Размещено на http://www.allbest.ru/

18

Содержание

1.1 Технико-экономическая характеристика предметной области и предприятия(Установление границ рассмотрения)

1.1.1 Общая характеристика предметной области

Группа Компаний FACILICOM - работает на российском рынке с 1994 года. За 20 лет деятельности заняли лидирующие позиции в сфере предоставления профессиональных услуг по управлению и обслуживанию различных объектов недвижимости. Под управлением находится более 30 млн. м2. Обслуживаемые объекты располагаются более чем в 300 населенных пунктах в различных регионах России, а также крупных городах Белоруссии и Украины. Широкая география охвата вместе с большим опытом, современной техническо-ресурсной базой и большим количеством собственных наработок позволяют FACILICOM принимать на управление объекты с любым расположением и масштабом.

Основой нашей работы является сервисный подход: выстраивание долгосрочных партнерских взаимоотношений с клиентом, сопровождение и решение всех задач, возникающих на протяжении всего жизненного цикла сотрудничества. Это подход, которого клиенты сегодня ожидают от лидеров рынка, и у нас есть все возможности для соответствия этим ожиданиям.

"Ценность, которую мы предоставляем нашим клиентам - возможность сфокусироваться на основной бизнес-задаче, не тратя ресурсы на вспомогательные процессы"

Широкий спектр услуг компании позволяет нам предоставлять необходимые сервисы компаниям любого масштаба: от стартапов, среднего и малого бизнеса до структур федерального масштаба. Клиентами "FACILICOM" являются компании из различных отраслей и сфер экономики, в числе которых:

· Государственный сектор

· Телекоммуникационные компании

· Финансовый сектор

· Производство

· Транспорт и логистика

Так же «Альфа-Банк», доверивший Компании недвижимость своей федеральной сети, расположенную в более чем 75 регионах.

В компании работают более 350 инженеров, 300 консультантов, 200 аналитиков. Высокую квалификацию специалистов подтверждают более 1400 сертификатов, в том числе - уникальных для России. Мы выполняем проекты любого масштаба в области недвижимости.

Компания FACILICOM предлагает различные схемы обслуживания объектов, что позволяющая каждому Клиенту подбирать оптимальный вариант сотрудничества, максимально соответствующий его текущим потребностям и возможностям. Все работы выполняются преимущественно силами подразделений нашей Компании, что обеспечивает высокое качество услуг и соблюдение единых стандартов на всех объектах, независимо от их локализации.

Система автоматизированного контроля и постоянное внедрение инновационных решений позволяют компании FACILICOM добиваться лучшего результата, соответствующего международным стандартам. Созданное собственными силами программное обеспечение FACILICOM-24 гарантирует прозрачность и удобство взаимодействия Клиента со службами компании.

Также заказчику предоставляются прекрасные возможности для контроля затрат и оптимизации расходов при сохранении высокого качества обслуживания, большого выбора услуг и индивидуального подхода при решении различных вопросов.

1.1.2 Организационно-функциональная структура предприятия

Организационная структура управления ООО «FACILICOM» представлена на рис. 1.

Под организационной структурой предприятия понимаются состав, соподчиненность, взаимодействие и распределение работ по подразделениям и органам управления, между которыми устанавливаются определенные отношения по поводу реализации властных полномочий, потоков команд и информации.

Различают несколько типов организационных структур: линейные, функциональные, линейно-функциональные, дивизиональные, адаптивные.

Организационная структура фирмы соответствует линейному типу.

Линейная структура характеризуется тем, что во главе каждого подразделения стоит руководитель, сосредоточивший в своих руках все функции управления и осуществляющий единоличное руководство подчиненными ему работниками. Его решения, передаваемые по цепочке "сверху вниз", обязательны для выполнения нижестоящими звеньями. Он, в свою очередь, подчинен вышестоящему руководителю.

Размещено на http://www.allbest.ru/

18

Рис. 1 Организационная структура управления ООО «FACILICOM»

Организационная структура, построенная в соответствии с этими принципами, получила название иерархической или бюрократической структуры.

Отдел бухгалтерии: расчёт зарплат, различных выплат, свод баланса, контроль соответствия деятельности утверждённым нормам, нормативам и сметам.

Коммерческий отдел: поиск и взаимодействие с клиентами, участие в тендерах, составление и подписание договоров, технических заданий, встречи с поставщиками, закупка оборудования;

Отдел информационных технологий: поддержка IT инфраструктуры компании, сопровождение программного обеспечения, мелкий ремонт ПК и периферии, закупка техники для офиса и удаленных объектов.

Функции отдела информационных технологий и ПО:

· Конфигурация операционных систем на серверах, а также поддерживание рабочего состояния программного обеспечения серверов.

· Контроль установки программного обеспечения на серверы и рабочие станции.

· Обеспечение интегрирования программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях.

· Осуществление планирования информационных ресурсов и контроль использования сетевых ресурсов.

· Контроль обмена информацией локальной сети с внешними организациями по телекоммуникационным каналам. Обеспичение доступа пользователей системы к локальной (INTRANET) и глобальной (INTERNET) сетям.

· Обеспечение бесперебойного функционирования системы и принятие оперативных мер по устранению возникающих в процессе работы нарушений. Устранение нарушения работы сервисов.

· Регистрация пользователей, назначение идентификаторов и паролей.

· Установление ограничений для пользователей по:

o а) использованию рабочей станции или сервера;

o б) времени;

o в) степени использования ресурсов.

· Выявление ошибок пользователей и сетевого программного обеспечения и восстановление работоспособность системы.

· Обучение пользователей работе в информационной системе предприятия.

· Обеспечение безопасность работы в системе:

· Принимать меры для сетевой безопасности (защита от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных), а также безопасности межсетевого взаимодействия.

· Производить своевременное копирование и резервирование данных.

· Выполнять регулярную проверку на наличие компьютерных вирусов в системе.

· Участвовать в решении задач технического обслуживания при выявлении неисправностей сетевого оборудования, а также в восстановлении работоспособности системы при сбоях и выходе из строя сетевого оборудования.

· Осуществлять контроль монтажа сетевого оборудования специалистами сторонних организаций.

· Осуществлять мониторинг компьютерной сети, разрабатывает предложения по развитию инфраструктуры сети.

· Осуществлять контроль соблюдения порядка работы в информационной сети и стандартов в области информационных технологий.

· Организовывать и устанавливать новые или оптимизировать рабочие места пользователей.

Таким образом, в настоящее время обеспечение информационной безопасности предприятия является функцией IT-отдела.

1.2 Анализ рисков информационной безопасности

Процесс анализа рисков включает в себя определение того, что следует защищать, от чего защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба. Этот процесс состоит из множества экономических решений. Давно замечено, что затраты на защиту не должны превышать стоимости защищаемого объекта.

Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа, задача которого -- распределение факторов риска по группам. Шкала качественного анализа может различаться в разных методах оценки, но всё сводится к тому, чтобы выявить самые серьезные угрозы.

В задачи сотрудников подразделений ИБ входит оповещение руководства предприятий о существующих и потенциальных угрозах. Отчеты должны сопровождаться фактами, цифрами, аналитическими выкладками. Это наиболее эффективный способ довести информацию до глав организаций.

Качественный анализ

Существует несколько моделей качественного анализа. Все они достаточно просты. Варианты различаются лишь количеством градаций риска. Одна из самых распространенных моделей -- трехступенчатая. Каждый фактор оценивается по шкале “низкий -- средний -- высокий”.

Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности.

При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения -- отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные “ошибки”, поскольку является саморегулирующимся. Не критично, если первоначально риск необоснованно отнесли к четвертой категорию вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно. И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом.

Количественный анализ

Количественный метод требует значительно больше времени, так как каждому фактору риска присваивается конкретное значение. Результаты количественного анализа могут быть более полезны для бизнес-планирования. Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий. Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно.

Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.

Перечисленные факторы говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.

Главной целью деятельности в области информационной безопасности является обеспечение доступности, целостности и конфиденциальности каждого информационного актива. При анализе угроз следует принимать во внимание их воздействие на активы по трем названным направлениям. Необходимым и существенным этапом в анализе рисков является оценка уязвимостей активов, которая и была проведена в данной дипломной работе. Решение о проведении оценки уязвимостей принимает ответственный за информационную безопасность ООО «Facilicom» начальник отдела информационных технологий и ПО.

Оценка уязвимостей активов в компании, как правило, проводится совместно с анализом рисков ИБ, т.е. с периодичностью 2 раза в год. Отдельная оценка уязвимостей не проводится. Её проводят назначенные сотрудники по распоряжению начальника отдела информационных технологий и ПО. информационный безопасность актив фонд

Оценка уязвимостей активов представляется в форме электронного документа. Документ называется «Оценка уязвимостей информационных активов ООО «Facilicom» на момент 2005 года» с указанием времени проведения анализа.

1.2.1 Идентификация и оценка информационных активов

Один из этапов анализа рисков состоит в идентификации всех объектов, нуждающихся в защите. Некоторые активы (например, коммуникационное оборудование) идентифицируются очевидным образом. Про другие (например, про людей, использующих информационные системы) нередко забывают. Необходимо принять во внимание все, что может пострадать от нарушений режима безопасности.

Может быть использована следующая классификация активов:

· Аппаратура: процессоры, модули, клавиатуры, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы, мосты, маршрутизаторы;

· Программное обеспечение: исходные тексты, объектные модули, утилиты, диагностические программы, операционные системы, коммуникационные программы;

· Данные: обрабатываемые, непосредственно доступные, архивированные, сохраненные в виде резервной копии, регистрационные журналы, базы данных, данные, передаваемые по коммуникационным линиям;

· Люди: пользователи, обслуживающий персонал.

Результаты оценки информационных активов сведены в таблицу 2.

22

Таблица Оценка информационных активов предприятия ООО «Facilicom»

В таблице 3 представлены результаты ранжирования информационных активов ООО «Facilicom»

Таблица Результаты ранжирования активов ООО «Facilicom»

Таким образом, активы, имеющие наибольшую ценность и подлежащие защите, следующие:

1. Сервер БД с информацией о клиентах и писем;

2. База данных ДО;

3. Приказы, распоряжения Генерального директора;

4. База данных бухгалтерии.

В дальнейшем именно для этих активов проводилась оценка уязвимостей, угроз и рисков информационной безопасности.

1.2.2 Оценка уязвимостей активов

Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь - это, определённо, уязвимость. Если он на самом деле сделает это - это эксплойт. Физическая безопасность - один из наиболее важных аспектов, которым нужно придавать значение. Поскольку если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, - они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах.

В качестве объектов защиты выступают следующие виды информационных ресурсов предприятия:

· информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи;

· информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.;

· конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.

Размещено на http://www.allbest.ru/

В таблице 4 представлено сопоставление физических угроз и уязвимости активов.

Таблица Сопоставление физических угроз и уязвимостей автоматизированной системы ООО «Facilicom»

В таблице 5 представлены результаты оценки уязвимости активов.

Таблица Результаты оценки уязвимости информационных активов ООО «Facilicom»

1.2.3 Оценка угроз активам

Рассмотрим перечень возможных угроз для информации и активов:

2. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Для каждого типа угроз, возникающих при функционировании системы информационной безопасности, может быть одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации защиты. Принимаемая мера противодействия с экономической точки зрения будет приемлема, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. В этой ситуации можно определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня. Из этого следует, что потенциальный нарушитель, стремящийся рационально использовать предоставленные ему возможности, не будет тратить на выполнение угрозы больше, чем он ожидает выиграть. Следовательно, необходимо поддерживать цену нарушения сохранности информации на уровне, превышающем ожидаемый выигрыш потенциального нарушителя. Рассмотрим эти подходы.

Утверждается, что большинство разработчиков средств вычислительной техники рассматривает любой механизм аппаратной защиты как некоторые дополнительные затраты с желанием за их счет снизить общие расходы. При решении на уровне руководителя проекта вопроса о разработке аппаратных средств защиты необходимо учитывать соотношение затрат на реализацию процедуры и достигаемого уровня обеспечения сохранности информации. Поэтому разработчику нужна некоторая формула, связывающая уровень защиты и затраты на ее реализацию, которая позволяла бы определить затраты на разработку потребных аппаратных средств, необходимых для создания заранее определенного уровня защиты. В общем виде такую зависимость можно задать исходя из следующих соображений. Если определять накладные расходы, связанные с защитой, как отношение количества использования некоторого ресурса механизмом управления доступом к общему количеству использования этого ресурса, то применение экономических рычагов управления доступом даст накладные расходы, приближающиеся к нулю.

Размещено на Allbest.ru