Разработка методологии по обеспечению информационной безопасности корпоративных сетей
|
Оглавление
1.1 Описание корпоративной сети... 6
1.2 Модель угроз 7
1.2.1 Базовые виды угроз информации 7
1.2.2 Угрозы нарушения конфиденциальности 8
1.2.3 Угрозы нарушения целостности 8
1.2.4 Угрозы нарушения доступности 8
1.2.5 Угрозы нарушения аутентичности 9
1.2.6 Угрозы нарушения наблюдаемости 9
1.4 Постановка задачи по оценке защищенности 9
2. ОПИСАНИЕ СРЕДСТ ЗАЩИТЫ КИС 11
2.1 Межсетевые экраны 11
2.1.1 Технология экранирования сети.....
Рисунок. 2.1 Схема Firewall 11
2.3 Антивирусная защита 12
2.3.1 Актуальность проблемы вирусной защиты 12
2.4 VPN решения 14
2.4.1 Варианты реализации VPN 14
3.1 Проблема выбора эффективного решения 15
3.1 Критерии оценивания системы СЗИ 16
Рисунок. 3.1. Критерии оценки защищенности 17
3.2 Оценка защищенности при помощи рисков 17
3.3 Задание входных параметров системы для методики 21
3.3.1 Способы задания интенсивностей и вероятностей угроз 21
Второй способ — это способ пропорциональности потерям 22
3.3.2 Способы задания стоимости информационных ресурсов.... 23
Рисунок 3.2. Взаимозависимость параметров защиты 24
3.4 Метод уступок при выборе оптимального варианта защиты 25
Рисунок 3.3. Пример применения метода последовательного выбора уступок 26
3.5 Описание пошаговой методики 26
4. Применение методики определения уровня защищенности и обоснования эффективности средств защиты КИС 28
4.1 Описание защищаемой корпоративной системы 28
4.2 Определение списка угроз для данной КИС 29
4.3 Оценка стоимости информационных ресурсов 29
4.4 Оценка уровня защищенности КИС и обоснование эффективности
выбранных средств защиты 30
Заключение 32
Список литературы 33
1.1 Описание корпоративной сети... 6
1.2 Модель угроз 7
1.2.1 Базовые виды угроз информации 7
1.2.2 Угрозы нарушения конфиденциальности 8
1.2.3 Угрозы нарушения целостности 8
1.2.4 Угрозы нарушения доступности 8
1.2.5 Угрозы нарушения аутентичности 9
1.2.6 Угрозы нарушения наблюдаемости 9
1.4 Постановка задачи по оценке защищенности 9
2. ОПИСАНИЕ СРЕДСТ ЗАЩИТЫ КИС 11
2.1 Межсетевые экраны 11
2.1.1 Технология экранирования сети.....
Рисунок. 2.1 Схема Firewall 11
2.3 Антивирусная защита 12
2.3.1 Актуальность проблемы вирусной защиты 12
2.4 VPN решения 14
2.4.1 Варианты реализации VPN 14
3.1 Проблема выбора эффективного решения 15
3.1 Критерии оценивания системы СЗИ 16
Рисунок. 3.1. Критерии оценки защищенности 17
3.2 Оценка защищенности при помощи рисков 17
3.3 Задание входных параметров системы для методики 21
3.3.1 Способы задания интенсивностей и вероятностей угроз 21
Второй способ — это способ пропорциональности потерям 22
3.3.2 Способы задания стоимости информационных ресурсов.... 23
Рисунок 3.2. Взаимозависимость параметров защиты 24
3.4 Метод уступок при выборе оптимального варианта защиты 25
Рисунок 3.3. Пример применения метода последовательного выбора уступок 26
3.5 Описание пошаговой методики 26
4. Применение методики определения уровня защищенности и обоснования эффективности средств защиты КИС 28
4.1 Описание защищаемой корпоративной системы 28
4.2 Определение списка угроз для данной КИС 29
4.3 Оценка стоимости информационных ресурсов 29
4.4 Оценка уровня защищенности КИС и обоснование эффективности
выбранных средств защиты 30
Заключение 32
Список литературы 33
В современном обществе предоставление информационной безопасности - это значимое условие развития компании. Огромное внимание уделяется советам нормативно-методической базы в сфере защиты информации. Совместно с этим большинство ведущих российских компаний применяют определенные вспомогательные средства, нацеленные на предоставление стабильного и устойчивого функционирования корпоративных сетей и информационных систем для того чтобы поддержать успешное ведение бизнеса.
Сейчас все чаще компании сталкиваются с системным подходом при создании СЗИ. Представление системности заключается не только в использовании определенных элементов защиты информации, но и в поддержании этого процесса на всех стадиях жизненного цикла ИС. Все без исключения ресурсы, способы и события объединяются в общую систему - систему защиты. Однако потребность предоставление абсолютной безопасности информации и технологий никак не стоит в 1 ряду с получением выгоды с определенной ИС у конечных пользователей.
На сегодняшний день эксперты все чаще сталкиваются с задачей охраны данных. Это обуславливается тем, что влияние информационных технологий на повседневную жизнь увеличивается с невероятной скоростью. Сегодня специалисты все чаще сталкиваются с проблемой защиты информации. Это обусловлено тем, что влияние информационных технологий в повседневной жизни растет с невообразимой скоростью. И не трудно догадаться, что в скором времени они заменят множество ролей человека в решении тех или иных задач.
Любой из экспертов сам решает проблему предоставления информационной безопасности. Он использует собственные методы и способы с целью достижения намеченных целей. Интересно то, что каждый в своем случае добивается верных решений. Но, как демонстрирует практика,
комплекс подобных верных заключений никак не приносит в сумме позитивного итога - созданная система может функционировать малоэффективно.
В случае если несколько экспертов работают вместе, то создать высококачественную концепцию защиты информации и технологий может не получится. Так как у любого специалиста собственные взгляды и представления об эффективности отдельной системы. Подобное положение дел обуславливается отсутствием системного подхода, который установил бы взаимосвязи между имеющимися представлениями, определениями и методами защиты информации.
Таким образом, интенсивное развитие информационных систем порождает необходимость развития систем защиты, которые бы учитывали особенности каждой из таких систем. В то же время большой объем публикация, посвященных это теме, не поможет создать качественную систему защиты. Это обусловлено тем, что прочитав одну, а затем вторую, у пользователь задается вопросом - а какая из них качественнее? Опираться лишь на свое чутье или отзывы будет не рационально, ведь конечный пользователь не всегда разбирается в области защиты информационных технологий. Что касается отзывов, то люди производят что-то новое каждый день, но новые технологии еще не обладают тем количеством положительных отзывов, чтобы обеспечить необходимую долю уверенности, что ваша ИС будет в безопасности. Возникает вопрос: можно ли сформировать такой подход к созданию систем защиты информации, который объединил бы в нечто единое целое усилия, знания и опыт различных специалистов? При этом желательно что бы указанный подход был универсальным, простым, понятным и позволял бы в одинаковой степени удовлетворить любые требования информационной безопасности.
Фактическая цель предоставления информационной безопасности заключается в исследовании и создании системы ИБ, которая на основе научно-методического аппарата, позволила бы создавать, использовать и оценивать эффективность СЗИ для разрабатываемых и уже существующих ИС. Основной задачей модели является научный подход к созданию системы информационной безопасности за счет правильной оценки принимаемых решений и подбора оптимального варианта технической реализации СЗ.
Специфическими особенностями решения задачи по созданию системы защиты являются:
• неполнота и неясность начальных данных о составе ИС и свойственных ей угрозах;
• многокритериальность проблемы, сопряженная с потребностью учета значительного количества индивидуальных характеристик СЗИ;
• наличие равно как численных, так и высококачественных характеристик, которые следует принимать во внимание при постановлении вопросов о разработке и внедрении СЗИ;
В дипломной работе отражена методика, позволяющая получать количественную оценку состояния защищенности ИС, учитывая представления специалистов, их навыки при оценке системы защиты на основании оценки вероятности угроз. Данная методика использует наработки из области рисков, позволяя строить СЗИ согласно собственным данным пропорционально масштабу угроз. Таким образом, методика обязана позволить выбирать оптимальные средства защиты для каждой конкретной информационной системы, которая характеризуется индивидуальным набором угроз, требованиям и моделью нарушителя. Использование данной методики для оценки существующих систем позволит принять решение о целесообразности их усовершенствования, и даст возможность исключить малоэффективное применение средств защиты информации при проектировании.
Сейчас все чаще компании сталкиваются с системным подходом при создании СЗИ. Представление системности заключается не только в использовании определенных элементов защиты информации, но и в поддержании этого процесса на всех стадиях жизненного цикла ИС. Все без исключения ресурсы, способы и события объединяются в общую систему - систему защиты. Однако потребность предоставление абсолютной безопасности информации и технологий никак не стоит в 1 ряду с получением выгоды с определенной ИС у конечных пользователей.
На сегодняшний день эксперты все чаще сталкиваются с задачей охраны данных. Это обуславливается тем, что влияние информационных технологий на повседневную жизнь увеличивается с невероятной скоростью. Сегодня специалисты все чаще сталкиваются с проблемой защиты информации. Это обусловлено тем, что влияние информационных технологий в повседневной жизни растет с невообразимой скоростью. И не трудно догадаться, что в скором времени они заменят множество ролей человека в решении тех или иных задач.
Любой из экспертов сам решает проблему предоставления информационной безопасности. Он использует собственные методы и способы с целью достижения намеченных целей. Интересно то, что каждый в своем случае добивается верных решений. Но, как демонстрирует практика,
комплекс подобных верных заключений никак не приносит в сумме позитивного итога - созданная система может функционировать малоэффективно.
В случае если несколько экспертов работают вместе, то создать высококачественную концепцию защиты информации и технологий может не получится. Так как у любого специалиста собственные взгляды и представления об эффективности отдельной системы. Подобное положение дел обуславливается отсутствием системного подхода, который установил бы взаимосвязи между имеющимися представлениями, определениями и методами защиты информации.
Таким образом, интенсивное развитие информационных систем порождает необходимость развития систем защиты, которые бы учитывали особенности каждой из таких систем. В то же время большой объем публикация, посвященных это теме, не поможет создать качественную систему защиты. Это обусловлено тем, что прочитав одну, а затем вторую, у пользователь задается вопросом - а какая из них качественнее? Опираться лишь на свое чутье или отзывы будет не рационально, ведь конечный пользователь не всегда разбирается в области защиты информационных технологий. Что касается отзывов, то люди производят что-то новое каждый день, но новые технологии еще не обладают тем количеством положительных отзывов, чтобы обеспечить необходимую долю уверенности, что ваша ИС будет в безопасности. Возникает вопрос: можно ли сформировать такой подход к созданию систем защиты информации, который объединил бы в нечто единое целое усилия, знания и опыт различных специалистов? При этом желательно что бы указанный подход был универсальным, простым, понятным и позволял бы в одинаковой степени удовлетворить любые требования информационной безопасности.
Фактическая цель предоставления информационной безопасности заключается в исследовании и создании системы ИБ, которая на основе научно-методического аппарата, позволила бы создавать, использовать и оценивать эффективность СЗИ для разрабатываемых и уже существующих ИС. Основной задачей модели является научный подход к созданию системы информационной безопасности за счет правильной оценки принимаемых решений и подбора оптимального варианта технической реализации СЗ.
Специфическими особенностями решения задачи по созданию системы защиты являются:
• неполнота и неясность начальных данных о составе ИС и свойственных ей угрозах;
• многокритериальность проблемы, сопряженная с потребностью учета значительного количества индивидуальных характеристик СЗИ;
• наличие равно как численных, так и высококачественных характеристик, которые следует принимать во внимание при постановлении вопросов о разработке и внедрении СЗИ;
В дипломной работе отражена методика, позволяющая получать количественную оценку состояния защищенности ИС, учитывая представления специалистов, их навыки при оценке системы защиты на основании оценки вероятности угроз. Данная методика использует наработки из области рисков, позволяя строить СЗИ согласно собственным данным пропорционально масштабу угроз. Таким образом, методика обязана позволить выбирать оптимальные средства защиты для каждой конкретной информационной системы, которая характеризуется индивидуальным набором угроз, требованиям и моделью нарушителя. Использование данной методики для оценки существующих систем позволит принять решение о целесообразности их усовершенствования, и даст возможность исключить малоэффективное применение средств защиты информации при проектировании.
В данной дипломной работе я показал необходимость осознания значимости безопасности информации, технологий корпоративных сетей и информационных систем, малую часть существующих угроз для жизненного цикла информационных систем, а так же разработал методику выбора оптимальных средств по защите информации для конкретной сети или информационной системы. В основе данной методики лежит подход оценки защищенности, эффективности существующих средств защиты информации с точки зрения рисков. В настоящее время данных подход является оптимальным при обеспечении безопасности информационных технологий. Он позволяет описать уязвимости, которые наиболее характерны для разрабатываемой или существующей информационной системы или сети, спланировать стоимость всей системы защиты в целом, а так же ранжировать риски по степени причинения ущерба для успешной деятельности предприятия.
Что касается преимуществ использования данной методики, то к ним, несомненно, можно отнести простоту применения, математический аппарат, который является, несомненно, более точным при оценке, чем отдельное мнение экспертов, а так же простота в понимании. Так же большим плюсом данной методики является ее эффективность в любой сфере деятельности, ведь она рассматривает информационную систему с точки зрения рисков и может быть адаптирована под любую организацию.
Из небольшого количества недостатков хотелось бы выделить то, что методика не учитывает функциональное взаимодействие средств защиты. То есть мы рассматриваем каждый механизм отдельно. В качестве примера можно привести такую ситуацию: на предприятия имеется VPN и антивирусный шлюз. Первый находится за вторым, а антивирусный шлюз не может проверить зашифрованный трафик. Для решения подобных проблем необходимо более детально прорабатывать совместимость проектируемых средств защиты информации. Сомнительным недостатком является тот факт, что точность оценки зависит от полноты списка существующих угроз. Ведь первоначальной целью было создание точного систематического подхода, который смог бы эффективно оценивать, планировать систему защиты. Но данная методика работает правильно, при полном осознании важности обеспечения информационной безопасности и серьезном отношении к данной проблеме.
Просуммировав все вышесказанное, сделаем вывод, что методика может использоваться оценки уровня защищенности информационной системы или корпоративной сети на протяжении всего жизненного цикла.
Что касается преимуществ использования данной методики, то к ним, несомненно, можно отнести простоту применения, математический аппарат, который является, несомненно, более точным при оценке, чем отдельное мнение экспертов, а так же простота в понимании. Так же большим плюсом данной методики является ее эффективность в любой сфере деятельности, ведь она рассматривает информационную систему с точки зрения рисков и может быть адаптирована под любую организацию.
Из небольшого количества недостатков хотелось бы выделить то, что методика не учитывает функциональное взаимодействие средств защиты. То есть мы рассматриваем каждый механизм отдельно. В качестве примера можно привести такую ситуацию: на предприятия имеется VPN и антивирусный шлюз. Первый находится за вторым, а антивирусный шлюз не может проверить зашифрованный трафик. Для решения подобных проблем необходимо более детально прорабатывать совместимость проектируемых средств защиты информации. Сомнительным недостатком является тот факт, что точность оценки зависит от полноты списка существующих угроз. Ведь первоначальной целью было создание точного систематического подхода, который смог бы эффективно оценивать, планировать систему защиты. Но данная методика работает правильно, при полном осознании важности обеспечения информационной безопасности и серьезном отношении к данной проблеме.
Просуммировав все вышесказанное, сделаем вывод, что методика может использоваться оценки уровня защищенности информационной системы или корпоративной сети на протяжении всего жизненного цикла.
Подобные работы
- УПРАВЛЕНИЕ СЛУЖБОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ
Магистерская диссертация, педагогика. Язык работы: Русский. Цена: 4930 р. Год сдачи: 2020 - Организация защиты информации в локальной вычислительной сети (Краснодарский Информационно–Технологический Техникум)
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 600 р. Год сдачи: 2023 - Разработка предложений по повышению экономической безопасности банка на основе управления его финансовой устойчивостью на примере АО «ОТП-Банк»
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4200 р. Год сдачи: 2018 - Проведение аудита информационной безопасности предприятия
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 2000 р. Год сдачи: 2023 - АНАЛИЗ ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ И РАЗРАБОТКА МЕРОПРИЯТИЙ ПО ПОВЫШЕНИЮ УРОВНЯ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 6500 р. Год сдачи: 2019 - РАЗРАБОТКА И ВНЕДРЕНИЕ СИСТЕМЫ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА В ТЕРРИТОРИАЛЬНО-РАСПРЕДЕЛЕННОЙ ОРГАНИЗАЦИИ
Дипломные работы, ВКР, документоведение. Язык работы: Русский. Цена: 4940 р. Год сдачи: 2018 - ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ
Дипломные работы, ВКР, экономика. Язык работы: Русский. Цена: 4325 р. Год сдачи: 2018 - Гражданско-правовое регулирование отношений в сфере информационной безопасности (доменные имена)
Магистерская диссертация, юриспруденция. Язык работы: Русский. Цена: 4825 р. Год сдачи: 2019 - Исследование технологии построения информационной системы внутреннего аудита информационной безопасности в транспортной компании
Магистерская диссертация, информатика. Язык работы: Русский. Цена: 4950 р. Год сдачи: 2021