник. Логос. 2011 - 452 с.
21. Фороузан Б. А. Математика криптографии и теория шифрования. Национальный Открытый Университет «ИНТУИТ». 2016- 511 с.
22. Kristen DIETZ. Application of a POD Exercise to University Education Programs Health and Kinesiology, Purdue University West Lafayette, IN 47907, USA.
23. Мешков А.А. Магистерская работа «Обеспечение информационной безопасности хозяйствующего субъекта на примере частного образовательного учреждения ЧОУ ВО Самарская гуманитарная академия». Тольяттинский государственный университет, Институт финансов, экономики и управления. 2017 - 149 с.
24. Голембиовская О.М. Магистерская работа «Автоматизация выбора средств защиты персональных данных на основе анализа их защищенности». Брянский государственный технический институт. 2013 - 171 с.
25. Лейман А.В. Магистерская работа «Защита конфиденциальной информации в медиа-пространстве на базе стенографических методов». Санкт- Петербургский национальный исследовательский университет информационных технологий, механики и оптики. 213 - 109 с.
26. Десницкий В.А. Магистерская работа «Конфигурирование безопасных встроенных устройств с учетом показателей ресурсопотребления». Санкт- Петербургский институт информатики и автоматизации РАН. 2013 - 98 с.
27. Боридько И.С. Магистерская работа «Методическое обеспечение защиты информации автоматизированной системы от несанкционированного доступа с учетом менеджмента инцидентов информационной безопасности». Институт инженерной физики. 2013 - 143 с.
28. Nguena, I.M. and Richeline, A.-M.O.C. (2017) Fast Semantic Duplicate Detection Techniques in Databases. Journal of Software Engineering and Applications. - 2017, P.529-545.
29. Roland Mas. The DEBIAN administrator’s handbook [Текст]. - 2016. - 522 p.
30. Rizik M.H. A New Approach for Database Fragmentation and Allocation to Improve the Distributed Database Management System Performance. - 2014, p.891¬905.
31. Zachman A. A framework for Information Systems Architecture // IBM Systems Journal. 1987. Vol. 26. № 3.
32. Admin. Написание скриптов на BASH Linux [Электронный ресурс]. - Режим доступа:https://losst.ru/napisanie-skriptov-na-bash
33. Годовой отчёт по информационной безопасности. Cisco 2018
[Электронный ресурс] -
https://www.cisco.eom/c/dam/global/ru ru/assets/offers/assets/cisco 2018 acr ru.pdf .
34. Проблемно-игровой метод мотивации студента специальности
«Информационная безопасность» [Электронный ресурс] -
ttps://habr.com/ru/post/286114/.
35. Цели и задачи политики информационной безопасности [Электронный
ресурс] - https://searchinform.ru/products/kib/politiki-informatsionnoj-
bezopasnosti/celi-i-zadachi-politiki-informacionnoj-bezopasnosti/.
36. Актуальные киберугрозы. I квартал 2019 года [Электронный ресурс] - https://www.ptsecuritv.com/ru-ru/research/analvtics/cvbersecuritv-threatscape-q1-2019/#id2
37. Реестр ФСТЭК [Электронный ресурс] -https://fstec.ru/tekhnicheskava-zashchita-informatsii/dokumentv-po-sertifikatsii/153-sistema-sertifikatsii/591 -gosudarstvennvj-reestr-sertifitsirovannvkh-sredstv-zashchitv-informatsii-n-ross-ru-0001-01bi00.
38. Сравнение Антивирусов 2019 [Электронный ресурс] -https: //www.anti- malware.ru/tests historv