- •Тема: Информационная безопасность предприятия
- •Информационная безопасность предприятия. Понятийный аппарат. Коммерческая тайна.
- •Многоуровневая модель объектов информационной безопасности
- •Основные методы и направления обеспечения информационной безопасности бизнеса. Управление доступом.
- •Жизненный цикл информационных систем. Основные стадии и этапы разработки ис и их содержание
- •Создание политики безопасности и Разработка концепции информационной безопасности.
- •Деловая (конкурентная) разведка. Функции. Цикл. Этика. Бенчмаркинг. Международный опыт. Международные ресурсы.
- •1) Модель процесса бизнес-разведки Эштона и Стейси.
- •2) Модель процесса 4с
- •3) Модель кр, разработанная scip
- •Компьютерная безопасность как составной элемент безопасности бизнеса.
- •Аудит информационной безопасности
- •Системы анализа it-безопасности и управления рисками
- •Правовая защита интеллектуальной собственности
- •Глава 42. Меры по защите прав на объекты интеллектуальной собственности
Жизненный цикл информационных систем. Основные стадии и этапы разработки ис и их содержание
Жизненный цикл — период создания и использования информационной системы, охватывающий её различные состояния, начиная с момента возникновения необходимости в данной информационной системе и заканчивая моментом ее полного выхода из эксплуатации.
Жизненный цикл заканчивается, как правило, не в результате физического износа информационной системы, а в результате морального устаревания.
В жизненном цикле выделяют следующие стадии:
1. Предпроектное обследование (Сбор материалов для проектирования и Анализ материалов и разработка документации)
2. Проектирование
- предварительное проектирование: выбор проектных решений по всем аспектам разработки информационной системы; описание всех компонентов информационной системы; оформление и утверждение технического проекта.
- детальное проектирование: выбор и разработка математических методов и алгоритмов программ; корректировка структур баз данных; создание документации на поставку и установку программных продуктов; выбор комплекса технических средств информационной системы; создание документации на поставку и установку технических средств; разработка технорабочего проекта информационной системы.
3. Разработка информационной системы (получение и установка технических средств; разработка, тестирование и доводка программ; получение и установка программных средств; разработка инструкций по эксплуатации программного обеспечения, технических средств, должностных инструкций для персонала).
4. Ввод информационной системы в эксплуатацию (ввод в опытную эксплуатацию технических средств; ввод в опытную эксплуатацию программных средств; обучение и сертифицирование персонала; проведение опытной эксплуатации всех компонентов и системы в целом; сдача в эксплуатацию и подписание актов приемки-сдачи работ).
5. Эксплуатация информационной системы (повседневная эксплуатация; сопровождение программных, технических средств и всего проекта).
Создание политики безопасности и Разработка концепции информационной безопасности.
Политика безопасности — это совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.
При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
невозможность миновать защитные средства;
усиление самого слабого звена;
невозможность перехода в небезопасное состояние;
минимизация привилегий;
разделение обязанностей;
эшелонированность обороны;
разнообразие защитных средств;
простота и управляемость информационной системы;
обеспечение всеобщей поддержки мер безопасности.
Этапы построения организационной политики безопасности:
— внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;
— определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.
Перечень требований к системе информационной безопас-ности, эскизный проект, план защиты (далее — техническая документация), содержит набор требований безопасности ин-формационной среды объекта, которые могут ссылаться на соответствующий профиль защиты, а так лее содержать тре-бования, сформулированные в явном виде.
____
Концепция — руководящая идея (система конструктивных принципов, способ понимания, ведущий замысел).
При формировании и реализации полноценной концепции безопасности руководитель предприятия (или начальник службы безопасности) должен провести анализ штатной структуры фирмы, определить приоритетность своих сотрудников в зависимости от их ценности для предприятия: квалификации, взаимозаменяемости, степени осведомленности о деятельности организации, личного вклада в общее дело, перспективности, доступа к финансам, материальным и интеллектуальным ценностям.
В ходе разработки мер защиты информации следует учитывать, что разработчики концепции совместно с руководителем предприятия должны определить: - какая информация подлежит обязательной защите в соответствии с действующим законодательством; - какая информация является коммерческой тайной и имеет право на защиту; - кто и при каких обстоятельствах имеет право доступа к перечисленным видам информации.
При анализе следует учитывать информацию, хранящуюся как на бумажных носителях, так и в электронном виде.
В концепции должны быть предусмотрены способы защиты от реальных угроз, в том числе:
- организационные (административные, экономические, юридические);
- технические (установка охранно-пожарной сигнализации, использование систем контроля и управления доступом, применение технических средств защиты информации, внедрение интегрированных систем безопасности);
- физические (работа сторожей и контролеров, телохранителей и инкассаторов, служебных собак);
- оперативные (использование оперативных методов работы, оперативно-технических средств, например «полиграфа» для входного контроля и периодической проверки лояльности персонала).
Концепция обязательно должна содержать объективную оценку рентабельности системы безопасности в условиях реально прогнозируемых угроз.