Анализ угроз и построение системы информационной безопасности

Наличие единой информационной структуры в компании делает возможным нанесение ущерба с помощью атаки на информационную систему (ИС). Владение инструментами обеспечения безопасности ИС и их учет на стадии проектирования информационной системы  дает некоторое стартовое преимущество перед компаниями, осознавшими необходимость комплексного подхода к защите информации только после того, как оказались перед фактами несанкционированных вторжений.

Финансовый урон от потери или утечки внутрикорпоративной информации может быть соизмерим с доходной частью бюджета компании.

Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу:

  • сбор,
  • модификация,
  • утечка,
  • уничтожение.

Все источники угроз разделяются на внешние и внутренние.
Внутренние угрозы могут проявляться в следующих формах:

  • ошибки пользователей и системных администраторов;
  • нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;
  • ошибки в работе программного обеспечения;
  • отказы и сбои в работе компьютерного оборудования.

Формами проявления внешних угроз являются:

  • заражение компьютеров вирусами или вредоносными программами;
  • несанкционированный доступ (НСД) к корпоративной информации;
  • информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
  • действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
  • аварии, пожары, техногенные катастрофы.

В целях обеспечения информационной безопасности мы предлагаем комплекс последовательных мероприятий:

Выявление потребностей в обеспечении информационной безопасности (ИБ);

Обследование существующей инфраструктуры:

  • оргструктура,
  • схема ЛВС,
  • размещение средств ВТ,
  • носители информации,
  • способы обработки и хранения данных,
  • используемые виды связей,
  • инвентаризация информационных ресурсов.

Выработка требований к ИБ:

Определение минимальных  требований на основе потребностей в ИБ;
Определение повышенных требований к:

  • ценность ресурсов,
  • перечень сведений, составляющих коммерческую тайну,
  • стратегия управления рисками,
  • обеспечение доступности, целостности, конфиденциальности.

Разработка концепции ИБ

  • цели и приоритеты,
  • общие направления,
  • должностные лица, ответственные за ИБ,
  • основные аспекты, решаемые при разработке ИБ.

Анализ рисков

  • изучение и систематизация угроз ИБ,
  • оценка ущерба,
  • оценка затрат на восстановление,
  • защитные меры.

Разработка политики ИБ и выбор решений по обеспечении политики ИБ

Определение уровней обеспечения режима ИБ:

  • административный (ответственные лица);
  • организационный (комплекс мер, организация, политика);
  • технический (программно-технические средства).

Выбор средств контроля и управления

Разработка планов реализации политики ИБ

Реализация политики ИБ:

  • Разработка пакета регламентирующих документов по ИБ;
  • Внедрение уровней обеспечения ИБ.

Результаты создания системы информационной безопасности

  • защита корпоративной ЛВС от несанкционированного доступа изнутри и извне (из общедоступных сетей, Интернета и т.д.);
  • антивирусная защита;
  • защищенный доступ пользователей ЛВС в общедоступные сети и Интернет;
  • обнаружение атак;
  • защита информационных потоков между ЛВС, рабочими станциями и серверами, а также в сетях Internet/Intranet;
  • идентификация и аутентификация пользователей ИС;
  • обеспечение доступности сетевых сервисов и серверов;
  • криптографическая защита информации;
  • защита рабочих станций и серверов от несанкционированного доступа;
  • защита общесистемного и прикладного ПО, файловых и почтовых серверов;
  • резервное копирование.