Разработка политики информационной безопасности компьютерного клуба GG.Arena
Введение
автоматизированный информационный пользователь безопасность
Актуальность темы дипломной работы определяется постоянным уровнем проблем, связанных с информационной безопасностью. Вопрос информационной безопасности - одна из главных проблем для любой организации. Для его реализации необходим комплекс мероприятий, направленных на обеспечение конфиденциальности, доступности и целостности обрабатываемой информации. Поэтому его следует понимать, как комплекс организационных, программных, технических и физических мер по обеспечению информационной безопасности, целостности, конфиденциальности и доступности.
Многие угрозы безопасности обусловлены зависимостью организаций от информационных систем и услуг. Взаимодействие общих и частных сетей и совместное использование информационных ресурсов затрудняют управление доступом к информации. Вопрос об эффективности централизованного контроля возникает из-за тенденции использования распределенной системы обработки данных.
Оглавление
Список сокращений4
Введение7
1.Общий подход к разработке политики информационной безопасности, критических ифнормационных инфраструктур.9
1.1Политика информационной безопасности и информационных ресурсов12
1.2Категории ифнормационных ресурсов, подлежащих защите17
1.3Категории пользователей, режимы использования и уровни доступа к информации.21
1.4 Выводы по главе 1…………………………………………………………………………..22
2.Анализ критической информационной инфраструктуры компьютерного клуба “GG.ARENA”.23
2.1Анализ автоматизированной информационной системы компьютерного клуба “GG.ARENA”.23
2.2Оценивание рисков информационной безопасности компьютерного клуба.25
2.3Разработка модели угроз и уязвимостей ифнормационной безопасности компьютерного клуба……………26
2.4 Выводы по главе 2…………………………………………………………………………28
3.Разработка и внедрение политики ифнормационной безопасности компьютерного клуба “GG.ARENA” 42
3.1Разработка и внедрение мероприятий по обеспечению безопасности информационной сети рабочих компьютеров 42
3.2Разработка и внедрение мероприятий по обеспечению безопасности информационной сети гостевых компьютеров44
3.3Внедрение организационных мер по обеспечению политики информацинной безопасности.45
3.4 Оценка экономических затрат на внедрение технических средств для реализации политики информационной безопасности……………………………………………………………………………46
Заключение49
Список использованных источников.50
Список использованных источников
1.ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;
2.ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;
.ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
.Стандарт Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федирации»;
5.ISO/IEC 17799:2005. Information technology. Security techniques. Code of practice for information security management. - ISO: 2005;
.BS 7779-3:2006 «Системы управления информационной безопасностью. Часть 3: Руководство по управлению рисками информационной безопасности»;
.Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.:ООО «ТИД ДС», 2001. - 688 с.;
.Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему. 1997;
.Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000;
.Петренко С.А., Курбатов В.А. Политики информационной безопасности. - М.: Компания АйТи, 2006. - 400 с.;
.Петренко С.А., Петренко А.А. Аудит безопасности IntraNet. - М.: ДМК Пресс, 2002.;
.Скот Бармен. Разработка правил информационной безопасности. Вильямс, 2002, -208 с.;
.Смит Р.Э. Аутентификация: от паролей до открытых ключей. Вильямс, 2002, -432 с.;
.ISO27000.ru - русскоязычный информационный портал, посвященный вопросам управления информационной безопасностью. URL: http://www.iso27000.ru/, 2009;
.Михаил Брод. Демилитаризация локальной сети. URL: http://hostinfo.ru/articles/487, 2004;
16.Владимир Ульянов. Анализ рисков в области информационной безопасности. URL: http://www.pcweek.ru/themes/detail.php? ID=103317, 2007;
отказы оборудования Ресурсы информационной системы:
В качестве объектов информационной системы, к которым применялся обзор угроз, были выбраны основные компоненты сети:
Domain Controller
Exchange
Сервер БД
Терминальный Сервер
Маршрутизатор
Коммутатор
Рабочее место
Гостевое место
Канал связи
Компьютеры рабочих и игровых мест были объединены в группы Рабочее место и игровое соответственно, в виду схожести рабочих мест, отдельное их рассмотрение нецелесообразно. Также в группы были объединены Маршрутизаторы и Коммутаторы. Для каждого сервера организации составлялся собственный список угроз и оценка рисков.
Был выбран обобщенный список угроз, для их устранения на данном, начальном этапе. Ряд перечисленных угроз включает в себя определенный перечень (BS 7799-3:2006).
Угроза получения полного удаленного контроля над системой включает в себя:
несанкционированный доступ;
несанкционированный доступ к журналам аудита;