Проведение аудита информационной безопасности корпоративной сети организации с целью выявления актуальных угроз

ВВЕДЕНИЕ 5
Глава 1. Описание объекта информатизации 8
1.1 Общая характеристика исследуемого предприятия и его деятельности 8
1.2 Перечень сведений, составлявших конфиденциальную информацию на предприятии 9
1.3 Описание порядка хранения, обработки и передачи конфиденциальной информации на предприятии 11
1.4 Определение информационной инфраструктуры 15
1.5 Условия эксплуатации АС ГК «Атлантис» 17
1.6 Технологический процесс обработки информации 19
1.7 Анализ существующей системы защиты 19
1.7.1 Антивирусная защита сервера и АРМ 19
1.7.2 Инженерные средства защиты 19
1.7.3 Межсетевой экран 20
1.7.4 Защита беспроводной сети 20
1.7.5 Перечень по учету применяемых средств защиты информации 20
1.8 Выявленные недостатки 22
1.9 Классификация АС ГК «Атлантис» 22
1.9.1 Подсистема управления доступом………………………………......25
1.9.2 Подсистема регистрации и учета……………………………………25
1.9.3 Подсистема обеспечения целостности 27
Глава 2. Построение модели угроз и модели нарушителя 29
2.1 Построение модели нарушителя 29
2.2 Метод определения актуальности угрозы 34
2.2.1 Построение модели угроз для конфиденциальной информации 34
2.2.2 Метод определения актуальности угрозы………………………..….34
2.3 Оценка актуальности угроз 38
2.4 Актуальные угрозы для компании 44
Глава 3. Выбор программных и программно-аппаратных СЗИ 45
3.1 Разработка архитектуры СЗИ 45
3.2 Выбор критериев оценки 48
3.3 Расчет стоимости создания системы обеспечения информационной безопасности в АС 64
3.4 Проведенные мероприятия по устранению выявленных недостатков 65
ЗАКЛЮЧЕНИЕ 67
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 68

Весь текст будет доступен после покупки

На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.
Практически любая АС может выступать в качестве объекта информационной атаки, которая может быть определена как совокупность действий злоумышленника, направленная на нарушение одного из трёх свойств информации - конфиденциальности, целостности или доступности. Свойство конфиденциальности позволяет не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. Характерным примером нарушения конфиденциальности информации является кража из системы секретной информации с целью её дальнейшей перепродажи. Целостность информации подразумевает её способность не подвергаться изменению или уничтожению в результате несанкционированного доступа. В качестве примера нарушения этого свойства можно привести ситуацию, при которой злоумышленник преднамеренно искажает содержимое одного из электронных документов, хранящихся в системе. Доступность информации определяется, как её свойство быть доступной и используемой по запросу со стороны любого уполномоченного пользователя. Таким образом, в результате нарушения конфиденциальности, целостности или доступности информации злоумышленник тем самым может нарушить бизнес-процессы компании, которые базируются на информационных ресурсах, которые являлись объектом атаки.

Весь текст будет доступен после покупки

Глава 1. Описание объекта информатизации
1.1 Общая характеристика исследуемого предприятия и его деятельности
Группа компаний «Атлантис» была основана в 2007 году. В 2014 году компанию приобрели иностранные инвесторы. С приходом новой команды предприятие стало динамично развиваться и проявило себя как надежный партнер и один из самых современных производителей. Завод расположен в большом производственном комплексе площадью 15 000 кв.м. на 10 га земли в Калининградской области по адресу: 238460, Калининградская область, Багратионовский р-н, п Совхозное, ул. Победы, д.1(см.рис.1).[14]


Рис.1. Завод «Атлантис»
Основной вид деятельности ГК "Атлантис" - Производство продукции из мяса убойных животных и мяса птицы и 8 дополнительных видов. Размер уставного капитала - 22 000 000 рублей. В августе 2019 года запустили мукомольное производство, на сегодняшний день в Калининградской области это единственный мукомольный завод, который оснащён импортным высокотехнологичным оборудованием. Производственная мощность позволяет перерабатывать 180 тонн зерна в сутки и на выходе получается 135 тонн готовой продукции. Завод оснащён новейшим оборудованием. На всех этапах производства внедрены строгие стандарты и контроль безопасности пищевой продукции. Завод работает по Европейским сертифицированным системам качества, таким как GMP, HACCP, FSCC 22000 и SQMS.[14]

Весь текст будет доступен после покупки

1. Федеральный закон Российской Федерации от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне» URL: Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ (последняя редакция) \ КонсультантПлюс (consultant.ru) (дата обращения 10.03.2024) – Текст: электронный;
2. Федеральный закон Российской Федерации от 27.06. 2006 г. № 152 – ФЗ «О персональных данных» Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция) \ КонсультантПлюс (consultant.ru) (дата обращения 10.03.2024) – Текст: электронный;
3. Федеральный Закон Российской Федерации от 27.07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» URL: Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ (последняя редакция) \ КонсультантПлюс (consultant.ru) (дата обращения 10.03.2024) – Текст: электронный;
4. «Базовая модель УБПДн при их обработке в ИСПДн» ФСТЭК России от 15 февраля 2008 г. Базовая модель от 15 февраля 2008 г. - FSTEC of Russia (дата обращения 10.03.2024) – Текст: электронный;
5. «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн» ФСТЭК России от 14 февраля 2008 г. URL: методика определения актуальных угроз безопасности персональных данных при их обработке в испдн (uchitu.ru) (дата обращения 10.03.2024) – Текст: электронный;
6. Положение о сертификации средств защиты информации по требованиям безопасности информации Государственной технической комиссии при Президенте Российской Федерации от 27.10.1995 г. № 199 URL: Положение о сертификации средств защиты информации по требованиям безопасности информации — Редакция от 27.10.1995 — Контур.Норматив (kontur.ru) (дата обращения 10.03.2024) – Текст: электронный;
7. Постановление Правительства РФ от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» URL: Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" | ГАРАНТ (garant.ru) (дата обращения 15.03.2024) – Текст: электронный;
8. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» URL: Приказ ФСТЭК России от 18 февраля 2013 г. N 21 - ФСТЭК России (fstec.ru) (дата обращения 15.03.2024) – Текст: электронный;
9. РД Государственной технической комиссии от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» URL: Руководящий документ от 30 марта 1992 г. - ФСТЭК России (fstec.ru) (дата обращения 15.03.2024) – Текст: электронный;
10. «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Гостехкомиссия России, 2002 г. URL: ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ (wikisec.ru) (дата обращения 15.03.2024) – Текст: электронный;
11. Указ Президента Российской Федерации от 6.03.1997 г. № 188 «Об утверждении сведений конфиденциального характера» URL: ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА \ КонсультантПлюс (consultant.ru) (дата обращения 15.03.2024) – Текст: электронный;

Весь текст будет доступен после покупки