Разработка политики безопасности на примере предприятия ОАО «Мегафон Ритейл»

Содержание

СОДЕРЖАНИЕ

ВВЕДЕНИЕ 3

1. СУЩНОСТЬ И ЗАДАЧИ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 5

1.1. Подходы к проектированию систем защиты информации 5

1.2. Понятие комплексной системы защиты информации (КСЗИ) 8

1.3. Назначение комплексной системы защиты информации 12

1.4. Принципы построения комплексной системы защиты информации 15

1.5. Основные требования, 17

предъявляемые к комплексной системе защиты информации 17

2. РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ НА ПРИМЕРЕ ПРЕДПРИЯТИЯ ОАО «МЕГАФОН РИТЕЙЛ» 19

2.1 Цели и политики безопасности 19

2.2 Хранение, обработка и передача электронных конфиденциальных данных 44

2.3 Коммерческая тайна Компании. 47

2.4 Организация учета носителей персональных данных на магнитной, магнитооптической и бумажной основе 34

3. СИСТЕМА ТЕХНИЧЕСКОЙ ЗАЩИТЫ 37

3.1 Расчет контролируемой зоны объекта 37

3.2 Выявление каналов утечки и несанкционированного доступа к ресурсам. 40

3.3 Разработка подсистемы контроля и управления доступом 45

3.4 Разработка подсистемы видеонаблюдения 53

3.5 Система охранно-пожарной сигнализации 61

3.3 Система противодействия утечке информации по техническим каналам 72

3.6 Расчёт экономической эффективности комплексной системы защиты информации (КСЗИ) 87

ЗАКЛЮЧЕНИЕ 90

ПРИЛОЖЕНИЕ 1 94

ПРИЛОЖЕНИЕ 2 99

ПРИЛОЖЕНИЕ 3 100

ПРИЛОЖЕНИЕ 4 101

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 102

Выдержка из текста

ВВЕДЕНИЕ

На рынке защиты информации предлагается много от¬дельных инженерно-технических, программно-аппарат¬ных, криптографических средств защиты информации. В литературе по защите информации можно найти описа¬ние методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым эле¬ментом системы и вместе с тем самым трудно формализуе¬мым и потенциально слабым ее звеном.

Создание системы защиты информации (СЗИ) не явля¬ется главной задачей предприятия, как, например, произ¬водство продукции и получение прибыли. Поэтому созда¬ваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть эконо¬мически оправданным. Тем не менее она должна обеспечи¬вать защиту важных информационных ресурсов предпри¬ятия от всех реальных угроз.

В дипломной работе предложен комплексный подход к организа¬ции защиты информации (ЗИ) на предприятии. При этом объектом исследования является не только информацион¬ная система, но и предприятие в целом.

Рассматриваются концептуальные основы защиты ин¬формации, раскрывающие сущность, цели, структуру и стратегию защиты.

Анализируются источники, способы и результаты де¬стабилизирующего воздействия на информацию, а также каналы и методы несанкционированного доступа к инфор¬мации.

Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности. Политика описывает безопасность в обобщенных терминах, без специфических деталей и не оперирует способами реализации.

Прежде чем приступать к разработке руководящих документов, необходимо определить глобальные цели политики предприятия.

Необходимо выделить системы, в которых обращается конфиденциальная информация, чтобы знать, сколько и каких правил необходимо разработать, и быть уверенными, что все стороны деятельности охвачены разрабатываемыми правилами.

Как правило, выделяют следующий минимум систем:

− контроля доступа в помещения организации;

− аппаратные средства (в том числе локальная вычислительная сеть и инвентаризационный учёт);

− программные средства (в том числе подсистема резервирования и архивации информации);

− управление доступом (политики учётных записей и паролей);

− кадровая;

− антивирусная;

− внешнего доступа (в зависимости от сложности может быть разделена на отдельные системы электронной почты, Web и т.д.);

− внекомпьютерных информационных ресурсов (бумажные документы, персонал).

Политика информационной безопасности должна ясно определить и установить ответственность за защиту информации, которая обрабатывается, хранится и передается в информационных системах.

Список использованной литературы

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

I. Нормативно-правовые материалы:

1. Об информации, информационных технологиях и о защите информации: Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ // Российская газета. – 2006. – 29 июля.

2. О персональных данных: Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ// Российская газета. – 2006. – 29 июля.

3. О коммерческой тайне: Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ // Российская газета. – 2004. – 30 июля.

4. Концепция национальной безопасности Российской Федерации: Утв. Указом Президента Российской Федерации от 10.01.2000 г. № 24 // Собрание законодательства Российской Федерации. – 2000. – № 2

5. www.base.consultant.ru

II. Специальная литература:

6. Северин, В.А Правовая защита информации в коммерческих организациях / В. А. Северин.  М.: ИЦ Академия, 2009.  224 с.

7. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин.  М.: Форум, 2009.  415 с.

8. Асанов С. Методические указания к курсовой работе по дисциплине "Информационная безопасность и защита информации": С. Асанов. – Кемерово: Типография ГУ КузГТУ, 2007. – 8 с.

9. Бармен. С. Разработка правил информационной безопасности: пер. с англ. / С. Бармен. – М.: Изд. дом. «Вильямс», 2002. – 208 с.

10. Липаев В. Информационная бюллетень Функциональная безопасность программных средств: В. Липаев. – М.: Jet Info, № 8 (135)/2004.

11. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А.,

Петров Ю.А. Информационная безопасность государственных

организаций и коммерческих фирм. Справочное пособие (под общей

редакцией Реймана Л.Д.) М: НТЦ «ФИОРД-ИНФО», 2002г.-272с.

12. Шпионские страсти. Электронные устройства двойного применения.

Рудометов Е.А. четвертое издание 2000г.

13. Петраков А.В. Основы практической защиты информации. 3-е изд.

Учебное пособие-М.: Радио и связь, 2001г.-368с.

14. Хорошко В.А., Чекатков А.А. Методы и средства защиты

информации(под редакцией Ковтанюка) К.: Издательство Юниор,

2003г.-504с.

15. WEB-сайт www.razvedka.ru

16. Игнатьев В.А. «Информационная безопасность современного коммерческого предприятия»; ТНТ, 2005; ISBN 5-94178070-2;

17. Ярочкин В.И. «Информационная безопасность»; Гаудеамус, 2004; ISBN 5-98426-008-5;

18. ГОСТ Р ИСО/МЭК 27000-2011 «Системы менеджмента информационной безопасности. Общий обзор и терминология», проект;

19. ГОСТ Р ИСО/МЭК 27001-2006 «Системы менеджмента информационной безопасности. Требования»;

20. ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью»;

21. ГОСТ Р ИСО/МЭК 27003-2011 «Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности», проект;

22. ISO/IEC 27005-2008 «Информационные технологии. Менеджмент рисков информационной безопасности»;

23. ГОСТ Р ИСО/МЭК 13335-1-2006 «Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»;

24. ГОСТ Р ИСО/МЭК 13335-3-2007 «Методы менеджмента безопасности информационных технологий»;

25. ГОСТ Р ИСО/МЭК 15408-1-2008 «Критерии и методы оценки безопасности информационных технологий. Введение и общая модель»;

26. РС БС ИББС 2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности по требованиям СТО БР ИББС 1.0»;

27. ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищённом исполнении»;

28. Руководящий документ Гостехкомиссии «Межсетевые экраны. Показатели защищённости от несанкционированного доступа к информации»;

29. Руководящий документ Гостехкомиссии «Средства вычислительной техники. Показатели защищённости от несанкционированного доступа к информации»;

30. Руководящий документ Гостехкомиссии «Классификация автоматизированных систем и требования по защите информации»;

31. Руководящий документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

32. Руководящий документ ФСТЭК «Методика оценки уровня исходной защищённости информационных систем персональных данных».

Размещено

Похожие записи