Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Концепция информационной безопасности трансрегионального энергетического холдинга
Синичкин А.Н.
выпускник группы MBA CIO-18
Школа IT-менеджмента
АНХ при Правительстве РФ
Введение
Современный мир уже немыслим без широкого использования информационных технологий. Для большинства преуспевающих предприятий использование ИТ для автоматизации бизнес-процессов и решения трудоемких бизнес-задач стало залогом успешного ведения бизнеса.
В то же время, по оценкам западных экспертов, с каждым годом неуклонно растет ущерб компаний от компьютерного мошенничества, промышленного шпионажа и других нарушений информационной безопасности. Всё более распространенными становятся вредоносное программное обеспечение, банальные кражи информации, а также хакерские атаки на информационные системы.
Согласно данным международного комитета по компьютерной преступности, занимающегося исследованиями масштабов и видов компьютерных преступлений, компьютерные преступления представляют собой серьезную угрозу для любой располагающей компьютерной техникой компании. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной безопасности возрастает ежегодно в среднем в 3-4 раза.
Таким образом, наряду с очевидными преимуществами новых информационных технологий, их использование является источником новых уязвимостей и существенных потенциальных опасностей для информационных активов предприятий. При этом пренебрежение вопросами информационной безопасности может привести к катастрофическим последствиям. Необходимость защиты жизненно важных интересов предприятий в сфере информационной безопасности в современных условиях обусловливает актуальность темы исследования настоящей работы.
Учитывая остроту проблем защиты конфиденциальной информации и персональных данных граждан, а также существенные изменения законодательства Российской Федерации, автор разработал Концепцию информационной безопасности вертикально интегрированного трансрегионального энергетического холдинга, объединяющего более десяти генерирующих, энергосбытовых и других предприятий, нуждающийся в коренном улучшении существующей системы информационной безопасности.
Основная часть работы состоит из теоретической, методической и практической частей.
Теоретическая часть
В теоретической части определёно назначение, статус и задачи Концепции информационной безопасности, рассмотрена и проанализирована нормативно-правовая и организационно-распорядительная основа обеспечения информационной безопасности Общества.
В качестве объектов информационной безопасности в работе рассмотрены информация ограниченного доступа и критически важные технические и программные ресурсы, нарушение функционирования которых может привести к значительному, неприемлемому для холдинга ущербу.
Информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную. К категории конфиденциальной информации относится информация, содержащая коммерческую тайну, и информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (персональные данные).
Режим защиты информации устанавливается:
- в отношении сведений, отнесенных к государственной тайне, – уполномоченными органами на основании Федерального Закона РФ № 5485-1 от 21 июля 1993г. "О государственной тайне";
- в отношении конфиденциальной документированной информации – собственником информационных ресурсов или уполномоченным лицом на основании Федерального закона РФ от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне»;
- в отношении персональных данных – Федеральным законом РФ от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
Сведения, составляющие государственную тайну, обрабатываются в строгом соответствии с Федеральным Законом РФ от 21 июля 1993 г. № 5485-1 "О государственной тайне" и руководящими документами ФСБ России и не явились предметом рассмотрения данной работы.
Рассмотрен порядок организации и проведения работ, а также основные мероприятия по обеспечению безопасности конфиденциальной информации в соответствии с требованиями законодательства по защите персональных данных и СТР-К. Проанализированы объекты защиты, а также угрозы безопасности информации, их источники и способы реализации. Рассмотрены модели внутреннего и внешнего нарушителя.
Методическая часть
В методической части рассмотрены административно-правовые, организационно-технические и экономические методы противодействия угрозам безопасности информации, состав и назначение Политики информационной безопасности, а также организационная структура информационной безопасности холдинга. Проанализированы средства защиты информации, сформулированы цели и задачи, основные направления и ключевые мероприятия по обеспечению информационной безопасности. Сформулирован порядок установления режима обеспечения безопасности информации, определения владельцев защищаемых ресурсов, их категорирования, а также регламентации доступа в защищаемые помещения и к защищаемым информационным ресурсам.
Практическая часть
В практической, ключевой части работы автором предложены концептуальные решения по построению Системы управления информационной безопасностью энергетического холдинга на основе защищённых узлов сети. Сформулированы основные задачи, возлагаемые на СУИБ, а также базовые решения, на которых будет организовано её дальнейшее строительство. Разработана структура фрагмента типового офиса, а также функциональная схема фрагмента корпоративной мультисервисной сети типового офиса холдинга с защищённым узлом доступа к сети. Предложена структура защищённого узла доступа, его административного и коммуникационного сегментов, рассмотрены каждый из его элементов. Сформулированы основные возможности СУИБ, а также организационные меры по её эксплуатации.
Заключение
В сложных современных условиях революционного развития информационных технологий, глобального экономического кризиса и обострения конкурентной борьбы эффективная реализация, сопровождение и развитие комплекса мер по защите информационных ресурсов и их владельцев возможна только при условии наличия формализованного системного подхода к обеспечению информационной безопасности.
Концепция информационной безопасности предприятия, по сути, представляет собой нормативно-распорядительный документ, отражающий официально принятую предприятием систему взглядов на проблему обеспечения информационной безопасности и пути ее решения с учетом современных тенденций развития информационных технологий. Она охватывает вопросы обеспечения безопасности информационной системы на этапах ее проектирования, создания, ввода в действие, промышленной эксплуатации и последующей модернизации.
Базовые решения, предложенные в работе, позволят надёжно обеспечить защищенность конфиденциальной информации и поддерживающей её ИТ-инфраструктуры предприятий холдинга от любых случайных и злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, её владельцам или поддерживающей инфраструктуре. Защищённые узлы доступа к сети, построенные на сертифицированных программно-аппаратных средствах, позволят построить эффективную систему защиты информации и обеспечить, с одной стороны, выполнение требований законодательства Российской Федерации о защите персональных данных, а с другой – защиту от несанкционированного доступа к информационным ресурсам ограниченного доступа по угрозам конфиденциальности, целостности и доступности.
Система управления информационной безопасностью, созданная на основе международных стандартов ISO 17799 и ISO 27001, позволит достигнуть необходимого уровня защищенности компании, значительно снизить риски реализации угроз информационной безопасности, минимизировать ущерб защищаемой информации и её собственникам, а также прогнозировать и предотвращать случайные и злонамеренные воздействия, несущие угрозы информационной безопасности.
Теоретические положения и результаты, предложенные автором в методической и практической частях дипломной работы обсуждены и одобрены на Комитете по информатизации, положены в основу утверждённой и введённой в действие Концепции информационной безопасности одного из крупнейших частных энергетических Холдингов страны.
Список используемых источников
1. Базовая модель угроз безопасности ПД при их обработке в ИСПД, утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г.
2. Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД, утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г.
3. Петренко С.А., Курбатов В.А. Политики информационной безопасности. — М.: Компания АйТи, 2006. — 400 с.
4. Рекомендации по обеспечению безопасности ПД при их обработке в ИСПД, утвержденные Заместителем директора ФСТЭК России 15 февраля 2008 г.
5. Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.: Питер, 2008. — 272 с.
• Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия — Телеком, 2006. — 536 с.
• Том 2. Средства защиты в сетях. М.: Горячая Линия — Телеком, 2008. — 560 с.
6. Федеральный Закон РФ № 24-ФЗ от 20 февраля 1995г. "Об информации, информатизации и защите информации".
7. Федеральный Закон № 98-ФЗ от 29 июля 2004 г. «О коммерческой тайне».
8. Федеральный закон РФ №152-ФЗ от 27 июля 2006г. «О персональных данных».
9. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с.
10. Шорошев В.В. Модель угроз для локальных вычислительных сетей по рекомендациям Конвенции Совета Европы о киберпреступности// Зв`язок.- К., 2005.- 4.- С.37-42.
11. Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с.
Copyright © 2010 Синичкин А.Н.
- Войдите на сайт для отправки комментариев