Разработка политики безопасности при эксплуатации и сопровождении ИС с целью обеспечения сохранности конфиденциальной информации

Автор работы: Пользователь скрыл имя, 12 Марта 2014 в 21:59, курсовая работа

Описание работы

Наибольшими возможностями для нанесения ущерба Управления обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне общества), либо иметь непреднамеренный ошибочный характер. Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.

Содержание работы

Введение 4
1.1. Цели 5
1.2. Задачи 5
2. Политика информационной безопасности 6
2.1. Назначение политики информационной безопасности 6
2.2. Основные принципы обеспечения ИБ 7
2.3. Соответствие ПБ действующему законодательству 7
2.4. Ответственность за реализацию политик информационной безопасности 7
2.5. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе 8
2.6. Защищаемые информационные ресурсы 8
2.7. Организация системы управления информационной безопасностью 10
2.7.1. Организация системы управления ИБ 10
2.7.2. Реализация системы управления ИБ 11
2.7.3. Методы оценивания информационных рисков 12
3. Политики информационной безопасности 13
3.1. Политика предоставления доступа к информационному ресурсу 13
3.1.1. Порядок создания (продления) учетной записи пользователя 14
3.1.2. Порядок предоставления (изменения) полномочий пользователя 14
3.1.3. Порядок удаления учетной записи пользователя 15
3.1.4. Порядок хранения исполненных заявок 16
3.2. Политика учетных записей 16
3.3. Политика использования паролей 17
3.4. Политика реализации антивирусной защиты 20
3.5. Политика защиты АРМ 22
4. Порядок сопровождения ИС Управления 25
5. Профилактика нарушений политик информационной безопасности 26
6. Ликвидация последствий нарушения политики информационной безопасности 27
7. Ответственность нарушителей ПБ 27
8. Регулирующие законодательные нормативные документы 27
8.1. Основополагающие нормативные документы 28
8.2. Законы Российской Федерации 29
8.3. Указы и распоряжения Президента Российской Федерации 30
8.4. Постановления и распоряжения Правительства Российской Федерации 32
8.5. Нормативные и руководящие документы Федеральных служб РФ 32
8.6. Государственные стандарты 33
Заключение 34
Библионграфический сиписок 35

Скачать архив (64.50 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

Polit bez.docx

— 66.99 Кб (Скачать файл)

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

 «Тульский государственный  университет»

 

 

 

Политехнический институт

Факультет транспортных и технологических систем

 

Кафедра «Технология полиграфического производства и защиты информации»

 

Дисциплина:

«Организация и управление службой защиты информации»

Задание на выполнение контрольно-курсовой работы

Разработка политики безопасности при эксплуатации и сопровождении ИС с целью обеспечения сохранности конфиденциальной информации.

 

 

 

Выполнил ст. гр.____________

___________________(Ф.И.О.)

«____» _______________20__ г.

 

Проверил__________________

___________________(Ф.И.О.)

«____» _______________20__ г.

 

 

 

Тула 2013

 

Содержание Библионграфический сиписок 35

 

 

Введение

            Традиционно в мировой практике политикой безопасности организации называется документ, в котором определены концептуальные и общеорганизационные вопросы информационной безопасности, отражены основные направления, цели и задачи, обязательства и важнейшие принципы деятельности предприятия в области информационной безопасности, официально сформулированные его высшим руководством и принятые к обязательному выполнению на предприятии. Согласно ИСО/МЭК 15408-99 «Общие критерии» политика безопасности организации - это одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. Политика безопасности является одним из компонентов среды безопасности, включающей также законы, опыт, специальные навыки, знания и угрозы безопасности, присутствие которых в этой среде установлено или предполагается. Изложение политики безопасности организации включается в такие документы как Профиль защиты и Задание по безопасности. В дальнейшем положения политики безопасности используются при формулировании Целей безопасности объекта оценки и его среды. Также требуется наличие механизмов проверки соответствия политике безопасности объекта оценки. Политика безопасности рассматривается в «Общих критериях» как одно из базовых начальных условий для разработки и оценки информационных систем. 

 

      1. Цели

Основными целями политики ИБ являются защита информации учреждения и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в его уставе.

Общее руководство обеспечением ИБ осуществляет начальник отдела ИБ. Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет сотрудник отвечающий за функционирование автоматизированной системы и выполняющий функции администратора информационной безопасности (далее администратор информационной безопасности).

Руководители структурных подразделений учреждения ответственны за обеспечение выполнения требований ИБ в своих подразделениях.

Сотрудники учреждения обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования политики и других документов ИБ.

      1. Задачи

Политика информационной безопасности направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Наибольшими возможностями для нанесения ущерба Управления обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне общества), либо иметь непреднамеренный ошибочный характер. Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.

Разработанная на основе прогноза политика ИБ и в соответствии с ней построенная система управления ИБ является наиболее правильным и эффективным способом добиться минимизации рисков нарушения ИБ для Управления. Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.

Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.

Задачами настоящей политики являются:

    • описание организации системы управления информационной безопасностью

    • определение Политик информационной безопасности, а именно:

    • Политика реализации антивирусной защиты;

    • Политика учетных записей;

    • Политика предоставления доступа к информационному ресурсу;

    • Политика использования паролей;

    • Политика защиты АРМ;

    • Политика конфиденциального делопроизводства;

    • определение порядка сопровождения ИС.

    1. Область действия

Политика распространяется на все структурные подразделения компании и обязательна для исполнения всеми его сотрудниками и должностными лицами. Положения политики применимы для использования во внутренних нормативных и методических документах, а также в договорах.

  1. Политика информационной безопасности
      1. Назначение политики информационной безопасности

Политика информационной безопасности – это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации на предприятии.

Под политиками безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политики информационной безопасности относятся к административным мерам обеспечения информационной безопасности и определяют стратегию предприятия в области ИБ.

Политика информационной безопасности (далее, ПБ) регламентирует эффективную работу средств защиты информации. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политика информационной безопасности реализуется посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.

Все документально оформленные решения, формирующие политику, должны быть утверждены начальником предприятия.

      1. Основные принципы обеспечения ИБ

Основными принципами обеспечения ИБ являются следующие:

    • Постоянный и всесторонний анализ информационного пространства общества с целью выявления уязвимостей информационных активов.

    • Своевременное обнаружение проблем, потенциально способных повлиять на ИБ общества, корректировка моделей угроз и нарушителя.

    • Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию. При этом меры, принимаемые для обеспечения ИБ, не должны усложнять достижение уставных целей предприятия, а также повышать трудоемкость технологических процессов обработки информации.

    • Контроль эффективности принимаемых защитных мер.

    • Персонификация и адекватное разделение ролей и ответственности между сотрудниками учреждения, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

      1. Соответствие ПБ действующему законодательству

Правовую основу политик составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

      1. Ответственность за реализацию политик информационной безопасности

Ответственность за разработку мер и контроль обеспечения защиты информации несёт администратор информационной безопасности.

Ответственность за реализацию политик возлагается:

    • в части, касающейся разработки и актуализации правил внешнего доступа и управления доступом, антивирусной защиты, а также доведения правил политик до сотрудников предприятия – на администратора информационной безопасности;

    • в части, касающейся исполнения правил политики, – на каждого сотрудника предприятия, согласно их должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящей политики.

      1. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

Организация просвещения сотрудников Управления в области информационной безопасности возлагается на администратора информационной безопасности. Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности». Обучение сотрудников предприятия правилам обращения с конфиденциальной информацией, проводится путем:

    • проведения администратором информационной безопасности инструктивных занятий с сотрудниками, принимаемыми на работу на предприятие;

    • самостоятельного изучения сотрудниками внутренних нормативных документов предприятия.

Допуск персонала к работе с защищаемыми информационными ресурсами предприятия осуществляется только после его ознакомления с политикой, а так же иными инструкциями пользователей отдельных информационных систем. Согласие на соблюдение правил и требований настоящих политик подтверждается подписями сотрудников в «Журнале проведения инструктажа по информационной безопасности».

Допуск персонала к работе с конфиденциальной информацией Управления осуществляется после ознакомления с «Инструкцией по обращению с носителями конфиденциальной информации». Правила допуска к работе с информационными ресурсами лиц, не являющихся сотрудниками Управления, определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.

      1. Защищаемые информационные ресурсы

Различаются следующие категории информационных ресурсов, подлежащих защите на предприятии:

Конфиденциальная – информация, определенная в соответствии с Федеральным Законом от 27.07.2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», ФЗ от 27.07.2006 г. №152-ФЗ «О персональных данных», указом президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера», постановлением правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», предусмотренная Перечнем сведений конфиденциального характера.

Публичная – информация, получаемая из публичных источников (публикации в СМИ, теле и радиовещание и т.д.). Информация, предназначенная для размещения на внешних публичных ресурсах;

Информация о работе Разработка политики безопасности при эксплуатации и сопровождении ИС с целью обеспечения сохранности конфиденциальной информации