Проектирование системы комплексной безопасности информационных систем и баз данных для ООО "Торговый Дом ЛФЗ"
Организационно-функциональная структура предприятия. Оценка уязвимостей активов. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 07.06.2013 |
| Размер файла | 3,9 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
100
Угрозы, обусловленные естественными причинами
0,1
Почтовый сервер
Угрозы, обусловленные преднамеренными действиями
10
Угрозы, обусловленные случайными действиями
10
Угрозы, обусловленные естественными причинами
0,001
Оборудование для обеспечения связи
Угрозы, обусловленные преднамеренными действиями
1
Угрозы, обусловленные случайными действиями
1
Угрозы, обусловленные естественными причинами
0,001
Учетная Система
Угрозы, обусловленные преднамеренными действиями
100
Угрозы, обусловленные случайными действиями
10
Угрозы, обусловленные естественными причинами
0,001
Windows 7
Угрозы, обусловленные преднамеренными действиями
10
Угрозы, обусловленные случайными действиями
1
Угрозы, обусловленные естественными причинами
0,001
Суммарная величина потерь
1754,304
3.2. Расчёт экономической эффективности
Для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные :
· расходы на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
· величины потерь, обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;
Данные о содержании и объеме разового ресурса, выделяемого на защиту информации представлены в таблице 3.2.1.
Данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации представлены в таблице 3.2.2.
Таблица 3.2.1 Содержание и объем разового ресурса, выделяемого на защиту информации
|
Организационные мероприятия |
|||||
|
№ п\п |
Выполняемые действия |
Среднечасовая зарплата специалиста (руб.) |
Трудоемкость операции (чел.час) |
Стоимость (тыс.руб.) |
|
|
1 |
Установка и настройка системы контроля управления доступом |
300 |
80 |
21,000 |
|
|
2 |
Установка и настройка программного обеспечения на сервер и рабочие станции |
300 |
90 |
25,000 |
|
|
Стоимость проведения организационных мероприятий, всего |
46,000 |
||||
|
Мероприятия инженерно-технической защиты |
|||||
|
№ п/п |
Номенклатура ПиАСИБ, расходных материалов |
Стоимость, единицы (тыс.руб.) |
Кол-во (ед.измер.) |
Стоимость (тыс.руб.) |
|
|
1 |
Программное обеспечение Handy Backup Office Expert |
6,400 |
1 |
5,400 |
|
|
2 |
Программное обеспечение DeviceLock |
13,000 |
1 |
11,000 |
|
|
3 |
Средство криптографической защиты информации КриптоПРО eToken CSP |
2,100 |
30 |
61,000 |
|
|
4 |
Антивирусное программное обеспечение Antivirus Kaspersky |
12,000 |
1 |
10,000 |
|
|
Стоимость проведения технических мероприятий защиты |
87,400 |
||||
|
Объем разового ресурса, выделяемого на защиту информации |
122,400 |
Таблица 3.2.2 Содержание и объем постоянного ресурса, выделяемого на защиту информации
|
Организационные мероприятия |
|||||
|
№ п\п |
Выполняемые действия |
Среднечасовая зарплата специалиста (руб.) |
Трудоемкость операции (чел.час) |
Стоимость (тыс.руб.) |
|
|
1 |
поддержка программах средств информационной защиты |
150 |
250 |
34,500 |
|
|
Стоимость проведения организационных мероприятий, всего |
34,500 |
||||
|
Мероприятия инженерно-технической защиты |
|||||
|
№ п/п |
Номенклатура ПиАСИБ, расходных материалов |
Стоимость, единицы (тыс.руб.) |
Кол-во (ед.измер.) |
Стоимость (тыс.руб.) |
|
|
Стоимость проведения мероприятий инженерно-технической защиты |
0 |
||||
|
Объем постоянного ресурса, выделяемого на защиту информации |
34,500 |
Данные о содержании и объеме разового ресурса, выделяемого на защиту информации представлены в таблице 3.2.1.
Данные о содержании и объеме постоянного ресурса , выделяемого на защиту информации представлены в таблице 3.2.2.
Определим уровень потерь для критичных информационных ресурсов после внедрения системы защиты информации. Результаты представлены в таблице 3.2.3.
Таблица 3.2.3 Величина потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации
|
Актив |
Угроза |
Величина потерь (тыс.руб.) |
|
|
Персональные данные о сотрудниках |
Угрозы, обусловленные преднамеренными действиями |
10 |
|
|
Угрозы, обусловленные случайными действиями |
10 |
||
|
Угрозы, обусловленные естественными причинами |
0,1 |
||
|
Кадровый учет |
Угрозы, обусловленные преднамеренными действиями |
10 |
|
|
Угрозы, обусловленные случайными действиями |
10 |
||
|
Угрозы, обусловленные естественными причинами |
0,1 |
||
|
Персональные компьютеры |
Угрозы, обусловленные преднамеренными действиями |
1 |
|
|
Угрозы, обусловленные случайными действиями |
1 |
||
|
Угрозы, обусловленные естественными причинами |
1 |
||
|
Сервер баз данных |
Угрозы, обусловленные преднамеренными действиями |
10 |
|
|
Угрозы, обусловленные случайными действиями |
1 |
||
|
Угрозы, обусловленные естественными причинами |
0,1 |
||
|
Почтовый сервер |
Угрозы, обусловленные преднамеренными действиями |
0,1 |
|
|
Угрозы, обусловленные случайными действиями |
0,1 |
||
|
Угрозы, обусловленные естественными причинами |
0,001 |
||
|
Оборудование для обеспечения связи |
Угрозы, обусловленные преднамеренными действиями |
1 |
|
|
Угрозы, обусловленные случайными действиями |
0,1 |
||
|
Угрозы, обусловленные естественными причинами |
0,0001 |
||
|
Учетная Система |
Угрозы, обусловленные преднамеренными действиями |
10 |
|
|
Угрозы, обусловленные случайными действиями |
1 |
||
|
Угрозы, обусловленные естественными причинами |
0,001 |
||
|
Windows 7 |
Угрозы, обусловленные преднамеренными действиями |
10 |
|
|
Угрозы, обусловленные случайными действиями |
1 |
||
|
Угрозы, обусловленные естественными причинами |
0,001 |
||
|
Суммарная величина потерь |
77,6031 |
Оценим динамику величин потерь за период 2 года.
1. Суммарное значение ресурса (R?), выделенного на защиту информации за год составило 122,400+34,500*12=583,400 тыс.рублей.
2. Объем среднегодовых потерь организации (Rср) из-за инцидентов информационной безопасности составлял 1754,304 тыс.рублей.
3. Прогнозируемый ежегодный объем потерь (Rпрогн) составит 77,6031
Динамика потерь представлена в таблице 3.2.4.
Таблица 3.2.4 Оценка динамики величин потерь
|
1 кв. |
2 кв. |
3 кв. |
1 год |
1 кв. |
2 кв. |
3 кв. |
2 год |
||
|
До внедрения СЗИ |
425,526 |
867,162 |
1215,728 |
1654,304 |
2292,88 |
2731,456 |
3270,032 |
3708,608 |
|
|
После внедрения СЗИ |
19,401 |
38,8015 |
58,2023 |
77,6031 |
97,0038 |
116,4047 |
135,8054 |
155,2062 |
|
|
Снижение потерь |
419,1752 |
838,3505 |
1257,526 |
1676,701 |
2095,876 |
2515,051 |
2934,227 |
3353,402 |
После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации определим срок окупаемости системы (Ток).
Ток = R? / (Rср - Rпрогн)
Ток = 583,400/(1754,304-77,6031) 0,34 года
График представлен на рисунке 3.2.1.
Рисунок 3.2.1 Динамика потерь
С помощью проведенных расчетов выявлено, что срок окупаемости составил 4 месяца.
ЗАКЛЮЧЕНИЕ
Защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему кроме методов, средств и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации. При этом защита не должна представлять собой что-то статичное, а являться непрерывным процессом. Но данный процесс не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность, по определению, включает в себя процесс, цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.
Основной целью дипломного проектирования была разработка организационно-технических решений по обеспечению защиты информации.
Организационная защита информации -- это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
В процессе написания диплома была разработана комплексная политика безопасности, отражающая подход организации к защите своих информационных активов.
Инженерно-технические мероприятия представляют собой совокупность специальных технических средств и их использование для защиты информации.
Итоговой целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.
В процессе работы было решено принять следующие
организационно - технические меры по обеспечению защиты информации:
· Разработка политики информационной безопасности организации. Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Целью разработки политики организации в области информационной безопасности является определение правильного способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности
· Использование антивирусных программ - позволяет защитить компьютер от вредоносных программ.
· Организация резервного копирования - является одним из важных средств защиты, так как позволяет создавать резервные копии , предназначенные для восстановления данных в случае их повреждения или разрушения.
· Организация управления доступа к устройствам - является одним из наиболее важных средств защиты информации от утечки.
· Введение криптографических средств. Является единственно надежным способом шифрования. Применяются для обработки, хранения и передачи информации на носителях и по сетям связи. Защиты информации в итоге сводятся к обеспечению конфиденциальности информации и защите информации в компьютерных системах в процессе передачи информации по сети между пользователями системы.
СПИСОК ЛИТЕРАТУРЫ
1. Информационная безопасность: Учебное пособие для вузов. - Ярочкин В.И. - М: Академический Проект, Гаудеамус, 2-е изд. - 2004. - 544 с.
2. Безопасность программного обеспечения компьютерных систем. Казарин О.В. Монография. - М.: МГУЛ, 2003. - 212 с.
3. Основы информационной безопасности. Учебное пособие для вузов. Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. - М: Горячая линия - Телеком, 2006. - 544 с.
4. Технические средства и методы защиты информации: Учебник для вузов. Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др., под ред. А.П. Зайцева и А.А.Шелупанова. - М.: ООО «Издательство Машиностроение», 2009 - 508 с.
5. Информационная безопасность и защита информации: учеб. Пособие для студ. Высш. Учеб. Заведений, Мельников В.П., Клейменов С.А., Петраков А.М., под. Ред. Клеменова С.А.. 3-е изд., стер. - М.: Издательский центр « Академия», 2008. -336с.
6. Основы информационной безопасности Курс лекций Учебное пособие , Издание второе, исправленное . Галатенко В А Под редакцией члена-корреспондента РАН В Б Бетелина - М: ИНТУИТРУ «Интернет-университет Информационных Технологий», 2004 -264 с
7. Федеральный закон от 27 июля 2006 года №152 - ФЗ «О персональных данных».
8. Разработка правил информационной безопасности.: Пер. с англ. - Бармен Скотт, - М.: Издательский дом «Вильямс», 2002. - 208 с.
Приложение№1
ООО «Торговый Дом ЛФЗ»
УТВЕРЖДЕНО
Приказом_________
№___ от "__" _____ 2012г.
___________ (______________)
ПРОЕКТИРОВАНИЕ СИСТЕМЫ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ И БАЗ ДАННЫХ
1 Общие положения
1.1 Область применения
Настоящая Политика охватывает всю информацию в электронном виде и на материальных носителях, создаваемую, получаемую, передаваемую, хранимую и обрабатываемую с использованием информационных систем, а также сами системы, владельцем и пользователем которых является ООО «Торговый Дом ЛФЗ»
(далее -- Организация) и другие активы, необходимые для достижения основных бизнес-целей. Положения настоящей Политики относятся ко всему штатному персоналу, временным работникам и другим сотрудникам подразделений Организации, в том числе выполняющим работу по гражданско-правовому договору.
Положения данной Политики распространяются на сотрудников подрядных организаций, имеющих доступ к активам Организации.
1.2 Назначение
Основным назначением данной Политики является общее определение основных положений для всех видов деятельности, связанной с обеспечением информационной безопасности, а также описание инфраструктуры управления процессом обеспечения информационной безопасности, ролей и ответственности подразделений Организации в рамках этого процесса, состава нормативно-распорядительной документации.
В рамках настоящей Политики вводится ряд базовых определений и терминов, связанных с информационной безопасностью.
Реализация данной Политики предназначена для обеспечения следующих свойств информационных активов, необходимых для функционирования основных бизнес-процессов Организации:
· конфиденциальности;
· целостности;
· доступности.
Также, целями реализации данной Политики являются:
· установление ответственности за управление и использование информационных активов Организации;
· установление ответственности за обеспечение информационной безопасности Организации;
· определение порядка обеспечения информационной безопасности;
· применение обоснованных, экономически эффективных и совместимых организационных и технических мер по обеспечению информационной безопасности.
1.3 Внесение изменений
Отделом информационной безопасности ежегодно должен проводиться анализ необходимости изменения настоящей Политики с целью совершенствования системы управления информационной безопасностью и обеспечения её соответствия бизнес-целям.
Утверждать изменения данной Политики имеет право руководство Организации на основании рекомендаций отдела информационной безопасности.
2 Основные требования к обеспечению информационной безопасности
Процессы по обеспечению информационной безопасности Организации составляют один из видов вспомогательных процессов, реализующих поддержку (обеспечение) процессов основной деятельности Организации в целях достижения поставленных задач.
Основным требованием к процессу обеспечения информационной безопасности является обеспечение уверенности в том, что риски для основных бизнес-процессов и репутации Организации, возникающие в связи с использованием информационных технологий:
· учтены;
· надлежащим образом доведены до руководства Организации и других заинтересованных лиц;
· находятся под управлением и контролем уполномоченных лиц.
При осуществлении деятельности по обеспечению информационной безопасности необходимо строго соблюдать требования:
· законодательства РФ;
· устава Организации;
· решений руководства Организации;
· внутренних документов Организации;
· данной Политики и упомянутой в ней нормативно-распорядительной документации;
Руководствоваться лучшими практиками в области информационной безопасности и управления непрерывностью бизнеса и информационно-коммуникационных технологий, определенными в международных стандартах ISO 27001, ISO 15408, COBIT, стандарте безопасности данных индустрии платежных карт (PCI DSS), BS 25999, BS 25777, а также национальных стандартах (ГОСТ Р), стандарте Банка России в области информационной безопасности банковских систем (СТО БР ИББС) и других стандартах.
3 Процесс обеспечения информационной безопасности
3.1 Основные роли процесса
Владелец актива. Под владельцем актива понимается сотрудник или коллегиальный орган Организации, уполномоченный управлять жизненным циклом актива, на основании его критичности применять схему классификации и выбирать режим обеспечения его безопасности. Эти обязанности могут быть делегированы владельцем другому лицу, но в любом случае владелец несет ответственность за выбор надлежащего режима обеспечения безопасности. Термин «владелец актива» не означает, что данный сотрудник или коллегиальный орган обладает фактическими правами собственности на актив.
Жизненный цикл актива. Под жизненным циклом актива понимается создание, развитие, обслуживание, использование, уничтожение и обеспечение безопасности актива.
Пользователь. Под пользователем понимается лицо, осуществляющее обработку или эксплуатацию информационного актива. Пользователь должен строго соблюдать порядок обеспечения информационной безопасности, выбранный владельцем актива.
Контролер. Контролер предоставляет владельцам актива методы и средства для реализации порядка обеспечения информационной безопасности. Контролер гарантирует адекватность предоставляемых методов и средств ценности актива, определенной владельцем.
Аудитор. Аудитор - лицо, проверяющее выполнение требований по обеспечению информационной безопасности лицами, попадающими в область действия системы управления информационной безопасностью (СУИБ).
3.2 Организационная структура
Контроль и реализация процессов обеспечения информационной безопасности возлагается на следующие подразделения:
· руководство Организации;
· отдел информационной безопасности;
· ИТ подразделения;
· службу безопасности;
· департамент по работе с персоналом.
3.2.1 Руководство Организации
Генеральным директором Организации и руководством Организации, курирующим процессы обеспечения информационной безопасности, в рамках СУИБ выполняются следующие задачи:
· активная поддержка деятельности по обеспечению информационной безопасности;
· утверждение регламентирующих документов по информационной безопасности и стратегических решений по вопросам обеспечения информационной безопасности;
· возложение ответственности по исполнению положений данной Политики, другой нормативно-распорядительной документации по информационной безопасности;
· утверждение критериев принятия рисков и приемлемого уровня риска;
· утверждение планов обработки рисков;
· выделение ресурсов, необходимых для обеспечения информационной безопасности;
· утверждение решений по результатам анализа эффективности процессов обеспечения информационной безопасности;
· контроль и оценка эффективности (качества) функционирования СУИБ.
3.2.2 Отдел информационной безопасности
Деятельность отдела информационной безопасности регламентируется «Положением об отделе информационной безопасности».
Если это не оговорено отдельно, отдел информационной безопасности выполняет роли «Контролера» и «Аудитора» и устанавливает режим обеспечения безопасности активов, для которых их владельцами не определены требования к безопасности.
Дополнительно, на отдел информационной безопасности возлагаются следующие задачи:
· планирование и реализация организационных и технических мер по обеспечению информационной безопасности Организации;
· защита информационных ресурсов Организации от несанкционированной модификации (искажения), удаления, блокирования и утечки информации;
· координация деятельности подразделений Организации по поддержанию требований информационной безопасности в повседневной деятельности;
· разработка и контроль реализации требований по информационной безопасности (в том числе требований по отказоустойчивости и катастроф устойчивости) при проектировании, внедрении, тестировании, эксплуатации, совершенствовании сетевого и серверного оборудования, средств и каналов связи, хранилищ данных, программного обеспечения и информационных сервисов Организации;
· мониторинг состояния защищенности информационных систем Организации;
· оценка рисков информационной безопасности, разработка критериев принятия рисков, разработка и реализация планов обработки рисков информационной безопасности;
· обнаружение и устранение уязвимостей в информационных системах Организации;
· управление обработкой инцидентов ИБ, в том числе, расследование инцидентов ИБ;
· подготовка предложений по совершенствованию бизнес-процессов, с целью снижения рисков информационной безопасности.
Если это не оговорено отдельно, владельцы активов Организации делегируют отделу информационной безопасности применять схему классификации к активам и выбирать режим обеспечения их безопасности.
Для обеспечения нормативно-правой деятельности, оценки рисков информационной безопасности, эффективного управления обработкой инцидентов ИБ отдел информационной безопасности по согласованию с руководством подразделений может привлекать:
· сотрудников службы безопасности;
· сотрудников юридического отдела, с целью обеспечения экспертной и нормативно-правой деятельности;
· сотрудников департамента по работе с персоналом, с целью обеспечения административной и процедурной деятельности;
· сотрудников других подразделений Организации, с целью обеспечения административной, экспертной и технологической деятельности;
· внешних экспертов, для обеспечения консультативной, экспертной и технологической деятельности.
3.2.3 ИТ подразделения
Деятельность ИТ подразделений регламентируется нормативной и технической документацией ИТ подразделений.
В рамках процессов по обеспечению информационной безопасности на ИТ подразделения возлагаются следующие задачи:
· участие в разработке и реализация требований по информационной безопасности (в том числе требований по отказоустойчивости и катастроф устойчивости) при проектировании, внедрении, тестировании, эксплуатации, совершенствовании сетевого и серверного оборудования, средств и каналов связи, хранилищ данных, программного обеспечения и информационных сервисов Организации;
· обслуживание (эксплуатация) технических средств защиты;
· предоставление/блокирование доступа к информационным ресурсам Организации;
· мониторинг и аудит информационных систем Организации;
· обнаружение инцидентов ИБ;
· участие в выявлении и устранении уязвимостей в программном обеспечении и информационных системах Организации;
· выполнение резервного копирования и восстановления данных.
3.2.4 Служба безопасности
Деятельность службы безопасности регламентируется положением о службе безопасности.
В рамках процессов по обеспечению информационной безопасности на службу безопасности возлагаются следующие задачи:
· проведение мероприятий по выявлению и предотвращению преступных действий по отношению к Организации;
· обеспечение физической защиты помещений Организации, средств вычислительной техники, документов независимо от формы представления, носителей информации и других материальных ценностей Организации;
· обеспечение безопасности персонала Организации, находящегося в помещениях Организации;
· проверка персонала при приёме на работу;
· координация действий подразделений Организации при взаимодействии с правоохранительными органами.
3.2.5 Департамент по работе с персоналом
Деятельность департамента по работе с персоналом регламентируется «Положением о департаменте по работе с персоналом».
В рамках процессов по обеспечению информационной безопасности на департамент по работе с персоналом возлагаются следующие задачи:
· деятельность по подбору и учету персонала Организации;
· деятельность по ознакомлению персонала с внутренними нормативными документами по обеспечению информационной безопасности;
· реализация мер, направленных на повышение лояльности персонала к Организации;
· реализация мер, направленных на обеспечение персоналом Организации трудовой дисциплины;
· предоставление полной и своевременной информации об изменениях организационно-штатной структуры Организации руководству Организации, сотрудникам отдела информационной безопасности, ИТ подразделениям.
3.3 Система управления информационной безопасностью
Эффективное управление процессом обеспечения информационной безопасности в Организации обеспечивается Системой управления информационной безопасностью (СУИБ). Основной целью СУИБ является соответствие требованиям Раздела 2 данной Политики.
СУИБ базируется на следующих основополагающих процессах:
· анализ рисков;
· аудит;
· мониторинг эффективности СУИБ;
· анализ СУИБ руководством;
· улучшение СУИБ.
Руководство Организации признает, что основополагающим фактором успешности функционирования СУИБ является поддержка этого процесса руководством Организации.
3.3.1 Анализ рисков
Основной задачей анализа рисков является идентификация и расчет рисков, возникающими в процессе эксплуатации информационных систем, поддерживающих основные бизнес-процессы Организации, эффективное реагирование на риск.
Все решения о применении специфических средств и методов защиты информации и экономические обоснования подобных решений принимаются на основании анализа рисков. Методика анализа рисков регламентируется документом «Методика анализа рисков информационной безопасности ООО «Торговый Дом ЛФЗ»
Процедура анализа рисков регламентируется документом «Процедура анализа рисков информационной безопасности ООО «Торговый Дом ЛФЗ»
Критерии обработки рисков вырабатываются отделом информационной безопасности и утверждаются Генеральным директором Организации.
План обработки рисков утверждается руководством Организации, курирующим информационную безопасность.
Для обеспечения качественного проведения анализа рисков все активы Организации должны быть идентифицированы и учтены. Если не указано иного, владельцем актива является руководство Организации. С целью реализации данных положений регулярно должна проводиться инвентаризация активов. В случае изменения состава активов, их владельцы должны сообщать об этом в отдел информационной безопасности. Порядок и методика инвентаризации активов регламентируется документами «Процедура анализа рисков информационной безопасности ООО «Торговый Дом ЛФЗ» и «Методика анализа рисков информационной безопасности ООО «Торговый Дом ЛФЗ»
3.3.2 Аудит информационной безопасности
Основной задачей аудита информационной безопасности, проводящегося в рамках СУИБ, является выявление соответствия целей, методов и средств, процессов и процедур СУИБ:
· бизнес-требованиям к информационной безопасности;
· настоящей Политике, другим нормативно-распорядительным документам по информационной безопасности Организации;
· законодательству РФ;
· требованиям национальных (ГОСТ Р) и международных стандартов в области информационной безопасности.
При проведении аудитов Организация руководствуется принципами независимости и объективности оценки. Для реализации этих принципов аудиты информационной безопасности проводятся отделом информационной безопасности и внешней организацией. Аудиты выполнения отделом информационной безопасности требований по обеспечению информационной безопасности, следованию требованиям законодательства РФ и международных стандартов проводятся либо сотрудниками подразделения, не входящего в отдел информационной безопасности, либо внешней организацией.
Порядок проведения аудитов регламентируется документом «Регламент аудита информационной безопасности».
3.3.3 Мониторинг эффективности
Мониторинг эффективности мер по обеспечению процессов управления информационной безопасностью является важной составляющей СУИБ.
Мониторинг эффективности предназначен для достижения следующих целей:
· определения правильности используемых и внедряемых мер по обеспечению информационной безопасности и повышения их эффективности;
· повышение эффективности процессов в рамках СУИБ;
· предоставление данных руководству для анализа эффективности процесса обеспечения информационной безопасности в Организации.
Ежемесячно отдел информационной безопасности направляет Руководству отчет о деятельности по обеспечению информационной безопасности и выполнении СУИБ бизнес-требований.
3.3.4 Анализ СУИБ руководством
Объективный анализ функционирования СУИБ со стороны руководства Организации является важной составляющей СУИБ.
Анализ СУИБ руководством предназначен для достижения следующих целей:
· функционирование СУИБ удовлетворяет бизнес-целям Организации;
· эффективность СУИБ соответствует заданным руководством критериям;
· своевременно определяются критерии, определяющие функционирование СУИБ и вопросы обеспечения информационной безопасности, такие как приемлемый уровень рисков, законодательные и договорные требования, и др.
Эффективность СУИБ оценивается руководством Организации на основании определенных им ключевых показателей эффективности (KPI) СУИБ.
3.3.5 Улучшение системы
Непрерывное улучшение является одним из важнейших показателей качества СУИБ. Основной задачей данного процесса является проведение корректирующих и предупреждающих действий для устранения выявленных или возможных несоответствий определенным/измененным бизнес-требованиям.
Все выявленные или прогнозируемые отклонения показателей СУИБ от определенных руководством Организации показателей эффективности (KPI) СУИБ учитываются, и предпринимаются документированные действия для исправления ситуации.
4 Порядок обеспечения информационной безопасности
Под порядком (режимом) обеспечения информационной безопасности в Организации понимается свод правил, требований, описание мер и средств, регламентирующих и используемых при реализации положений данной Политики и других нормативных документов.
Порядок обеспечения информационной безопасности разрабатывается на основе положений данной Политики, результатов анализа рисков, требований законодательных документов, стандартов, общепринятых практик и профессиональных знаний сотрудников отдела информационной безопасности в области защиты информации.
4.1 Классификация информации
С целью унификации порядка работы с информационными активами Организации вводится следующая схема классификации информационных активов:
· Открытый;
· Конфиденциальный;
· Коммерческая тайна;
· Персональные данные.
Порядок обработки конфиденциальной информации и сведений, составляющих коммерческую тайну, устанавливается в соответствии с Федеральным законом РФ от 29 июня 2004 г. № 98-ФЗ «О коммерческой тайне», Гражданским и Трудовым кодексами РФ, нормативными документами Организации:
· «Положение о конфиденциальной информации ООО «Торговый Дом ЛФЗ»
· «Соглашения о конфиденциальности с контрагентами»;
· «Перечень сведений, составляющих коммерческую тайну ООО «Торговый Дом ЛФЗ»
· «Перечень конфиденциальных сведений ООО «Торговый Дом ЛФЗ»
· «Политика конфиденциальности ООО «Торговый Дом ЛФЗ» (декларация о защите конфиденциальной информации)».
Порядок обработки персональных данных, регламентируется Федеральным законом РФ от 27 июля 2006 года N 152-ФЗ «О персональных данных», нормативными документами Организации:
· «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Торговый Дом ЛФЗ» «Соглашение об обеспечении безопасности персональных данных».
4.2 Обеспечение непрерывности бизнес процессов
Стратегическим приоритетом в развитии Организации является реализация программы обеспечения непрерывности бизнеса и восстановления после аварий.
При разработке и реализации программы обеспечения непрерывности бизнеса и восстановления после аварий должны соблюдаться требования к обеспечению информационной безопасности активов Организации.
Все ситуации, в рамках процессов обеспечения непрерывности бизнеса и восстановления после аварий, в которых происходит нарушение установленного режима обеспечения информационной безопасности, должны быть доведены до сведения руководства Организации, курирующего ИТ и информационную безопасность, при этом должно быть принято решение по обработке рисков, возникающих в подобных ситуациях.
Порядок обеспечения непрерывности бизнес-процессов и восстановления после аварий регламентируется документом «План обеспечения непрерывности бизнеса».
4.3 Инциденты информационной безопасности
Для эффективного управления инцидентами ИБ в Организации применяется ряд процессов по управлению инцидентами ИБ. Управление инцидентами ИБ строится в соответствии с рекомендациями международных стандартов PCI DSS, COBIT и другими специализированными стандартами. Основными задачами процесса реагирования на инциденты ИБ являются:
· координация реагирования на инцидент ИБ;
· подтверждение/опровержение факта возникновения инцидента ИБ;
· обеспечение сохранности и целостности доказательств возникновения инцидента ИБ, создание условий для накопления и хранения точной информации об имевших место инцидентах ИБ, о полезных рекомендациях;
· минимизация нарушений нормальной работы и повреждения данных автоматизированных систем, восстановление в кратчайшие сроки работоспособности автоматизированных систем;
· минимизация последствий нарушения конфиденциальности, целостности и доступности информации;
· защита информационных ресурсов Организации и ее репутации;
· обучение персонала Организации действиям по обнаружению, устранению последствий и предотвращению инцидентов ИБ.
При обработке инцидентов ИБ должны учитываться ценность активов, задействованных в инциденте, возможный ущерб имиджу Организации.
Весь штатный персонал, временные работники и другие сотрудники подразделений Организации, в том числе выполняющие работу по гражданско-правовому договору, а также сотрудники подрядных организаций, имеющих доступ к активам Организации должны максимально быстро сообщать об инцидентах ИБ сотрудникам отдела информационной безопасности.
Информация об инциденте ИБ должна доводиться отделом информационной безопасности до всех заинтересованных сторон (до руководства Организации, владельцев активов, задействованных в инциденте и др.).
При расследовании инцидентов ИБ необходимо уделять внимание сбору документированных свидетельств.
Порядок реагирования на инциденты ИБ регламентируется документом «Положение об управлении инцидентами информационной безопасности».
4.4 Безопасность ресурсов, связанная с персоналом
Весь персонал Организации должен проходить процедуры проверки службой безопасности в соответствии с критичностью активов, к работе с которыми он допущен. В отдельных случаях, возможно проведение дополнительных проверок перед приемом на работу, в рамках законодательства РФ.
Порядок допуска персонала к работе с активами Организации определяется следующими нормативными документами:
· «Регламент управления доступом к информационным ресурсам и сервисам».
Организацией прилагаются все усилия, для доведения до персонала значимости вопросов обеспечения информационной безопасности в повседневной деятельности. Эти усилия предпринимаются для того, чтобы персонал осознавал важность информационной безопасности, свою ответственность в части выполнения требований по информационной безопасности и влияние информационной безопасности на успешность достижения целей Организации.
Департамент по работе с персоналом должен своевременно доводить до всего персонала требования по информационной безопасности, положения данной Политики и других нормативных документов, в части необходимой для выполнения служебных обязанностей.
С целью обеспечения понимания персоналом выдвигаемых требований отделом информационной безопасности должны с периодичностью не реже 1 раза в пол года проводиться мероприятия, направленные на повышение осведомленности персонала в вопросах угроз информационной безопасности и противодействия этим угрозам.
Сотрудники Организации обязаны информировать своё руководство и отдел информационной безопасности департамента информационных технологий обо всех известных им случаях нарушения данной политики или других нормативных документов по информационной безопасности.
Все информационные ресурсы Организации предназначены исключительно для достижения бизнес-целей Организации. Информационные ресурсы Организации не могут использоваться для достижения иных целей, не связанных с деятельностью Организации.
4.5 Физическая безопасность
Физическая безопасность сотрудников, зданий, помещений и других активов критически важна для деятельности Организации.
Должны применяться усиленные меры по обеспечению физической безопасности центров обработки данных. Применяемые меры помимо организационных положений, должны включать в себя использование специализированных технических средств.
Физическая безопасность средств обработки и хранения информации также может влиять на бизнес-процессы Организации. Ответственность за обеспечение физической безопасности ноутбуков, съемных носителей данных и других мобильных ресурсов возлагается на пользователей этих ресурсов и их руководителей. Ответственность за обеспечение охраны помещений Организации и установленных в них средств обработки информации возлагается на Службу безопасности Организации. В случае привлечения сторонних организаций к охране помещений, центров обработки данных, средств обработки и хранения информации Организации ответственность за нарушение физической безопасности данных активов и обязательства возмещения ущерба должны быть определены в договоре об оказании услуг.
Персонал Организации не должен допускать несанкционированного доступа к информации, указанной в «Перечне конфиденциальных сведений ООО «Торговый Дом ЛФЗ» и «Перечне сведений, составляющих коммерческую тайну ООО «Торговый Дом ЛФЗ», к персональным данным, обрабатываемым в Организации, а также оставлять носители, содержащие подобную информацию в общедоступных принтерах, на рабочих столах, размещать такую информацию в общедоступных сетевых папках, передавать ее лицам, неуполномоченным на ее обработку.
Порядок обеспечения физической защиты ресурсов определяется нормативным документом: «Политика обеспечения физической защиты помещений и средств вычислительной техники».
4.6 Безопасность при коммуникациях и эксплуатации систем и сервисов
Все средства коммуникаций Организации предназначены для решения бизнес-задач Организации. Для всех информационных потоков, выходящих из Организации, должны предприниматься меры по обеспечению целостности и конфиденциальности передаваемой информации. Состав предпринимаемых мер должен определяться критичностью передаваемой информации.
Организация оставляет за собой право просматривать все информационные потоки, как пересекающие границы локальной вычислительной сети Организации, так и находящиеся внутри этих границ. Подобные действия направлены исключительно на выявление угроз информационной безопасности активов Организации.
Во всех информационных системах должны применяться меры противодействия вредоносным программам.
Должна быть предусмотрена многоуровневая система противодействия распространению вредоносных программ.
Порядок обеспечения защиты от вредоносных программ определяется нормативным документом: «Политика защиты от вредоносных программ».
Должны быть обеспечены процедуры резервного копирования для всех критичных информационных активов.
Должно быть обеспечено дублирование всех критичных компонентов автоматизированных систем и инфраструктуры.
Процедуры эксплуатации средств информационных технологий должны быть документированы.
Должен быть предусмотрен формальный процесс внесения изменений в состав средств информационных технологий Организации.
Необходимо реализовывать принцип разделения промышленной и тестовой информационной среды, а также среды разработки.
Все события автоматизированных систем, связанные с информационной безопасностью, должны протоколироваться соответствующим образом. Данные протоколы должны регулярно анализироваться и использоваться в процессе расследования инцидентов ИБ.
При уничтожении и снятии с эксплуатации средств вычислительной техники, носителей информации должны учитываться требования по обеспечению информационной безопасности.
Внутренние сети Организации должны быть защищены от несанкционированного доступа и других угроз со стороны сетей партнеров и публичных сетей. Все коммуникации с внешними сетями должны контролироваться специализированными шлюзами безопасности.
Использование любых форм подключения внешних автоматизированных систем возможно только по согласованию с руководством Организации, курирующим процессы обеспечения информационной безопасности, и отделом информационной безопасности.
Порядок обеспечения безопасности при подключении к локальной вычислительной сети Организации внешних информационных систем и удаленного доступа к ней регламентируется следующими документами:
«Политика межсетевого экранирования»;
«Политика использования мобильных и удаленных компьютеров, персональных устройств и технологий».
Для выявления и своевременного устранения недостатков (уязвимостей) в средствах защиты информационных системах Организации сотрудниками отдела информационной безопасности или внешними организациями должны регулярно проводиться тестирования систем и процессов обеспечения информационной безопасности (тестирование на проникновение), а также сканирования уязвимостей в информационных системах. Данные процессы регламентируются документами:
«Политика управления уязвимостями»;
«Регламент сканирования уязвимостей»;
«Регламент тестирования систем и процессов обеспечения информационной безопасности».
По результатам тестирований систем и процессов обеспечения информационной безопасности, а также на основе данных о выявленных при сканировании уязвимостях должны быть реализованы меры по устранению недостатков в средствах защиты информационных систем Организации.
4.7 Контроль доступа
Во всех информационных системах Организации должны быть реализованы механизмы контроля доступа.
Каждому пользователю информационной системы должен быть предоставлен уникальный идентификатор.
Доступ к информационным системам и ресурсам Организации должен осуществляется на основании безопасной процедуры входа. В рамках данной процедуры пользователь должен как минимум предъявить свой уникальный идентификатор и пароль. Для всех критичных информационных систем и ресурсам должна выполняться регистрация событий доступа к ним пользователей.
Доступ к информационным системам предоставляется в соответствии с формальной процедурой, описанной в нормативном документе «Регламент управления доступом к информационным ресурсам и сервисам».
Права доступа должны назначаться в соответствии с критичностью обрабатываемой информации и необходимостью доступа к информации для выполнения служебных обязанностей и регулярно пересматриваться.
4.8 Безопасность при приобретении, разработке и сопровождении информационных систем
Процессы по приобретению, разработке и сопровождению информационных систем должны быть формализованы и документально оформлены. При приобретении и разработке информационных систем должны учитываться требования по информационной безопасности.
При выборе информационных систем и сервисов по их поддержке необходимо учитывать жизненный цикл информации, обрабатываемой в данных системах.
При приобретении и разработке информационных систем должна учитываться совместимость с используемыми в Организации средствами защиты информации.
При эксплуатации информационных систем должны учитываться требования по безопасности для всех компонент системы: обрабатываемой информации, файлов системных данных и конфигураций, прикладному и системному программному обеспечению.
4.9 Безопасность при использовании услуг сторонних организаций
При использовании сервисов, предоставляемых сторонними организациями, необходимо учитывать требования по обеспечению информационной безопасности.
Все договоры на предоставление сервиса, касающиеся создания, обработки, хранения и передачи информации должны проходить согласование в отделе информационной безопасности.
В состав договоров должны быть включены разделы с требованиями к показателям информационной безопасности предоставляемых сервисов, неразглашении конфиденциальной информации и информировании об инцидентах ИБ.
Отдел информационной безопасности несет ответственность за наличие в договорах данных разделов и их соответствие требованиям Организации по обеспечению инфомационной безопасности.
5 Ответственность
Нарушением порядка обеспечения информационной безопасности является действие или бездействие, в результате которого нарушаются утвержденные требования к режиму обеспечения информационной безопасности активов Организации.
Ответственность за нарушение порядка обеспечения информационной безопасности несет персонально каждый работник Организации, допустивший данное нарушение.
При выявлении нарушения порядка обеспечения информационной безопасности, к лицу, допустившему нарушение, могут быть применены меры дисциплинарного взыскания.
Руководство Организации принимает решение о применении к виновным лицам мер ответственности в соответствии с действующим законодательством Российской Федерации и внутренними нормативными актами Организации.
При наличии в действиях лица, нарушившего порядок обеспечения информационной безопасности, признаков административного правонарушения или преступления, руководство Организации имеет право обращаться в правоохранительные органы для привлечения его к ответственности в соответствии с действующим законодательством.
При причинении лицом, нарушившим порядок обеспечения информационной безопасности, ущерба (экономического, морального и др.) и при отказе добровольно возместить причиненный ущерб, Организация имеет право обратиться в суд за защитой своих интересов.
6 Нормативно-распорядительная документация
С целью регламентирования и упорядочивания деятельности по обеспечению информационной безопасности вводится нормативно-распорядительная база, реализованная комплектом документации.
Нормативно-распорядительная документация, регламентирующая вопросы обеспечения информационной безопасности в Организации, представляет собой комплекс взаимосогласованных документов. В состав данного комплекса входят следующие документы:
· Политика информационной безопасности ООО «Торговый Дом ЛФЗ» -- документ, регламентирующий общие вопросы обеспечения информационной безопасности;
· документы, регламентирующие вопросы функционирования Системы управления информационной безопасностью. К числу подобных документов относятся «Процедура и методика оценки рисков информационной безопасности ООО «Торговый Дом ЛФЗ», «Политика мониторинга информационной безопасности», «Регламент аудита информационной безопасности», «Политика управления уязвимостями», «Положение об управлении инцидентами информационной безопасности» и подобные документы;
· документы, регламентирующие порядок обеспечения информационной безопасности. К их числу относятся положения и политики безопасности по отдельным процессам обеспечения информационной безопасности (например, политика защиты от вредоносных программ, политика обеспечения безопасности электронной почты, политика межсетевого экранирования и т.п.);
· документы, регламентирующие порядок обеспечения информационной безопасности при взаимодействии с внешними организациями. К их числу относятся договора и соглашения об уровне обслуживания, соглашения о конфиденциальности, соглашения об обеспечении безопасности персональных данных и другие документы;
· документы, регламентирующие ежедневную деятельность сотрудников Организации. К их числу относятся должностные инструкции, инструкции администраторов средств защиты, инструкции для пользователей информационных систем и другие документы;
· документы, определяющие стандарты конфигурирования средств защиты и ключевых элементов локальной вычислительной сети (профили защиты).
Приложение№2
ООО «Торговый Дом ЛФЗ»
УТВЕРЖДЕНО
Приказом_________
№___ от "__" _____ 2012г.
___________ (______________)
Политика информационной безопасности по защите персональных данных
Общие положения
Настоящая политика определяет цели и принципы обеспечения информационной безопасности в ООО «Торговый Дом ЛФЗ»
Политика обязательна для исполнения всеми сотрудниками, а также лицами, работающими с информацией, принадлежащей ООО «Торговый Дом ЛФЗ», в рамках заключенных контрактов.
Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность - в случае внесения в данные исключительно авторизованных изменений, доступность - при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время.
Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации и корпоративной культуры ООО «Торговый Дом ЛФЗ»
Информация является важным активом организации и ее защита является обязанностью каждого сотрудника.
Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме.
Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации.
Система управления информационной безопасностью в ООО «Торговый Дом ЛФЗ» строится на основе международных стандартов ISO 27001 и ISO 27002.
Успешное достижение целей настоящей политики возможно только при выполнении положений следующих детальных политик информационной безопасности:
· Политика парольной защиты
· Политика работы с документами
· Политика работы с базами данных
· Политика работы с электронной почтой
· Политика работы с интернетом
Политика парольной защиты
Разъяснительная часть
Учетная запись пользователя это его реквизиты в сети, основные параметры которой есть имя и пароль пользователя. Средствами управления учетными записями всех пользователей обеспечиваются системными администраторами сети.
Права доступа в сети распределяются на основе учетных данных пользователей.
Пароль пользователя, в случае если он держится в секрете, гарантирует что:
1. Никто другой, не мог произвести действия, которые были зафиксированы системой как действия данного пользователя.
2. Никто не мог получить доступ к защищаемой информации, воспользовавшись учетной записью пользователя.
Если пользователю требуется доступ к данным другого пользователя, он может получить его с соответствующего разрешения, продолжая работать под своей учетной записью.
Если пользователю требуются возможности, которыми обладает компьютер другого пользователя, он может войти на нем под своей учетной записью.
...Подобные документы
Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Анализ рисков информационной безопасности. Идентификация уязвимостей активов. Оценка существующих и планируемых средств защиты. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности.
дипломная работа [1,1 M], добавлен 03.04.2013Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Общие сведения о деятельности предприятия. Объекты информационной безопасности на предприятии. Меры и средства защиты информации. Копирование данных на сменный носитель. Установка внутреннего Backup-сервера. Эффективность совершенствования системы ИБ.
контрольная работа [34,1 K], добавлен 29.08.2013Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.
курсовая работа [38,8 K], добавлен 17.06.2013Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Анализ основных угроз и методов обеспечения работы систем информационной безопасности. Характеристика разновидностей защиты баз данных. Особенности UML-моделирования: оценка основных функций и процесс работы, пути реализации информационной системы.
курсовая работа [158,7 K], добавлен 15.06.2013Понятие и состав научно-методологических основ обеспечения информационной безопасности. Основные положения теории систем. Содержание принципов организации комплексной системы защиты информации, предъявляемые к ней требования и порядок работ при создании.
реферат [158,8 K], добавлен 05.11.2011Государственная политика в сфере формирования информационных ресурсов. Выбор комплекса задач информационной безопасности. Система проектируемых программно–аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
курсовая работа [605,0 K], добавлен 23.04.2015Основные виды угроз безопасности экономических информационных систем. Воздействие вредоносных программ. Шифрование как основной метод защиты информации. Правовые основы обеспечения информационной безопасности. Сущность криптографических методов.
курсовая работа [132,1 K], добавлен 28.07.2015Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Анализ системы обеспечения информационной безопасности и защиты информации. Выбор и обоснование способа приобретения информационных систем для автоматизации задачи. Описание программных модулей. Обоснование методики расчета экономической эффективности.
дипломная работа [905,3 K], добавлен 24.12.2023Особенности функционирования предприятия и его информационной системы как объектов информационной безопасности. Функциональная оценка эффективности интегральной системы защиты информации, структурно-функциональная схема проекта по ее совершенствованию.
курсовая работа [1,1 M], добавлен 28.05.2015Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Угрозы в сфере информационного обеспечения. Цели и задач и создания комплексной системы защиты информации на предприятии. Применение скрытия и уничтожения информации, дезинформации противника, легендирования. Анализ функций системы защиты предприятия.
курсовая работа [60,7 K], добавлен 23.06.2012Организационно-правовое обеспечение защиты информации. Характеристика систем телевизионного наблюдения. Назначение и принцип действия акустических сенсоров. Задачи службы безопасности, ее состав. Работа с документами, содержащими коммерческую тайну.
контрольная работа [35,3 K], добавлен 14.04.2009Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011
