Информационная безопасность
Решение вопроса об разработке эффективной политики информационной безопасности на современном предприятии. Проблема выбора критериев и показателей защищенности, эффективности корпоративной системы защиты информации. Необходимые затраты на защиту.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | практическая работа |
Язык | русский |
Дата добавления | 25.12.2019 |
Размер файла | 19,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Поволжский государственный университет телекоммуникаций и информатики
Практическая работа
Информационная безопасность
Студент Боев П.П.
Самара 2019
Введение
Развитие современных информационных технологий значительно опережает темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Как следствие, в дополнение к требованиям и рекомендациям стандартов, Конституции, законам и иным руководящим документам приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия. Современные методики управления рисками позволяют решить ряд задач перспективного стратегического развития современного предприятия.
Решение определенных задач открывает новые широкие возможности перед должностными лицами разного уровня. Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании. информационный безопасность защита
Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Информационная безопасность - задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.
На крупных предприятиях существуют специальные службы с немалым бюджетом, в задачи которых входит обеспечение ИБ, выявление, локализация и устранение угроз ИБ предприятия. Они используют специальное дорогостоящее программное и аппаратное обеспечение, настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним. Задачи руководства информационной безопасности в таких организациях часто сводятся к выпуску инструкций с ключевыми словами: "углубить", "расширить", "повысить", "обеспечить" и т.д. Вся работа по обеспечению ИБ выполняется незаметно для руководства сотрудниками соответствующих служб.
На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:
· целостность данных - защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;
· конфиденциальность информации;
· доступность информации для всех авторизованных пользователей.
Политикой информационной безопасности (ПИБ) считается - совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые направлены на защиту ценной информации.
Назначение политика информационной безопасности:
· формулирование целей и задач информационной безопасности организации с точки зрения бизнеса (позволяет определить это для руководства и продемонстрировать поддержку руководством значимости ИБ),
· определение правил организации работы в компании для минимизации рисков информационной безопасности и повышения эффективности бизнеса.
Требования к политике информационной безопасности:
· Политика должна быть утверждена высшим административным органом компании для демонстрации поддержки руководства.
· Политика ИБ должна быть написана понятным языком для конечных пользователей и руководства компании и быть по возможности краткой.
· Политика ИБ должна определять цели ИБ, способы их достижения и ответственность. Технические подробности реализации способов содержатся в инструкциях и регламентах, на которые даются ссылки в Политике.
· Минимизация влияния политики безопасности на производственный процесс.
· Непрерывность обучения сотрудников и руководства организации в вопросах обеспечения ИБ
· Непрерывный контроль выполнения правил политики безопасности на этапе внедрения и в дальнейшем.
· Постоянное совершенствование политик безопасности.
· Согласованность во взглядах и создание корпоративной культуры безопасности.
Предлагается следующая структура ПИБ:
? Общие положения (ссылки на законы, нормативные акты и др. руководящие документы, которым подчиняется деятельность организации),
? Подтверждение значимости ИБ для организации и формулирование целей защиты информации с точки зрения бизнеса организации (выполнение требований законодательства и др. норм, удовлетворение ожиданий клиентов и партнеров, повышение конкурентоспособности, финансовой стабильности, имиджа организации).
? Описание стратегии организации по обеспечению информационной безопасности (например, выполнение требований законодательства, оценка и управление рисками).
? Область применения ПИБ
? Описание объекта защиты (защищаемые ресурсы - информация различных категорий, информационная инфраструктура и т.д.)
? Цели и задачи обеспечения информационной безопасности
? Угрозы и модель нарушителя, которые принимаются во внимание для данной организации (по источникам возникновения, по способам реализации, по направленности)
Краткое разъяснение принципов политики ИБ:
· подход к построению СУИБ,
· требования к подготовке и осведомленности персонала в области ИБ,
· последствия и ответственность за нарушение ПИБ,
· подход к управлению рисками,
· определение орг. структуры, общих и специальных обязанностей по управлению ИБ, включая отчеты об инцидентах,
· ссылки на документацию, которая может поддержать политику, например, частные политики и процедуры в области защиты для конкретных информационных систем или правила защиты, которым должны следовать пользователи.
· механизмы контроля за выполнением положений ПИБ,
· порядок пересмотра и принятия изменений в политике.
После утверждения политики ИБ необходимо:
· Довести положения политики ИБ, подполитик, процедур и инструкций под роспись до сведения рядовых сотрудников при их первоначальном и последующем периодическом обучении и информировании;
· Разработать процедуры, инструкции и т.д., уточняющие и дополняющие политику (для специалистов отдела ИБ);
· Периодически анализировать политику для поддержки ее адекватности и результативности;
· Проводить периодический аудит на выполнение сотрудниками положений политики с предоставлением отчета Руководству организации.
· Кроме того, в должностные инструкции ответственного персонала, положения о подразделениях, контрактные обязательства организации должны быть включены обязанности по обеспечению информационной безопасности.
Таким образом, в результате не только создается документальная база СУИБ, но и происходит реальное распределение обязанностей по обеспечению безопасности информации среди персонала организации.
Жизненный цикл политики безопасности:
· Планирование
· Первоначальный аудит безопасности
· проведение обследования,
· идентификация угроз безопасности,
· идентификация ресурсов, нуждающихся в защите
· оценка рисков.
В ходе аудита производится анализ текущего состояния информационной безопасности, выявляются существующие уязвимости, наиболее критичные области функционирования и самые чувствительные к угрозам безопасности бизнес-процессы.
Разработка политики безопасности:
· Определяются основные условия, требования и базовая система мер по обеспечению информационной безопасности в организации, позволяющие уменьшить риски до приемлемой величины
· Оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.
· Внедрение ПИБ
· Решение технических, организационных и дисциплинарных проблем.
· Проверка
· Аудит и контроль.
· Корректировка
· Периодические пересмотр и корректировка, а также при изменении исходных данных.
Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов. Для этого необходимо:
· отнести информацию к категории ограниченного доступа (служебной тайне);
· прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
· создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
· создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
· создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.
Заключение
Важнейшая мера защиты информации на этом направлении - четкая организация и контроль использования носителей информации.
Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.
Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.
Компьютерные сети, в силу своей специфики, просто не смогут нормально функционировать и развиваться, игнорируя проблемы защиты информации.
Список используемых источников
1. Бармен С. Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2010.
2. Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право.- Спб.: Изд-во "Юридический центр Пресс", 2012.
3. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Л.Г. Осовецкого - СПб.: СПбГУ ИТМО, 2012.
4. Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2014.
5. Бождай А.С., Финогеев А.Г. Сетевые технологии. Часть 1: Учебное пособие. Пенза: Изд-во ПГУ, 2015.
6. ru.wikipedia.org
Размещено на Allbest.ru
...Подобные документы
Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.
курс лекций [52,7 K], добавлен 17.04.2012Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Структура и особенности ОС Linux, история ее развития. Информационная безопасность: понятие и регламентирующие документы, направления утечки информации и ее защиты. Расчет создания системы информационной безопасности и исследование ее эффективности.
курсовая работа [77,3 K], добавлен 24.01.2014Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013Влияние вида деятельности предприятия на организацию комплексной системы защиты информации. Состав защищаемой информации. Потенциальные каналы несанкционированного доступа к информации организации. Эффективность системы информационной безопасности.
отчет по практике [1,3 M], добавлен 31.10.2013Особенности функционирования предприятия и его информационной системы как объектов информационной безопасности. Функциональная оценка эффективности интегральной системы защиты информации, структурно-функциональная схема проекта по ее совершенствованию.
курсовая работа [1,1 M], добавлен 28.05.2015Создание международных критериев оценки безопасности компьютерных систем. Правовые и нормативные ресурсы в обеспечении информационной безопасности. Стандартизация в области информационных технологий. Применение эффективной программы безопасности.
курсовая работа [1,1 M], добавлен 21.12.2016Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Государственная политика в сфере формирования информационных ресурсов. Выбор комплекса задач информационной безопасности. Система проектируемых программно–аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
курсовая работа [605,0 K], добавлен 23.04.2015Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Анализ защищенности сетей предприятия на базе АТМ, архитектура объектов защиты в технологии. Модель построения корпоративной системы защиты информации. Методика оценки экономической эффективности использования системы. Методы снижения риска потери данных.
дипломная работа [1,2 M], добавлен 29.06.2012Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.
дипломная работа [2,3 M], добавлен 19.01.2015Локально-вычислительная сеть, ее схема. Информационная политика предприятия "ЦИТ "Аспект". Анализ угроз информационной безопасности. Перечень информации, подлежащей защите. Дискреционное управление доступом. Примерный уровень потерь, алгоритм шифрования.
курсовая работа [771,3 K], добавлен 14.01.2014Классификация и описание угроз и возможного ущерба информационной безопасности. Общие требования к системе защиты информации предприятия, определение требуемого класса защищенности. Алгоритм и характеристика разработанной программы разграничения доступа.
дипломная работа [3,2 M], добавлен 21.10.2011Проблемы безопасности современных корпоративных сетей. Криптографическое шифрование информации. Программное обеспечение и информационная документация на предприятии. Анализ защищенности при помощи программы "Protector Plus Windows Vulnerability Scanner".
дипломная работа [1,6 M], добавлен 29.09.2013Информационная безопасность телекоммуникационных систем. Проблемы, связанных с информационной безопасностью. Технология анализа защищённости, обнаружения воздействия нарушителя, защиты информации от НСД, антивирусной защиты. Формирование банка данных.
реферат [58,9 K], добавлен 27.02.2009Состояние защищенности информации и информационной среды от случайных или преднамеренных воздействий. Цели информационной безопасности, классификация угроз. Обеспечение конфиденциальности, целостности, доступности информации; правовая защита человека.
презентация [487,2 K], добавлен 11.04.2016