вати і вчасно виявляти загрози безпеки інформаційних ресурсів, причини та умови, що сприяють нанесенню фінансового, матеріального і морального збитку, порушення його нормального функціонування та розвитку;
· створити умови функціонування з найменшою вірогідністю реалізації загроз безпеки інформаційних ресурсів і нанесення різних видів шкоди;
· створити механізм та умови оперативного реагування на загрози інформаційної безпеки;
· створити умови для максимально можливого відшкодування та локалізації збитку, що наноситься неправомірними діями фізичних та юридичних осіб, і тим самим послабити можливий негативний вплив наслідків порушення інформаційної безпеки.
2.1.1 Структура моделі
При виконанні робіт можна використовувати наступну модель побудови корпоративної системи захисту інформації (рисунок 2.1), засновану на адаптації Загальних Критеріїв (ISO 15408) і проведенні аналізу ризику (ISO 17799). Ця модель відповідає спеціальним нормативним документам щодо забезпечення інформаційної безпеки, прийнятим в Російській Федерації, міжнародному стандарту ISO/IEC 15408 Інформаційна технологія - методи захисту - критерії оцінки інформаційної безпеки, стандартом ISO/IEC 17799 Управління інформаційною безпекою" і ГОСТ Р ІСО/МЕК ТО 15446-2008.
2.1.2 Модель побудови корпоративної системи захисту інформації від НСД
Представлена ??модель захисту інформації - це сукупність об'єктивних зовнішніх і внутрішніх факторів та їх вплив на стан інформаційної безпеки на об'єкті та на збереження матеріальних або інформаційних ресурсів.
Розглядаються наступні об'єктивні фактори [11]:
загрози інформаційній безпеці, що характеризуються ймовірністю виникнення і ймовірністю реалізації;
уразливості інформаційної системи або системи контрзаходів (системи інформаційної безпеки), що впливають на ймовірність реалізації загрози;
ризик - чинник, який відбиває можливий збиток організації в результаті реалізації загрози інформаційній безпеці.
Для побудови збалансованої системи інформаційної безпеки передбачається спочатку провести аналіз ризиків в області інформаційної безпеки. Потім визначити оптимальний рівень ризику для організації на основі заданого критерію. Систему інформаційної безпеки (контрзаходи) належить побудувати таким чином, щоб досягти заданого рівня ризику.
2.1.3 Деталізація потоків в інфраструктурі ТОВ ??laquo; Мінерал
Основним призначенням інформаційної інфраструктури фірми є: ведення маркетингу; ведення кадрового обліку; ведення бухгалтерського обліку; збір, облік, накопичення, зберігання, обробка та аналіз інформації, пов'язаної з діяльністю фірми; формування звітів, що відносяться до діяльністю ТОВ ??laquo; Мінерал raquo ;, організація електронного документообігу.
Цільова інформація, що зберігається і обробляється в інформаційній інфраструктурі ТОВ ??laquo; Мінерал raquo ;, затребувана поруч інформаційних систем органів державної влади та установ. Зокрема інформаційна інфраструктура ТОВ ??laquo; Мінерал raquo ;, здійснює за допомогою мережі Інтернет інформаційний обмін з: Федеральною податковою службою; Пенсійним фондом Російської Федерації; Ощадбанком РФ.
Таким чином, інформаційна інфраструктура ТОВ ??laquo; Мінерал являє собою інформаційну систему, що має підключення до мереж зв'язку загального користування та мереж міжнародного інформаційного обміну. Виходячи з цього, всі інформаційні потоки в інформаційної інфраструктури ТОВ ??laquo; Мінерал можна розділити на дві основні групи: внутрішні і зовнішні.
До зовнішніх інформаційних потоків відноситься передача інформації в зовнішні інформаційні системи (Федеральну податкову службу, Ощадбанк РФ, Пенсійного фонду РФ та ін.);
До внутрішніх інформаційним потокам відносяться [11]:
· збір (ввід) цільової інформації, первинних бухгалтерських даних і даних кадрового обліку;
· перегляд, створення архівних копій, вивід на друк та ін .;
· обмін службовою інформацією (накази, розпорядження та ін.);
· дозволу на доступ до цільової інформації;
· передача запитаної цільової інформації;
· процеси авторизації користувачів інформаційної інфраструктури, запити на отримання доступу до цільової інформації відповідно до правил доступу на надання цільової інформації.
2.1.4 Визначення інформації, схильною з...
