Оглавление

Введение        5

1.        Аналитическая часть        7

1.1.        Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)        7

1.1.1.        Общая характеристика предметной области        7

1.1.2.        Организационно-функциональная структура предприятия        9

1.2.        Анализ рисков информационной безопасности        13

1.2.1.        Идентификация и оценка информационных активов        14

1.2.2.        Оценка уязвимостей активов        21

1.2.3.        Оценка угроз активам        26

1.2.4.        Оценка существующих и планируемых средств защиты        33

1.2.5.        Оценка рисков        44

1.3.        Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии        47

1.3.1.        Выбор комплекса задач обеспечения информационной безопасности                        47

1.3.2.        Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации        52

1.4.        Выбор защитных мер        57

1.4.1.        Выбор организационных мер        57

1.4.2.        Выбор инженерно-технических мер        61

2.        Проектная часть        72

2.1.        Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия        72

2.1.1.        Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия        72

2.1.2.        Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия                        76

2.2.        Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия        85

2.2.1.        Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия        85

2.2.2.        Контрольный пример реализации проекта и его описание        87

3.        Обоснование экономической эффективности проекта        98

3.1.        Выбор и обоснование методики расчёта экономической эффективности                        98

3.2.        Расчёт показателей экономической эффективности проекта        104

Заключение        111

Список использованной литературы        113

Введение

Проблема защиты информации уже давно является одним из главных приоритетов современных организаций. Вопросы защиты государственной тайны были и остаются актуальными во все времена, так как за этим понятием скрываются финансовые средства страны, стратегии обеспечения безопасности, результаты труда ведущих российских ученых и научно-исследовательских институтов, экспериментальные базы и другие важные активы государства. Охрана государственных секретов постоянно контролируется на федеральном уровне, и на сегодняшний день существуют специализированные законы, строго регламентирующие защиту соответствующей информации.

Целью данной работы является организация безопасности корпоративной сети . Используемая сеть является беспроводной, что требует значительно больших усилий по обеспечению ее безопасности.

Данная работа рассматривает информационные активы компании и их уязвимости при несанкционированном доступе к информации при передаче ее в локальной сети.

Выяснено, что в этом случае компания несет убытки не только финансовые, но и опасности подвергается репутация компании, что ставит под сомнение ее дальнейший успех.

В работе решаются следующие задачи:

Определяются информационные активы компании, риски и угрозы информационной безопасности; Оценивается и выбирается пакет наиболее ценных информационных активов, а также наиболее существенных угроз и уязвимостей; Оценивается существующая система защиты и делается вывод и ее модернизации; Выбирается направление модернизации системы защиты информации; Выбираются конкретные программные, аппаратные и организационные меры;

Дипломный проект посвящен разработке системы автоматизации продвижения сайтов в обществе с ограниченной ответственностью «Яндекс».

Компания «Яндекс» — это динамично развивающаяся компания с большим потенциалом. Безупречная репутация и высокий уровень организации работы позволяют компании  занимать ведущие позиции в рейтингах сео компаний. Абсолютное лидерство в сфере продвижении сайтов  – это главная стратегическая задача, над которой работает коллектив «Яндекс» и внушительное количество успешно реализованных проектов является лучшим подтверждением результативности этой работы.

С 2004 года seo компания «Яндекс» устанавливает новые стандарты в организации менеджмента и качестве продвижения в интернете сайтов. Именно в этом году была организована первичная коммерческая структура в форме ИП, положившая начало формированию компании. В 2007 году было образовано , которое стало юридическим и идеологическим правопреемником первоначального объединения. Это позволило компании сразу включиться в работу, реализовав в 2007 году более 50 проектов по продвижению сайтов. В это же время коллектив студии осваивает ещё одно перспективное направление – создание сайтов, а уже через год арсенал продвижения пополняется самыми современными методами контекстной рекламы.

Богатый событиями 2009 год, несмотря на бушующий экономический кризис, создал все предпосылки для доминирования компании «Яндекс» на рынке продвижения сайтов. Возросло количество заказов от крупных межрегиональных компаний, были заключены долгосрочные договора о коммерческом партнёрстве с рекламными сетями «Яндекс» и «Бегун». Новым рывком в области продвижения стал разработанный специалистами сео

Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу, например:

персональные данные; стратегическая информация, необходимая для достижения бизнес-целей; ноухау; коммерческая тайна; служебная тайна и т. д.

Для каждого актива необходимо определить владельца, который несет за него ответственность.

Стоит заметить, что на данном этапе большим подспорьем может служить документированное описание бизнес-процессов организации. Это позволит нам быстро идентифицировать информационные активы, вовлеченные в конкретный бизнес-процесс, а также определить задействованный в нем персонал. Если же бизнес-процессы в организации не документированы, то самое время начать это делать. Помимо практической пользы при внедрении системы управления рисками ИБ и СУИБ, перенос бизнес-процессов «на бумагу» часто помогает увидеть возможности по их оптимизации.

Определение ценности активов, а точнее, оценка степени тяжести последствий (СТП) от утраты активом свойств информационной безопасности - конфиденциальности, целостности или доступности - необходима для того, чтобы ответить на следующие вопросы: Сколько будет стоить «простой» системы в течение времени, требующегося на её восстановление? Каков будет ущерб, если эта информация станет известной конкурентам?

Для любой организации существуют следующие типичные группы информационных активов (таблица 1.2).

В рассматриваемой компании локальная вычислительная сеть построена с применением беспроводных технологий.  Уязвимости присущие беспроводным сетям стандарта IEEE 802.11, неотделимы от них и обуславливаются недостатками процесса функционирования, свойствами архитектуры сети, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации). Кроме того, возможны не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Для беспроводных сетей стандарта IEEE 802.11 характерны следующие виды уязвимостей [1]:

1        Уязвимости, обусловленные средой передачи и диапазоном рабочих частот.

2        Уязвимости системы аутентификации.

3        Уязвимости криптографических протоколов.

4        Уязвимости используемого программного обеспечения.

5        Уязвимость, обусловленная человеческим фактором.

Рассмотрим подробнее каждый из этих видов:

Диапазон рабочих частот стандарта IEEE 802.11 является не лицензируемым. В диапазоне рабочих частот 2,4 ГГц работают некоторые модели радиотелефонов, бытовые устройства, протокол Bluetooth, которые создают помехи. Все стандарты

.

Для обеспечения безопасности ЛВС необходимо использовать комплекс мер.

Комплексная система защиты информации должна обеспечивать решение ряда задач, основными из которых являются:

разработка общей технической политики и концепции обеспечения безопасности, в том числе и информации; согласование основных принципов и требований к защите информации в соответствии с политикой и концепцией общеобъектовой (корпоративной) системы защиты разработка законодательно-правового обеспечения безопасности информации; разработка концепции деятельности органов управления по отдельным вопросам защиты инфор­мации; разработка нормативно-технических и организационно-распорядительных документов; сертификация технических и программных средств по требованиям безопасности. лицензирование деятельности по оказанию услуг в сфере безопасности информации; контроль за выполнением законодательства и требуемых мер в области безопасности информа­ции; подготовка квалифицированных кадров в сфере защиты информации; проведение важнейших научно-исследовательских и опытно-конструкторских работ в области защиты информации; информационное обеспечение по вопросам защиты информации; защита прав собственников (владельцев, пользователей) информации; разработка и внедрение инновационных решений в систему безопасности;

Основой для практической деятельности по реализации основных направлений и работ по защите информации являются нормативно-методические документы, регламентирующие эту деятельность. Нормативно-методическую базу для проведения работ по защите информации составляют:

государственные и корпоративные стандарты; информационные модели; общие требования, общие технические условия, тактике - технические требования, и другие документы; нормы, методики и инструкции; эксплуатационно-техническая документация; учебно-методическая и научная литература.

ГОСТами вводится единая терминология в области защиты информации, а также определяются виды и методы испытаний технических и программных средств обработки и защиты, виды, комплектность и обозначения документов.

Информационные модели содержат обобщенные сведения о состоянии, возможностях, тактико-технических и эксплуатационно-технических характеристиках, способах применения, тенденциях и перспективах развития технических средств различного назначения. Такие модели, как пра­вило, охватывают определенные направления: средства разведки, средства промышленного шпио­нажа, технические средства защиты информации, программные средства защиты и т. д. и разрабатываются ведомственными научно-исследовательскими организациями и учреждениями, а также меж­ведомственными органами. Они широко используются при решении конкретных научных, научно-

Решение AirDefense Enterprise - это система предотвращения беспроводных вторжений, осуществляющая непрерывный круглосуточный мониторинг и обеспечивающая обнаружение и нейтрализацию чужаков, обнаружение вторжений, мониторинг соответствия заданным политикам конфигурации,  безопасности  и  режимов  использования  беспроводных  сетей  и  устройств, автоматизированную защиту, аналитический инструментарий для проведения расследований инцидентов безопасности и неполадок в сети, возможность удаленного анализа сетевых проблем, отслеживание местоположения, визуализацию покрытия сети в реальном времени, анализ спектра и другое.

Система рассчитана на решение следующих основных задач:

позволить коммерческим и государственным структурам любого масштаба безопасно и уверенно разворачивать беспроводные сети; защищать сети (беспроводные и проводные, где беспроводные технологии запрещены политикой) от неавторизованного доступа по беспроводным каналам; предоставлять всеохватывающую информацию о соответствии политике безопасности/конфигурации,        истории        беспроводных угроз,        проводить мониторинг/диагностику беспроводной инфраструктуры; максимизировать отдачу вложений в беспроводные сети.

Используя специальную технологию корреляции и анализа данных, полученных как из беспроводного, так и из проводного сегмента сети, AirDefense Enterprise добилась признания самой точной системой обнаружения и предотвращения вторжений в корпоративных сетях, и применяется в самых разнообразных организациях: от банков, финансовых организаций, армии спецслужб и правительственных учреждений (сертифицирована по Common

Проблема выбора и построения эффективной системы информационной безопасности для предприятий, функционирующих в различных сферах экономики, является одной из самых актуальных задач, требующих безотлагательного, грамотного, научно обоснованного решения. Внедрение современной компьютерной техники и средств коммуникаций в деятельность государственных организаций и коммерческих фирм, кроме существенных положительных сторон, имеет также негативный момент, связанный с возможностью реализации преступлений с использованием вычислительной техники. В качестве объекта компьютерных преступлений выступает экономическая информационная система и, соответственно, циркулирующая в ней производственная, научная, коммерческая информация. Экономическая информационная система - это совокупности внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управленческих решений. Взаимосвязь информационных потоков прямой и обратной информационной связи, средства обработки, передачи и хранения данных, а также сотрудников управленческого аппарата, выполняющих операции по переработке данных, и составляет информационную систему экономического объекта. Таким образом, любой системе управления экономическим объектом соответствует своя информационная система, называемая экономической информационной системой. Современный уровень информатизации общества предопределяет использование новейших технических, технологических, программных средств в различных информационных системах экономических объектов. И как следствие, экономический объект это объект, связанный с производством материальных и/или нематериальных благ и имеющий свою систему управления. Система управления представляет собой совокупность объекта управления, например предприятия, и субъекта управления управленческого аппарата. Последний объединяет в себе сотрудников,

В предыдущей главе была рассчитана суммарная величина потерь в случае реализации рассмотренных угроз. В данном пункте рассчитаем постоянные и переменные затраты на внедрение системы защиты беспроводной сети и и определим экономическую эффективность ее внедрения и срок окупаемости предлагаемых мер.

В ходе проектирования, внедрения и работы системы  защиты возможны разовые и постоянные затраты. К разовым затратам относятся следующие:

Заработная плата персонала при проектировании и внедрении системы защиты; Затраты на приобретение аппаратного и программного обеспечения.

К постоянным затратам отнесем такие затраты, как:

Заработная плата сотрудников, обслуживающих систему  защиты (администратора); Заработная плата специалиста ИТ-отдела, выполняющего обязанности по обеспечению ИБ; Затраты на электроэнергию.

Разовые затраты оценены в таблице 3.2..

Таблица 3.1

Содержание и объем разового ресурса, выделяемого на защиту информации

Заключение

В результате проведенного в дипломной работе исследования выяснено, что уровень обеспечения информационной безопасности не может быть признан удовлетворительным. Основной причиной этого является использование беспроводной локальной вычислительной сети в структуре информационной системы предприятия, так как в этом случае предаваемая информация подвергается множеству значительных рисков, при реализации которых третьи лица могут получить доступ к конфиденциальной информации и компания может понести значительные убытки – прежде всего из-за утраты новых технологий используемых при разработке и продвижении сайтов.

Основными мерами для повышения уровня безопасности сети являются организационные, а именно:

Уменьшить зону радиопокрытия (разумеется, до минимально приемлемой); Изменить пароль администратора, установленный по умолчанию Активизировать фильтрацию по MAC-адресам Запретить широковещательную рассылку идентификатора сети (SSID) Изменить идентификатор сети (SSID), установленный по умолчанию Периодически изменять идентификатор сети (SSID) Активизировать функции WEP Периодически изменять WEP-ключи Установить и настроить персональные МЭ и антивирусные программы у абонентов беспроводной сети Выполнить соответствующие настройки фильтрации трафика на телекоммуникационном оборудовании и межсетевых экранах Обеспечить резервирование оборудования, входящего в состав беспроводной сети Обеспечить резервное копирование ПО и конфигураций оборудования

Осуществлять периодический мониторинг состояния защищенности беспроводной сети с помощью специализированных средств анализа защищенности для беспроводных сетей.

Список использованной литературы