- •Обеспечение организации системы безопасности предприятия
- •090905.51 "Организация и технология защиты информации"
- •Введение
- •1 Нормативные ссылки
- •2 Требования к курсовой работе
- •3 Методика разработки документации по защите информации
- •3.1 Основные понятия методологии защиты информации в организациях различных форм собственности
- •3.2 Анализ объекта управления. Анализ задачи
- •3.3 Разработка документации необходимой для осуществления деятельности по защите информации на рассматриваемом предприятии
- •• Разработать концепцию обеспечения безопасности информации в автоматизированной системе организации;
- •• Определить требования по защите (категорировании) ресурсов автоматизированной системы организации;
- •Тематика курсовой работы
- •Общие требования к оформлению курсовой работы.
- •Список использованных источников и литературы
- •Нормативно-правовые акты:
- •Ссылки и сноски
- •Приложение б
- •Образец Гриф секретности
- •Положение о локальной вычислительной сети организации
- •1.1. Основные термины
- •1.2. Назначение лвс аппарата организации
- •1.3. Структура лвс организации
- •1. Общие положения
- •2. Охраняемые сведения
- •3. Технические каналы утечки информации, несанкционированного доступа и специальных воздействий на нее
- •4. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •5. Обязанности и права должностных лиц
- •6. Аттестование рабочих мест
- •Инструкция по организации антивирусной защиты в ас организации
- •Применение средств антивирусного контроля
- •Ответственность
- •Обязанности администратора информационной безопасности (ответственного за обеспечение безопасности информации) в подразделении организации
- •1. Общие положения
- •2. Обязанности администратора информационной безопасности
- •3. Права администратора информационной безопасности
- •4. Ответственность администратора информационной безопасности
3.2 Анализ объекта управления. Анализ задачи
В соответствии с целями курсового проекта должны быть разработаны руководящие, нормативные и методические документы, необходимые для осуществления деятельности по организационной защите информации на рассматриваемом предприятии.
Реализацию целесообразно начать с анализа объекта, с анализа задачи.
В результате анализа можно определить:
организационную структуру исследуемого предприятия, исследовать системы обработки информации, информационные потоки, изучить нормативно-правовые документы;
3.3 Разработка документации необходимой для осуществления деятельности по защите информации на рассматриваемом предприятии
При разработке мероприятий по организации защиты информации для организаций различных форм собственности в зависимости от многих факторов составляется большое количество нормативно-правовых документов. В работе в обязательном порядке предлагается разработать следующий перечень:
• разработать основные положения технологии управления информационной безопасностью рассматриваемой организации;
• Разработать концепцию обеспечения безопасности информации в автоматизированной системе организации;
• Определить требования по защите (категорировании) ресурсов автоматизированной системы организации;
• разработать инструкции по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ас организации, по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы организации.
Основные положения технологии управления информационной безопасностью организации включают следующие вопросы:
Типовые недостатки систем обеспечения информационной безопасности организации.
Технологию управления информационной безопасностью.
Структуру типовой нормативно-правовой базы организации.
Распределение функций подразделений по ОБИ В АС организации. Взаимодействие ОЗИ СБ и подразделений организации по вопросам ОБИ В АС.
Концепция обеспечения безопасности информации в автоматизированной системе Организации является основным документом, определяет систему взглядов на проблему обеспечения безопасности информации в АС ОРГАНИЗАЦИИ, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС ОРГАНИЗАЦИИ.
Законодательной основой Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указа, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), а также нормативно - методические материалы и организационно - распорядительными документы ОРГАНИЗАЦИИ отражающие вопросы обеспечения информационной безопасности в автоматизированных системах.
Основные положения и требования Концепции распространяются на все структурные подразделения ОРГАНИЗАЦИИ, в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, коммерческую, служебную тайну или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС ОРГАНИЗАЦИИ. Основные положения Концепции могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействующие с АС ОРГАНИЗАЦИИ в качестве поставщиков и потребителей (пользователей) информации АС ОРГАНИЗАЦИИ.
Концепция является методологической основой для:
• формирования и проведения единой политики в области обеспечения безопасности информации в АС ОРГАНИЗАЦИИ;
• принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
• координации деятельности структурных подразделений ОРГАНИЗАЦИИ при проведении работ по созданию, развитию и эксплуатации АС ОРГАНИЗАЦИИ с соблюдением требований обеспечения безопасности информации;
• разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации АС ОРГАНИЗАЦИИ.
Концепция не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов АС, защиты от стихийных бедствий, сбоев в системе энергоснабжения, а также меры по обеспечению личной безопасности персонала и клиентов ОРГАНИЗАЦИИ. Однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности ОРГАНИЗАЦИИ в целом (имущественная, физическая и т.д.). Это позволяет не только принципиально, но и практически сопрягать их, оптимизируя затраты на построение такой системы.
Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы защиты информации и процессов ее обработки в АС с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты.
При разработке Концепции учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.
Основные положения Концепция базируются на качественном осмыслении вопросов безопасности информации и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.
В концепции описываются объекты защиты, цели и задачи обеспечения безопасности информации, основные угрозы безопасности информации АС организации, основные положения технической политики в области обеспечения безопасности информации АС организации, основные принципы построения системы комплексной защиты информации, меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов, первоочередные мероприятия по обеспечению безопасности информации АС организации.
Формы инструкций по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ас организации, по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированной системы организации приведены в приложении Г.