итися не рідше, ніж 1 раз на добу. Бажано, в нічний час, коли навантаження на сервер мінімальна. Для цих цілей існує велика кількість спеціалізованого програмного забезпечення.
2. Також цю загрозу допоможе знизити правильно налаштований Firewall. Для того, щоб своєчасно виявити, наприклад, сканування мереж компанії ззовні, можна також скористатися спеціальним програмним забезпеченням.
Загроза - збій в роботі сервера.
. Крім сервера архівного копіювання, повинен бути резервний сервер, який, у разі критичного відмови основного сервера, візьме на себе частину навантаження для виконання найбільш важливих завдань.
2. Також при можливості необхідно розбити завдання на окремі сервера. Це дозволить зменшити втрати (як тимчасові, так і фінансові) у разі відмови одного з них.
Оцінки результативності запропонованих СЗІ
Варіант №1.
· Авторизація + аутентифікація.
· Установка ДБЖ.
· Firewall.
Варіант № 1 забезпечує тільки 50-відсотковий захист від загроз і їх джерел. Даний рівень неприпустимий при роботі з даними не тільки своєї організації, а й базами даних клієнтів.
Варіант №2.
· Розбиття серверів.
· Антивірусне ПЗ.
· СКУД.
Варіант №2 ще менш ефективний у захисті даних компанії, ніж Варіант №1.
Як видно з результатів двох попередніх варіантів, незважаючи на те, що самі по собі засоби захисту (авторизація + аутентифікація, установка ДБЖ, антивірусне ПЗ і Firewall) досить ефективні, комбінація тільки трьох коштів мало змінює ситуацію. У зв'язку з цим, вважаю за необхідне розширити перелік засобів захисту для забезпечення інформаційної безпеки в компанії.
Варіант № 3.
· Авторизація + аутентифікація.
· Firewall
· Установка ДБЖ.
· Резервне копіювання.
· Розбиття серверів.
· СКУД.
· Антивірусне ПЗ.
· Ліцензійне ПЗ.
Ефективність в 83,5% цілком прийнятна на даному етапі. Таким чином розглянутий у Варіанті № 3 комплекс засобів захисту можна вважати ефективним і цілком застосовним на практиці. Також можна сказати, що у зв'язку з тим, що оцінки впливу тих чи інших засобів захисту виставлялися суб'єктивно, а також з тим, що як ми побачили на графі структури нашої системи, всі загрози і джерела загроз дуже тісно пов'язані один з одним, - кожне засіб захисту може надавати і на інші сутності цілком відчутне непрямий вплив. Виходячи з цього, можна зробити припущення, що реальний рівень забезпечуваною захисту буде все ж вище запропонованого програмою.
4. Політика безпеки
Метою створення політики безпеки є забезпечення максимально можливої ??інформаційної безпеки в компанії.
Керівництво компанії відповідає за інформування співробітників щодо даної політики; гарантує, що кожен співробітник ознайомився з даними зводом правил. Керівництво відділу Системної інтеграції зобов'язується взаємодіяти з усіма співробітниками з питань безпеки.
Співробітники, ставлячи підпис під даним документом, підтверджують, що ознайомлені з політикою безпеки в компанії і зобов'язуються дотримуватися освітлені в ній правила.
Відділ Системної інтеграції відповідає за забезпечення безперервного функціонування комп'ютерної техніки, а також за забезпечення захисту серверів компанії у відповідності з політикою безпеки.
Відмова від дотримання правил справжньої політики може піддати дані компанії, а також відомості клієнтів фірми і співробітників організації, неприпустимого ризику втрати конфіденційності, цілісності або доступності при її зберіганні, обробці або передачі в мережі фірми. Порушення стандартів, процедур або керівництв, що підтримують цю політику, можуть призвести до дисциплінарної відповідальності згідно із законодавством РФ.
Загальні правила роботи в мережі.
1. За кожним ПК повинен бути закріплений оператор, який відповідальний за дотримання всіх політик і процедур, пов'язаних з використанням даного комп'ютера. Оператори повинні бути навчені і забезпечені відповідними настановами так, щоб вони могли коректно дотримуватися всіх правил справжньої політики.
. З метою запобігання неавториз...
