- •Глава I. Обзор стандортов и подходов в области
- •Глава II. Анализ информационных
- •Глава III. Проект системы конденциальной информации…41
- •Введение.
- •Глава I. Обзор стандортов и подходов в области информационной безопастности.
- •1.1 Стандарт гост р исо/мэк 17799-2005.
- •1.2 Стандарт гост р исо/мэк 27001-2006.
- •1.3 Стандарт сто бр иббс-1.0-2008
- •1.4. Стандарт bs 7799-3:2006.
- •1.5. Обзор моделей построения информационных рисков.
- •Глава II. Анализ информационных рисков чп зао «лиса»
- •2.1 Информационная сеть и оборудование центрального офиса.
- •2.2 Информационная сеть и оборудование абк асу.
- •2.3 Информационная сеть и оборудование лаборатории физико – механических испытаний. Чп зао «Лиса».
- •2.4. Оценка рисков.
- •2.5 Анализ информационных рисков.
- •Глава III. Проект системы конденциальной информации.
- •3.1 Проект по изменению информационной сети Центрального офиса.
- •3.2 Проект по изменению информационной сети абк асу.
- •3.3 Проект по изменению информационной сети лаборатории физико - механических испытаний.
- •3.4 Система цифровых сертификатов.
- •3.5 Организационные меры по защите информации.
- •3.6. Внедрение системы защиты конфиденциальной информации в чп зао «Лиса»
- •3.7 Выводы.
- •Заключение.
- •Библиография
Глава I. Обзор стандортов и подходов в области информационной безопастности.
На сегодняшний день существует множество стандартов, которые устанавливают рекомендации по управлению информационной безопасностью. В данной главе представлен анализ нескольких стандартов дающих представление об обеспечение общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации. Среди них есть как международные, так и государственные стандарты Российской федерации. Целью данного анализа является выбор стандарта наиболее подходящего для разработки проекта системы защиты информации в организации ЧП ЗАО «Лиса».
1.1 Стандарт гост р исо/мэк 17799-2005.
Практические правила управления информационной безопасностью. Данный стандарт является национальным стандартом Российской Федерации и он идентичен международному стандарту ISO/IEC 17799:2000.
Настоящий стандарт устанавливает рекомендации по управлению информационно безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации.
Данный стандарт оперирует следующими понятиями, которые непосредственно связаны с осуществлением процесса управления информационной безопасностью, а так же дает их определения: информационная безопасность, конфиденциальность, целостность, доступность, оценка рисков, управление рисками.
Данный стандарт включает в себя двенадцать разделов:
Область применения
Термины и определения
Политика безопасности
Организационные вопросы безопасности
Классификация и управление активами
Вопросы безопасности, связанные с персоналом
Физическая защита и защита от воздействий окружающей среды
Управление передачей данных и операционной деятельностью
Контроль доступа
Разработка и обслуживание систем
Управление непрерывностью бизнеса
Соответствие требованиям
В разделах стандарта рассматриваются аспекты, которые необходимо учитывать при составлении проекта системы защиты информации.
Политика безопасности. Включает в себя информацию об обязательном документальном оформление и утверждение политики информационной безопасности предприятия, а так же обязательное назначение ответственного за политику безопасности должностного лица. Цель данного раздела: Обеспечение решения вопросов информационной безопасности и вовлечение высшего руководства организации в данный процесс.
Организационные вопросы безопасности. Содержит информацию об организационных вопросах безопасности и необходимости создания управляющих советов с участием высшего руководств. Это позволяет создать четко отлаженную структуру управления ИБ в организации. В раздел включены вопросы координация вопросов безопасности, распределение обязанностей и регламентируется процесс получения разрешения на использование средств обработки информации. Так же в данном разделе используется понятие аудита, закрепляется процесс проведения независимой проверки документа о политике ИБ с целью выявления, что данная политика в организации осуществляется и является эффективной.
Классификация и управление активами. Вводит обязательные учет и защиту активов организации. Рассматривается инвентаризация активов, классификация информации и основные принципы классификации, маркировка и обработка информации.
Вопросы безопасности, связанные с персоналом. Включает в себя вопросы, связанные с важностью правильного подбора персонала для управления ИБ. Рассматривается проверка кандидатов на работу. Используется такое понятие, как соглашение о конфиденциальности или соглашение о неразглашении, которое составляется на этапе заключение трудового договора с работником. Указывается необходимость на включение вопросов информационной безопасности в должностные обязанности. Согласно данному разделу, все сотрудники, если есть в том необходимость, должны проходить соответствующее обучение. Также данный раздел закрепляет за собой такие пункты, как: реагирование на инциденты нарушения информационной безопасности и информирование обо всех возникающих проблемах связанных с информационной безопасностью.
Физическая защита и защита от воздействий окружающей среды. Рассматривает вопросы физической защиты и защиты от воздействий окружающей среды. Включает рекомендации в отношении предотвращении неавторизованного доступа и повреждений помещений и информации организации.
Управление передачей данных и операционной деятельностью. В данном разделе закрепляется необходимость документального оформления операционных процедур. Описывается необходимость разграничения обязанностей, сред разработки и промышленной эксплуатации, а так же планирование нагрузки на системы информации. Так же затрагивается вопрос об обязательной защите программного обеспечения от вредоносных программ и резервировании информации.
Контроль доступа. Рассматривается такое понятие как контроль доступа, что является неотъемлемой частью процесса управления информационно безопасностью. Уделяется внимание вопросам политики логического доступа к информации, контроля в отношении доступа пользователей, управления привилегиями, а также контроля в отношении паролей пользователей. Рассматриваются ситуации с возможностью аутентификации пользователей в случае внешних соединений.
Разработка и обслуживание систем. Обращает внимание на корректность входных данных для прикладных систем. В разделе 10 используются такие понятия как: аутентификация, криптография, шифрование и цифровые подписи. Также содержит информацию о криптографических мерах защиты информации.
Управление непрерывностью бизнеса. Вводит такое понятие как непрерывность бизнеса. Ее необходимо обеспечивать с целью минимизации потерь, которые могут быть связаны с отказом оборудования, природными бедствиями и т. д. Данный процесс так же нуждается в управлении.
Соответствие требованиям. Рассматривает необходимость должного подхода к вопросам соответствия требованиям законодательства, права на интеллектуальную собственность, защиты данных и конфиденциальность персональной информации в организации. [2]