Планирование информационной безопасности.
Защита информации включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности.
На практике под этим понимается поддержание целостности, доступности и если необходимо конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.
Информационная безопасность - это защищенность данных и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесению ущерба владельцам или пользователям. Проведем анализ угроз и их оценку с точки зрения вероятности реализации и ущерба от реализации угрозы.
Оценка вероятности реализации угрозы очень вероятна 9-10 баллов, вероятна - 5-8 баллов, маловероятна -3-5 баллов. практически невероятна 1-2 балла.
Оценка степени ущерба от реализации угрозы полная потеря данных 9-10 баллов, частичная потеря данных - 3-8 балла, возможная потеря данных - 1-2 балла. Таблица 4 Оценка угроз. УгрозыВероятность реализацииУщербОбщая оценка угрозыУгрозы из внешней среды Отказы источников питания и скачки напряжения, Природные явления молния, бури и т.д Пожары. 9 2 18 5 6 30 3 3 9. Ошибки пользователей, операторов5525Воровство или вандализм3824. Несанкционированный доступ к ресурсам4416Компьютерные вирусы8648Сбои программного обеспечения3927. Сбои аппаратного обеспечения4936. Механические повреждения кабеля21020 Для обеспечения информационной безопасности будем использовать следующие методы источники бесперебойного питания, пароли и шифрование, защиту от вирусов с помощью специальных программных средств, предупреждение кражи данных.
Также для обеспечения безопасности установим для пользователей определенные права доступа к каталогам и создадим группы для предоставления доступа к общим сетевым ресурсам см. таблицу 5. Таблица 5 Права доступа для групп пользователей.
Название группыВнутренние ресурсыУровни доступа к внутренним ресурсамДоступ в Internet и электронная почтаАдминистратор Все сетевые ресурсы Права администратора в каталогах, в том числе изменения уровня и прав доступаВсе сетевые ресурсыДиректорВсе сетевые ресурсыПользование базой данных без изменения, добавления, удаления, ограничение доступа к папкам по необходимости. Все сетевые ресурсыСотрудники осуществляющие прим заявлений от клиентов центра, а также заполнение базы данных.
Базы данных используемых документовСоздание, чтение запись файлов, создание подкаталогов, удаление каталогов. Все сетевые ресурсыСотрудники осуществляющий подбор работника на вакантную должность. Базы данных используемых документовПользование базой данных без изменения, добавления, удаления, ограничение доступа к папкам по необходимости. Ограничение по IP-адресу адресата и источника, ограничение по содержанию входящей и исходящей корреспонденцииСотрудники, ответственные за обратную связь с клиентами центра.
Базы данных используемых документовПользование базой данных без изменения, добавления, удаления, ограничение доступа к папкам по необходимости. Все сетевые ресурсыСотрудник, отвечающий за переподготовку кадров. Базы данных используемых документовПользование базой данных без изменения, добавления, удаления, ограничение доступа к папкам по необходимости. Все сетевые ресурсыСотрудник, занимающийся статистической отчтностью. Базы данных используемых документовПользование базой данных без изменения, добавления, удаления, ограничение доступа к папкам по необходимости. Все сетевые ресурсыБухгалтерВся информация организацииОграничение доступа к папкам по необходимости Ответственный за административно-хозяйственные вопросы. Вся информация организацииОграничение доступа к папкам по необходимости Клиенты, партнеры,Специальные каталоги и папки Доступ только к специальным файлам и объектам Ограничение по IP-адресу адресата и источника Потенциальные клиентыСпециальные каталоги для клиентовПросмотр объектовчтение и поиск файлов При открытом доступе Интранет должна быть изолирована идентификация пользователя не требуется 5.