Разработка технологий аудита комплексной системы информационной безопасности для предприятия ОАО "РОСТСТРОЙ"
Общие сведения о предприятии ОАО "РОСТСТРОЙ", основные направления о его деятельности и особенности организационной структуры, существующие информационные потоки. Аудит информационной безопасности и необходимость его проведения, пути совершенствования.
| Рубрика | Менеджмент и трудовые отношения |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 26.04.2011 |
| Размер файла | 175,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Дополнительно рассматриваются сценарии «что если», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.
RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.
Четвертый этап - генерация отчетов. Типы отчетов:
1. Краткие итоги.
2. Полные и краткие отчеты об элементах, описанных на стадиях 1 и
3. Отчет от стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз.
4. Отчет об угрозах и мерах противодействия.
5. Отчет о результатах аудита безопасности.
Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия.
Для отечественных пользователей проблема заключается в том, что получить используемые в RiskWatch оценки (такие как LAFE и SAFE) для наших условий достаточно проблематично. Хотя сама методология может с успехом применяться и у нас.
Подводя итог, можно отметить, что конкретную методику проведения анализа рисков на предприятии и инструментальные средства, поддерживающие ее, нужно выбирать, учитывая следующие факторы:
1. Наличие экспертов, способных дать достоверные оценки объема потерь от угроз информационной безопасности;
2. Наличие на предприятии достоверной статистки по инцидентам в сфере информационной безопасности;
3. Нужна ли точная количественная оценка последствий реализации угроз или достаточно оценки на качественном уровне.
К недостаткам RiskWatch можно отнести:
1. Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов.
2. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности.
3. Программное обеспечение RiskWatch существует только на английском языке.
4. Высокая стоимость лицензии (от 10 000 долл. за одно рабочее место для небольшой компании).
4.3 Комплексная система анализа и управления рисками ГРИФ
ГРИФ - комплексная система анализа и управления рисками информационной системы компании. ГРИФ 2005 из состава Digital Security Office дает полную картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты информации компании.
Система ГРИФ:
1. Анализирует уровень защищенности всех ценных ресурсов компании
2. Оценивает возможный ущерб, который понесет компания в результате реализации угроз информационной безопасности
3. Позволяет эффективно управлять рисками при помощи выбора контрмер, наиболее оптимальных по соотношению цена / качество
Как работает система ГРИФ:
Система ГРИФ 2005 предоставляет возможность проводить анализ рисков информационной системы при помощи анализа модели информационных потоков, а также, анализируя модель угроз и уязвимостей - в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные интересуют пользователя на выходе.
Модель информационных потоков
При работе с моделью информационных потоков в систему вносится полная информация обо всех ресурсах с ценной информацией, пользователях, имеющих доступ к этим ресурсам, видах и правах доступа. Заносятся данные обо всех средствах защиты каждого ресурса, сетевые взаимосвязи ресурсов, а также характеристики политики безопасности компании. В результате получается полная модель информационной системы.
Шаг 1.
На первом этапе работы с программой пользователь вносит все объекты своей информационной системы: отделы, ресурсы (специфичными объектами данной модели являются сетевые группы, сетевые устройства, виды информации, группы пользователей, бизнес-процессы).
Шаг 2.
Далее пользователю необходимо проставить связи, т.е. определить к каким отделам и сетевым группам относятся ресурсы, какая информация хранится на ресурсе, и какие группы пользователей имеют к ней доступ. Также пользователь системы указывает средства защиты ресурса и информации.
Шаг 3.
На завершающем этапе пользователь отвечает на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков.
Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.
В результате выполнения всех действий по данным этапам, на выходе сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.
Модель угроз и уязвимостей
Работа с моделью анализа угроз и уязвимостей подразумевает определение уязвимостей каждого ресурса с ценной информацией, и подключение соответствующих угроз, которые могут быть реализованы через данные уязвимости. В результате получается полная картина того, какие слабые места есть в информационной системе и тот ущерб, который может быть нанесен.
Шаг 1.
На первом этапе работы с продуктом пользователь вносит объекты своей информационной системы: отделы, ресурсы (специфичными объектами для данной модели: угрозы информационной системы, уязвимости, через которые реализуются угрозы).
Система ГРИФ 2005 содержит обширные встроенные каталоги угроз и уязвимостей. Для достижения максимальной полноты и универсальности данных каталогов, экспертами Digital Security была разработана специальная классификация угроз, в которой реализован многолетний практический опыт в области информационной безопасности. Используя каталоги угроз и уязвимостей, пользователь может выбрать угрозы и уязвимости, относящиеся к его информационной системе. Каталоги содержат около 100 угроз и 200 уязвимостей.
Шаг 2.
Далее пользователю необходимо проставить связи, т.е. определить к каким отделам относятся ресурсы, какие угрозы действуют на ресурс и через какие уязвимости они реализуются.
Алгоритм системы ГРИФ 2005 анализирует построенную модель и генерирует отчет, который содержит значения риска для каждого ресурса. Конфигурации отчета может быть практически любой, таким образом, позволяя пользователю создавать как краткие отчеты для руководства, так и детальные отчеты для дальнейшей работы с результатами.
Система ГРИФ 2005 содержит модуль управления рисками, который позволяет проанализировать все причины того значения риска, который получается после обработки алгоритмом занесенных данных. Таким образом, зная причины, Вы будете обладать всеми данными, необходимыми для реализации контрмер и, соответственно, снижения уровня риска. Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска, Вы сможете выбрать наиболее оптимальные контрмеры, которые позволят снизить риск до необходимого уровня с наименьшими затратами.
В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании, все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.
Лучшие мировые практики и ведущие международные стандарты в области информационной безопасности, в частности ISO 17799, требуют для эффективного управления безопасностью информационной системы внедрения системы анализа и управления рисками.
При этом можно использовать любые удобные инструментальные средства, но, главное - всегда четко понимать, что система информационной безопасности создана на основе анализа информационных рисков, проверена и обоснована. Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.
Размещено на Allbest.ru
Подобные документы
Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа [1,4 M], добавлен 03.02.2011Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.
курсовая работа [235,0 K], добавлен 03.02.2011Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.
курсовая работа [1,0 M], добавлен 30.12.2011Определение стратегии и планирование работ по развитию информационной структуры предприятия "Урал-системы безопасности". Разработка рекомендаций по совершенствованию работы в области применения информационных технологий, их документальное сопровождение.
отчет по практике [1,8 M], добавлен 14.04.2014Понятие организационных изменений на предприятии и его необходимость. SWOT-метод изучения сильных и слабых сторон организации, ее возможностей и угроз со стороны окружения. Предложения по совершенствованию организационной структуры ООО "Ярвест".
дипломная работа [238,0 K], добавлен 19.08.2011Организационная структура предприятия. Документальная основа для проведения аудита, матрица ответственности. Разработка технологической карты процесса. График, блок-схема аудита. Причинно-следственная диаграмма Ишикавы. Разработка опросника аудитора.
курсовая работа [929,3 K], добавлен 25.12.2013Характеристика сущности, задач и форм деятельности служб безопасности предприятия. Особенности построения организационной структуры службы безопасности. Анализ направлений деятельности: юридическая, физическая, информационно-коммерческая безопасность.
лекция [26,1 K], добавлен 10.06.2010Автоматизированные информационные технологии, применяемые в управлении организацией. Формирование системы поддержки принятия решений. Критерии оценки эффективности создания на предприятии информационной системы. Критерии выбора информационной системы.
дипломная работа [938,9 K], добавлен 29.06.2010Общие сведения об организации и направления ее социально-экономической политики. Анализ организационной структуры управления, задачи отдела маркетинга. Характеристика кадрового состава. Анализ бухгалтерского учета. Пути совершенствования деятельности.
отчет по практике [77,8 K], добавлен 11.07.2014Анализ направления деятельности ООО "Евросеть-Ритейл", его организационная структура и информационные потоки. Разработка автоматизированной информационной системы для управления продажами. Расчет экономической эффективности проекта автоматизации.
дипломная работа [2,8 M], добавлен 01.08.2015
