МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА”

Кафедра захисту інформації

Самостійна робота

з курсу “Ліцензування, атестація та сертифікація у сфері безпеки об’єктів інформаційної діяльності”

на тему “Аудит інформаційної безпеки підприємства

“Solar Systems” ”

Виконав: ст. гр. СТЗм-22

Ребець А. І.

Перевірив: д.т.н., професор

Ромака В. А.

Самостійна робота захищена з оцінкою _______ ( ____ ) _____ Ромака В. А.

Оцінка Бали Підпис

Львів 2015

ЗМІСТ

Y

ВСТУП 5

РОЗДІЛ 1. ОПИС ПІДПРИЄМСТВА 6

1.1. Короткий опис підприємства 6

1.2. Системи життєзабезпечення підприємства 7

1.3. Опис приміщень підприємства 10

1.4. Функції, права та обов’язки персоналу 12

1.5. Бізнес-процес підприємства 25

1.6. Ідентифікація інформаційних активів 28

РОЗДІЛ 2. РОЗРОБЛЕННЯ МЕТОДИКИ ОЦІНЮВАННЯ РИЗИКІВ 29

2.1. Методика оцінювання ризиків 29

2.2. Класифікація джерел загроз 29

2.3. Ранжування джерел загроз 30

РОЗДІЛ 3. ОЦІНЮВАННЯ РИЗИКІВ 31

3.1. Встановлення критерію прийняття ризику 42

РОЗДІЛ 4. ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 42

4.1. Загальні положення 42

4.1.1. Мета і призначення 42

4.1.2. Область застосування 42

4.1.3. Відповідальність 43

4.2. Вимоги і рекомендації 43

4.2.2. Контроль доступу до інформаційних систем 43

4.2.3. Захист обладнання 44

4.2.4. Повідомлення про інциденти інформаційної безпеки, реагування і звітність 45

4.2.5. Управління мережею 45

4.2.6. Використання паролів 46

4.2.7. Розробка систем і управління внесенням змін 46

РОЗДІЛ 5. ОПРАЦЮВАННЯ РИЗИКІВ 47

5.1. Опрацювання ризиків 47

ВИСНОВОК 56

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 57

ВСТУП

Актуальність проблеми інформаційної безпеки сьогодні не викликає сумнівів. Успіх сучасної компанії і їх розвиток в умовах гострої конкуренції в значній мірі залежать від застосування інформаційних технологій, а отже, від ступеня забезпечення інформаційної безпеки.

Будь-яке підприємство має в своєму розпорядженні різні види інформації, які представляють інтерес для зловмисників. Перш все, це комерційні дані, інформація, що є інтелектуальною власністю підприємства та конфіденційні дані, які є інформаційними активами організації, втрата яких призведе до збитку чи навіть банкрутства організації. Наявність інформаційних активів, а також загроз їхній цілісності, доступності та конфіденційності породжує ризики інформаційної безпеки, які вимагають належного оцінювання та обробки. Це досягається розробкою та впровадженням систем менеджменту інформаційної безпеки згідно з вимогами міжнародного стандарту, зокрема серією ISO 27000.

Слід зазначити, що сьогодні відомо безліч методик і алгоритмів оцінювання збитку інформаційній системі підприємства, які були успішно використані для вирішення багатьох завдань, що виникають при аудиті та обстеженні інформаційних систем. Проте зростає актуальність дослідження методик і алгоритмів виявлення і оцінки величини збитків інформаційної безпеки, які може понести організація.

РОЗДІЛ 1. ОПИС ПІДПРИЄМСТВА