VIP STUDY сегодня – это учебный центр, репетиторы которого проводят консультации по написанию самостоятельных работ, таких как:
  • Дипломы
  • Курсовые
  • Рефераты
  • Отчеты по практике
  • Диссертации
Узнать цену

Разработка политики информационной безопасности ЗАО «Агро-Атяшево

Внимание: Акция! Курсовая работа, Реферат или Отчет по практике за 10 рублей!
Только в текущем месяце у Вас есть шанс получить курсовую работу, реферат или отчет по практике за 10 рублей по вашим требованиям и методичке!
Все, что необходимо - это закрепить заявку (внести аванс) за консультацию по написанию предстоящей дипломной работе, ВКР или магистерской диссертации.
Нет ничего страшного, если дипломная работа, магистерская диссертация или диплом ВКР будет защищаться не в этом году.
Вы можете оформить заявку в рамках акции уже сегодня и как только получите задание на дипломную работу, сообщить нам об этом. Оплаченная сумма будет заморожена на необходимый вам период.
В бланке заказа в поле "Дополнительная информация" следует указать "Курсовая, реферат или отчет за 10 рублей"
Не упустите шанс сэкономить несколько тысяч рублей!
Подробности у специалистов нашей компании.
Код работы: W001471
Тема: Разработка политики информационной безопасности ЗАО «Агро-Атяшево
Содержание
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ 
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ  ВЫСШЕГО ОБРАЗОВАНИЯ
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ 
МОРДОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ 
ИМ. Н. П. ОГАРЁВА»

Институт электроники и светотехники
Кафедра информационной безопасности и сервиса

                                             УТВЕРЖДАЮ 
                                             Зав. кафедрой
                                             канд. техн. наук, доц.  

       ____________С. Н. Ивлиев
          (подпись)
     «___» ________ 20__ г.



БАКАЛАВРСКАЯ РАБОТА

РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАО «АГРО-АТЯШЕВО»


Автор бакалаврской работы		(подпись)		(дата)		Е. В. Родионова
Обозначение бакалаврской  работы    БР–02069964–43.03.01–16–17
Направление  43.03.01 Cервис
Руководитель работы 
						(подпись)		(дата)		С. Л. Крылова
Нормоконтролер
канд. физ.-мат. наук, доц.		(подпись)		(дата)		Д. А. Салкин

     
Саранск
2017
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ 
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ  ВЫСШЕГО ОБРАЗОВАНИЯ
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ 
МОРДОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ 
ИМ. Н. П. ОГАРЁВА»

Институт электроники и светотехники
Кафедра информационной безопасности и сервиса

                                             УТВЕРЖДАЮ 
                                             Зав. кафедрой
                                             канд. техн. наук, доц.  
                                             _______ С.Н. Ивлиев 
   (подпись)
  «___» ________ 20__ г.
  
                                             
ЗАДАНИЕ НА ВЫПУСКНУЮ КВАЛИФИКАЦИОННУЮ РАБОТУ 
(в форме бакалаврской работы)

Студентка Родионова Евгения Викторовна
1 Тема: «Разработка политики информационной безопасности ЗАО «Агро-Атяшево»»
Утверждена приказом № 235-С от 22.01.2016
2 Срок представления работы к защите 17.02.2017
3 Исходные данные для выпускной квалификационной работы: техническая литература, нормативная документация, план здания.
4 Содержание выпускной квалификационной работы:
    4.1 
    4.2 
5 Приложения: 
     5.1 
     
Руководитель работы				___________		С. В. Крылова
.				подпись, дата

Задание принял к исполнению____________________________________
							подпись, дата

РЕФЕРАТ

     Бакалаврская работа содержит    страниц,   рисунков,  таблиц,  использованных источников, 2 приложения.
     ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, ЗАЩИТА ИНФОРМАЦИИ, ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, СТАНДАРТЫ, КОНФИДЕНЦИАЛЬНОСТЬ, ЦЕЛОСТНОСТЬ, ДОСТУПНОСТЬ. 
     Объектом бакалаврской работы является информационная безопасность ЗАО «Агро-Атяшево».
     Цель работы – разработка политики информационной безопасности в ЗАО «Агро-Атяшево».
     В процессе работы изучены правовые основы защиты информации, рассмотрено нормативное регулирование информационной безопасности, стандартизация в области разработки политики информационной безопасности, изучены средства и методы защиты информации, проведен анализ информационной системы ЗАО «Агро-Атяшево» и разработанна политика информационной безопасности ЗАО «Агро-Атяшево».
     В результате проведенной бакалаврской работы, содержащиеся выводы и рекомендации могут быть использованы при разработке политики информационной безопасности в ЗАО «Агро-Атяшево».
     Степень внедрения – результаты  бакалаврской работы будут использованны при внедрении в систему информационной безопасности ЗАО «Агро-Атяшево». 
     Область применения – результаты бакалаврской работы будут использоваться при разработке политики информационной безопасности.
     Эффективность – политика информационной безопасности  ЗАО «Агро-Атяшево» позволит минимизировать риски нарушения ИБ организации.
     


СОДЕРЖАНИЕ

ВВЕДЕНИЕ	6
1 Правовые основы защиты информации РФ	8
    1.1 Основные понятия и определения                                                            	8
    1.2 Правовые  Органы, обеспечивающие информационную безопасность 	13
    1.3 Нормативные документы в области информационной безопасности	14
    1.4 Политика информационной безопасности предприятия	15
    1.5 Стандартизация в области разработки политики информационной    безопасности	23
    1.6 Российская специфика разработки политики безопасности	32
2 Анализ информационной системы ЗАО «Агро-Атяшево»	35
    2.1 Описание локальной вычислительной сети ЗАО «Агро-Атяшево»  	35
    2.2 Комплексная характеристика средств и методов защиты       информации	                                                                                                        36
    2.3 Системы и процессы организации, подлежащие защите	44
    2.4 Анализ угроз информационной системы ЗАО «Агро-Атяшево»	54
3 Проект политики информационной безопасности для ЗАО «Агро-Атяшево»	78
    3.1 Структура политики информационной безопасности	78
    3.2 Политика информационной безопасности ЗАО «Агро-Атяшево»	79
ЗАКЛЮЧЕНИЕ	
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ	
ПРИЛОЖЕНИЕ А (обязательное)	
ПРИЛОЖЕНИЕ Б (обязательное)	

     ВВЕДЕНИЕ

     Актуальность выбранной темы бакалаврской работы объясняется необходимостью разработки политики ИБ организации, являющейся наиболее эффективным способом минимизации рисков нарушения ИБ для организации. Политика информационной безопасности является требованием, в котором описываются цели и задачи мероприятий по обеспечению безопасности. В процессе разработки политики безопасности формулируется свод правил информационной безопасности для противодействия угрозам информационной системы организации. 
     Значимость разработки политик безопасности для отечественных компаний и организаций объясняется необходимостью формирования основ планирования информационной безопасности и управления ею на современном этапе. В настоящее время большинством российских компаний определены следующие приоритетные задачи развития и совершенствования своей деятельности:
     - минимизация рисков бизнеса путем защиты своих интересов в информационной сфере;
     - обеспечение безопасного, доверенного и адекватного управления предприятием;
     - планирование и поддержка непрерывности бизнеса;
     - повышение качества деятельности по обеспечению информационной безопасности;
     - снижение издержек и повышение эффективности инвестиций в информационную безопасность;
повышение уровня доверия к организации со стороны акционеров, потенциальных инвесторов, деловых партнеров, уполномоченных государственных органов и других заинтересованных сторон.
     Успешное выполнение перечисленных задач в условиях воздействия внутренних и внешних факторов, а также действий конкурентов и злоумышленников проблематично. Это связано с возрастающей необходимостью повышения уровня информационной безопасности и недостаточной проработанностью политик информационной безопасности в отечественных компаниях. 
     Таким образом, тема бакалаврской работы является крайне актуальной.
     Цель данной бакалаврской работы – разработка политики информационной безопасности  ЗАО «Агро-Атяшево».
     В соответсвии с поставленной целью необходимо решить ряд взаимосвязнных задач:
     - изучить правовые основы защиты информации, 
     - расмотреть нормативное регулирование информационной безопасности, 
     - изучить средства и методы обеспечения информационной безопасности, 
     - провести анализ информационной системы ЗАО «Агро-Атяшево» и разработать политику информационной безопасности. 
     Объектом бакалаврской работы является информационная безопасность организации. 
     Теоретической и методологической основой бакалаврской работы послужили труды отечественных и зарубежных ученых, посвященные  проблемам информационной безопасности. 
     Информационной базой исследования послужили нормативно-справочные материалы, а также документация ЗАО «Агро-Атяшево».
     Практическая ценность бакалаврской работы заключается в том, что выводы и рекомендации, содержащиеся в работе будут использованы при разработке политики информационной безопасности ЗАО «Агро-Атяшево»
     
     
     

     1. Правовые основы защиты информации РФ

     1.1. Основные понятия и определения
     
     Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение состояния защищенности информационной среды.
     * Статья 272.Лицо будет привлечено к уголовной ответственности за неправомерный доступ к информации, за порчу, изменение, уничтожение, нарушение гласности и правовых норм.
     * Статья 273. За распространение, создание, использование вирусного и другого вредоносного программного ПО.
     * Статья 274. нарушение правил эксплуатации ЭВМ лицом, имеющим доступ к этой информации, повлекшее уничтожение, простой в работе, изменение информации и т.д.
     Безопасность информации – состояние защищенности информации, при которой обеспечены ее конфиденциальность, доступность и целостность.
     Безопасность информации, определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.
     Информационная безопасность — защита конфиденциальности,
     целостности и доступности информации.
     Конфиденциальность – обеспечение доступа к информации только авторизованным пользователям.
     Целостность – обеспечение достоверности и полноты информации
     И методов ее обработки.
     Доступность – обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
     Правовые основы защиты информации – это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.
     Первый уровень правовой основы защиты информации
     Первый уровень правовой охраны информации и защиты состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.
     Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.
     Доктрина служит основой:
     * формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
     * подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
     * разработки целевых программ обеспечения информационной безопасности Российской Федерации.
     Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
     
Правовое обеспечение информационной безопасности РФ
     
     Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в интернете;
     Конституция РФ (ст. 23 –  определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);
     Гражданский кодекс РФ (в ст. 139 – устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);
     Уголовный кодекс РФ (ст. 272 – устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 –  за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 – за нарушение правил эксплуатации ЭВМ, систем и сетей); 
     Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 – устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 – определяет порядок защиты информации);
     Федеральный закон «О государственной тайне» от 21.07.93 №5485-1(ст. 5 – устанавливает перечень сведений, составляющих государственную тайну; ст. 8 – степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст. 20 – органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, относящейся к государственной тайне); 
     Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ,«О связи» от 16.02.95 №15-ФЗ,«Об электронной цифровой подписи» от 10.01.02 №1-ФЗ,«Об авторском праве и смежных правах» от 09.07.93 №5351-1,«О право вой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1(ст. 4 определяет условие признания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).
     Правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации и защиту, благодаря ФЗ о защите информации.
     Второй уровень правовой защиты информации
     На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) – это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.
     Третий уровень правового обеспечения системы защиты экономической информации
     К данному уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.
     Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.
     Четвертый уровень стандарта информационной безопасности
     Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.
     
     Организационно-технические и режимные меры и методы
     
     Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
     Политика безопасности (информации в организации) (англ. Organizational security policy) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
     Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и е? информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
     Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
     * защита объектов информационной системы;
     * защита процессов, процедур и программ обработки информации;
     * защита каналов связи;
     * подавление побочных электромагнитных излучений;
     * управление системой защиты.
     При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
     * Определение информационных и технических ресурсов, подлежащих защите;
     * Выявление полного множества потенциально возможных угроз и каналов утечки информации;
     * Проведение оценки уязвимости и рисков информации при
     * имеющемся множестве угроз и каналов утечки;
     * Определение требований к системе защиты;
     * Осуществление выбора средств защиты информации и их характеристик;
     * Внедрение и организация использования выбранных мер, способов и средств защиты;
     * Осуществление контроля целостности и управление системой
     * защиты.
     Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
     
     1.2. Органы (подразделения), обеспечивающие информационную безопасность
     
     В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
     Государственные органы РФ, контролирующие деятельность в области защиты информации:
     * Комитет Государственной думы по безопасности; 
     * Совет безопасности России;
     * Федеральная служба по техническому и экспортному контролю (ФСТЭК);
     * Федеральная служба безопасности Российской Федерации (ФСБ России);
     * Министерство внутренних дел Российской Федерации (МВД России);
     * Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
     Службы, организующие защиту информации на уровне предприятия: 
     * Служба экономической безопасности; 
     * Служба безопасности персонала (Режимный отдел);
     * Отдел кадров;
     * Служба информационной безопасности.

     1.3. Нормативные документы в области информационной безопасности
     
     В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
     * Акты федерального законодательства:
     * Международные договоры РФ;
     * Конституция РФ;
     * Законы федерального уровня (включая федеральные конституционные законы, кодексы);
     * Указы Президента РФ; 
     * Постановления правительства РФ;
     * Нормативные правовые акты федеральных министерств и ведомств; 
     * Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
     К нормативно-методическим документам можно отнести:
     Методические документы государственных органов России:
     * Доктрина информационной безопасности РФ; 
     * Руководящие документы ФСТЭК (Гостехкомиссии России); 
     * Приказы ФСБ;
     Стандарты информационной безопасности, из которых выделяют: 
     * Международные стандарты; 
     * Государственные (национальные) стандарты РФ;
     * Рекомендации по стандартизации; 
     * Методические указания

     1.4. Политика информационной безопасности предприятия 
     
     Успехом обеспечения сохранности и защиты информации на предприятии зависит, прежде всего, от разработанных политик безопасности на предприятии. Политика информационной безопасности организации - совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
     Административный уровень информационной безопасности предприятия, то есть меры, предпринимаемые руководством организации. В основе всех мероприятий административного уровня лежит документ, часто называемый политикой информационной безопасности предприятия. Под политикой информационной безопасности понимается совокупность документированных управленческих решений и разработанных превентивных мер, направленных на защиту информационных ресурсов.
     Разработка политики информационной безопасности - вопрос отнюдь не тривиальный. От тщательности ее проработки будет зависеть действенность всех остальных уровней обеспечения информационной безопасности - процедурного и программно-технического. Сложность разработки данного документа определяется проблематичностью использования чужого опыта, поскольку политика безопасности основывается на производственных ресурсах и функциональных зависимостях данного предприятия. Кроме того, Россия как государство не имеет подобного типового документа. Наиболее близким по идее можно назвать "Доктрину информационной безопасности РФ", однако, на мой взгляд, она носит слишком общий характер.
     В связи с этим для разработки политики информационной безопасности целесообразно использовать зарубежный опыт. Наиболее детально этот аспект проработан в "Общих критериях оценки безопасности информационных технологий", версия 2.0 от 22 мая 1998 г. Британского стандарта BS7799:1995. В нем рекомендуется включать в документ, характеризующий политику информационной безопасности организации, следующие пункты:
     -   вводный, подтверждающий заинтересованность высшего руководства проблемами информационной безопасности;
     -  организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
     - классификационный, описывающий имеющиеся на предприятии материальные и информационные ресурсы и необходимый уровень их защиты;
     -   штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения, порядок реагирования на нарушение режима и т.д.);
     -   раздел, освещающий вопросы физической защиты информации;
     -   раздел управления, описывающий подход к управлению компьютерами и сетями передачи данных;
     -   раздел, описывающий правила разграничения доступа к производственной информации;
     -   раздел, описывающий порядок разработки и внедрения систем;
     -   раздел, описывающий меры, направленные на обеспечение непрерывной работы организации (доступности информации);
     - юридический раздел, подтверждающий соответствие политики информационной безопасности текущему законодательству.
      	Начать составление политики следует с анализа рисков. Анализ рисков состоит из двух основных этапов: инвентаризация и классификация информационных ресурсов, чем полнее будет произведен анализ, тем эффективнее будет документ. Анализу подвергаются все основные ресурсы, включая материальную базу и человеческие ресурсы. Политика безопасности строится в соответствии со спецификой предприятия и законодательной базой государства.
     
     Цели политики информационной безопасности
     
     Основными целями политики информационной безопасности является:
     1. обеспечение сохранности, целостности информационных ресурсов и предоставление доступа к ним в строгом соответствии с установленными приоритетами и правилами разграничения доступа;
     2. обеспечение защиты подсистем, задач и технологических процессов, от угроз информационной безопасности, описанных выше в настоящем документе;
     3. обеспечение защиты управляющей информации от угроз информационной безопасности, описанных выше в настоящем документе;
     4. обеспечение защиты каналов связи от угроз со стороны каналов связи.
     Основой создания подсистемы информационной безопасности (ПИБ) является политика информационной безопасности.
     Политика информационной безопасности должна представлять совокупность требований, правил, положений и принятых решений, определяющих:
     1. порядок доступа к информационным ресурсам;
     2. необходимый уровень (класс и категорию) защищенности объектов информатизации;
     3. организацию защиты информации в целом;
     4. дополнительные требования по защите отдельных компонент;
     5. основные направления и способы защиты информации.
     Политика информационной безопасности направлена на обеспечение:
     конфиденциальности (секретности) информации, циркулирующей в системе, субъективно определяемой характеристике информации, указывающей на необходимость введения ограничений на круг субъектов информационных отношений, имеющих доступ к данной информации, и обеспечиваемую способность среды обработки сохранять информацию в тайне от субъектов, не имеющих полномочий на доступ к ней;
     целостности информации и среды её обработки, то есть предотвращение несанкционированной модификации, реконфигурации или уничтожения информации, программных средств её обработки, а также предотвращения несанкционированного изменения структуры и её объектов информатизации;
     доступности информации, то есть способности информационной среды, средств и технологий обработки информации обеспечить санкционированный доступ субъектов к информации, программным и аппаратным средствам.
     Защите подлежит принимаемая/передаваемая, обрабатываемая и хранимая информация содержащая:
     * сведения, предназначенные для предоставления средствам массовой информации;
     * иные сведения, не составляющую служебную тайну;
     * сведения, составляющие конфиденциальную, служебную тайну, доступ к которым ограничен собственником информации, в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» и постановлениями Правительства Российской Федерации «Об утверждении Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от её утечки по техническим каналам» и «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
     * сведения, составляющие коммерческую тайну, доступ к которой ограничен в соответствии с правами, предоставленными Федеральным законом «Об информации, информационных технологиях и о защите информации», и целями Организации;
     * сведения о частной жизни граждан (персональные данные), доступ к которым ограничен законодательством.
     Обеспечение защиты открытой информации осуществляется организационными мерами, средствами сетевого и телекоммуникационного оборудования, а также стандартными средствами общего программного обеспечения (операционных систем, СУБД).
     Первым шагом на пути обеспечения информационной безопасности является разработка политики информационной безопасности.


     Разработка политики информационной безопасности
     
     Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. 
     Основные направления разработки политики безопасности:
     * определение объема и требуемого уровня защиты данных; 
     * определение ролей субъектов информационных отношений. 
     Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений: 
     * основные положения информационной безопасности организации; 
     * область применения политики безопасности; 
     * цели и задачи обеспечения информационной безопасности организации; 
     * распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности. 
     Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы. При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите. В состав автоматизированной информационной системы входят следующие компоненты:
     * аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.;
     * программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;
     * данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.; 
     * персонал – обслуживающий персонал и пользователи. 
     Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д. Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью. С точки зрения обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям): 
     * специалист по информационной безопасности; 
     * владелец информации; 
     * поставщики аппаратного и программного обеспечения;
      * менеджер отдела;
      * операторы;
      * аудиторы. 
     В зависимости от размеров организации, степени развитости ее информационной системы, некоторые из перечисленных ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом. Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т. д.). Владелец информации – лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случае именно владелец информации может определить ее ценность и конфиденциальность. Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах. Администратор сети – лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности. Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются. Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии. Аудиторы – внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.
     
     Основные требования к политикам безопасности
     
     В идеале политика безопасности должна быть реалистичной и выполнимой, краткой и понятной, а также не приводить к существенному снижению общей производительности подразделений организации. Она должна содержать основные цели и задачи организации режима информационной безопасности, четко описывать области действия, а также указывать на контактные лица и их обязанности. Как только политика утверждена, она должна быть предоставлена сотрудникам компании для ознакомления. Наконец, политики безопасности должны пересматриваться раз в 1-3 года, чтобы отразить текущие изменения в развитии бизнеса.
     
     1.5. Стандартизация в области разработки политики информационной безопасности
     
     В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасностью в компаниях и организациях. Это, прежде всего, международные стандарты BS ISO/IEC 27001:2005 и BS ISO/IEC 27002:2005, ISO/IEC 15408, ISO/IEC TR 13335, германский стандарт BSI, стандарты NIST США серии 800, стандарты и библиотеки COBIT 4.1,ITIL V3, SOX, SAC, COSO, SAS 78/94 и некоторые другие, аналогичные им. Рассмотрим как появление новых стандартов отобразилось на развитии нормативной базы по защите конфиденциальной информации в России, какие нормативные документы (политики, стандарты, процедуры) стали востребованы в отечественных компаниях. 
     
     Стандарты BS ISO/IEC 27002:2005 и BS ISO/IEC 27001:2005
     
     В настоящее время международный стандарт BS ISO/IEC 27002:2005 (BS 7799-1:2005) «Практические рекомендации по управлению информационной безопасностью – Информационные технологии» (Information technology – Security techniques – Code of practice for Information security management) является наиболее известным стандартом в области защиты информации.
     Данный стандарт был разработан на основе первой части британского стандарта BS7799-1:2005 и относится к новому поколению стандартов информационной безопасности.
     Текущая версия стандарта ISO/IEC 27002:2005 (BS 7799-1:2005) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
     ? необходимость обеспечения информационной безопасности;
     ? основные понятия и определения информационной безопасности;
     ? политика информационной безопасности компании;
     ? организация информационной безопасности на предприятии;
     ? управление корпоративными информационными активами;
     ? кадровый менеджмент и информационная безопасность;
     ? физическая безопасность;
     ? администрирование безопасности корпоративных информационных систем;
     ? управление доступом;
     ? требования по безопасности к корпоративным информационным системам в ходе их
     разработки, эксплуатации и сопровождения;
     ? управление инцидентами информационной безопасности;
     ? управление непрерывностью бизнеса;
     ? соответствие требованиям законодательства.
     Стандарт ISO/IEC 27001:2005 (BS 7799-2:2005)  разработан на основе второй части британского стандарта BS 7799-2:2005 и определяет возможные функциональные спецификации (контроли) корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта.
     В соответствии.......................
Для получения полной версии работы нажмите на кнопку "Узнать цену"
Узнать цену Каталог работ

Похожие работы:

Отзывы

Очень удобно то, что делают все "под ключ". Это лучшие репетиторы, которые помогут во всех учебных вопросах.

Далее
Узнать цену Вашем городе
Выбор города
Принимаем к оплате
Информация
Наши преимущества:

Экспресс сроки (возможен экспресс-заказ за 1 сутки)
Учет всех пожеланий и требований каждого клиента
Онлай работа по всей России

Сотрудничество с компаниями-партнерами

Предлагаем сотрудничество агентствам.
Если Вы не справляетесь с потоком заявок, предлагаем часть из них передавать на аутсорсинг по оптовым ценам. Оперативность, качество и индивидуальный подход гарантируются.