Разработка политики безопасности при эксплуатации и сопровождении ИС с целью обеспечения сохранности конфиденциальной информации

Автор работы: Пользователь скрыл имя, 12 Марта 2014 в 21:59, курсовая работа

Описание работы

Наибольшими возможностями для нанесения ущерба Управления обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне общества), либо иметь непреднамеренный ошибочный характер. Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.

Содержание работы

Введение 4
1.1. Цели 5
1.2. Задачи 5
2. Политика информационной безопасности 6
2.1. Назначение политики информационной безопасности 6
2.2. Основные принципы обеспечения ИБ 7
2.3. Соответствие ПБ действующему законодательству 7
2.4. Ответственность за реализацию политик информационной безопасности 7
2.5. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе 8
2.6. Защищаемые информационные ресурсы 8
2.7. Организация системы управления информационной безопасностью 10
2.7.1. Организация системы управления ИБ 10
2.7.2. Реализация системы управления ИБ 11
2.7.3. Методы оценивания информационных рисков 12
3. Политики информационной безопасности 13
3.1. Политика предоставления доступа к информационному ресурсу 13
3.1.1. Порядок создания (продления) учетной записи пользователя 14
3.1.2. Порядок предоставления (изменения) полномочий пользователя 14
3.1.3. Порядок удаления учетной записи пользователя 15
3.1.4. Порядок хранения исполненных заявок 16
3.2. Политика учетных записей 16
3.3. Политика использования паролей 17
3.4. Политика реализации антивирусной защиты 20
3.5. Политика защиты АРМ 22
4. Порядок сопровождения ИС Управления 25
5. Профилактика нарушений политик информационной безопасности 26
6. Ликвидация последствий нарушения политики информационной безопасности 27
7. Ответственность нарушителей ПБ 27
8. Регулирующие законодательные нормативные документы 27
8.1. Основополагающие нормативные документы 28
8.2. Законы Российской Федерации 29
8.3. Указы и распоряжения Президента Российской Федерации 30
8.4. Постановления и распоряжения Правительства Российской Федерации 32
8.5. Нормативные и руководящие документы Федеральных служб РФ 32
8.6. Государственные стандарты 33
Заключение 34
Библионграфический сиписок 35

Скачать архив (64.50 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

Polit bez.docx

— 66.99 Кб (Скачать файл)

Открытая – информация, полученная от физических или юридических лиц, запрет на распространение и обработку которой был ими официально снят. Информация, сформированная в результате деятельности Управления, которую запрещено относить конфиденциальной на основании законодательства России. Информация, представляемая в публичный доступ, используемая в хозяйственной деятельности Управления;

Ограниченного доступа – информация, не попадающая под остальные категории, доступ к которой должен быть ограничен определенной категории лиц.

Конфиденциальная информация представляет собой сведения ограниченного доступа, включая персональные данные, для которых в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.

Правила отнесения информации к конфиденциальной и порядок работы с конфиденциальными документами, определяются Инструкциями по обращению с носителями конфиденциальной информации, а также «Перечнем сведений конфиденциального характера».

Подходы к решению проблемы защиты информации, в общем виде, сводятся к исключению неправомерных или неосторожных действий со сведениями, относящимися к информации ограниченного распространения, а также с информационными ресурсами, являющимися критичными для обеспечения функционирования процессов на предприятии.

Для этого выполняются следующие мероприятия:

    • определяется порядок работы с документами, образцами изделиями и др., содержащими конфиденциальные сведения;

    • устанавливается круг лиц и порядок доступа к подобной информации;

    • вырабатываются меры по контролю обращения с документами, содержащими конфиденциальные сведения;

    • включаются в трудовые договоры с сотрудниками обязательства о неразглашении конфиденциальных сведений и определяются санкции за нарушения порядка работы с ними и их разглашение.

Форма подписки о неразглашении сведений конфиденциального характера подписывается при заключении трудового договора, который подписывается всеми сотрудниками учреждения при приеме на работу. Защита конфиденциальной информации, принадлежащей третьей стороне, осуществляется на основании договоров, заключаемых предприятием с другими организациями. Персональные данные сотрудника учреждения – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника.

Согласно Ст. 86 п.7 Трудового кодекса РФ защита персональных данных сотрудника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

Согласно Ст.88 Трудового кодекса РФ при передаче персональных данных сотрудника работодатель должен соблюдать следующие требования:

    • осуществлять передачу персональных данных сотрудника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым сотрудник должен быть ознакомлен под расписку;

    • разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудника, которые необходимы для выполнения конкретных функций.

Согласно Ст.90 Трудового кодекса РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

      1. Организация системы управления информационной безопасностью Управления
      1. Организация системы управления ИБ

Система управления информационной безопасности(СУИБ) – предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности Управления.

Для успешного функционирования СУИБ должны быть реализованы следующие процессы:

    • определение и уточнение области действия СУИБ и выбор подхода к оценке рисков ИБ.

    • определение и уточнение области действия СУИБ должно осуществляться на основе результатов оценки рисков, связанных с основной деятельностью Управления, а также оценки правовых рисков деятельности Управления;

    • анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов.

    • выбор и уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ.

    • принятие руководством остаточных рисков и решения о реализации и эксплуатации/совершенствовании СУИБ. Остаточные риски ИБ должны быть соотнесены с рисками деятельности Управления, и оценено их влияние на достижение целей деятельности.

      1. Реализация системы управления ИБ

В системе управления ИБ должны быть реализованы следующие процессы:

    • разработка плана обработки рисков ИБ;

    • реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СУИБ;

    • реализация программ по обучению и осведомленности ИБ;

    • обнаружение и реагирование на инциденты безопасности;

    • обеспечение непрерывности деятельности и восстановления после прерываний.

На этапе планирования определяется политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Предприятием принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков.

На этапе проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

      1. Методы оценивания информационных рисков

Оценка информационных рисков Управления выполняется по следующим основным этапам:

    • идентификация и количественная оценка информационных ресурсов, значимых для работы предприятия

    • оценивание возможных угроз;

    • оценивание существующих уязвимостей;

    • оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые уязвимые информационные ресурсы предприятия подвергаются риску, если по отношению к ним существуют какие-либо угрозы.

При этом информационные риски зависят от:

    • показателей ценности информационных ресурсов;

    • вероятности реализации угроз для ресурсов;

    • эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности организации.

При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса Управления.

При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:

    • привлекательностью ресурса, используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

    • возможностью использования ресурса для получения дохода, также используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

    • техническими возможностями реализации угрозы, используется при умышленном воздействии со стороны человека;

    • степенью легкости, с которой уязвимость может быть использована.

  1. Политики информационной безопасности
    1. . Политика предоставления доступа к информационному ресурсу

Назначение

Настоящая Политика определяет основные правила предоставления сотрудникам доступа к защищаемым информационным ресурсам педприятия.

Положение политики

К работе с информационным ресурсом допускаются пользователи, ознакомленные с правилами работы с информационным ресурсом и ответственностью за их нарушение, а также настоящей политикой.

Каждому сотруднику предприятия, допущенному к работе с конкретным информационным ресурсом, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в ИС.

В случае необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе на предприятии одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.

      1. Порядок создания (продления) учетной записи пользователя

Процедура регистрации (создания учетной записи), так же продления срока действия временной учетной записи пользователя для сотрудника предприятия инициируется заявкой (Приложение № 1).

В заявке указывается:

    • должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника;

    • основание для регистрации учетной записи (номер приказа о принятии на работу на предприятии или иного договорного документа, определяющего необходимость предоставления сотруднику доступа к информационным ресурсам предприятия).

Заявку подписывает начальник кадровой службы подтверждающий, что указанный сотрудник действительно принят в штат предприятия.

Заявка согласуется с администратором информационной безопасности и передается системному администратору (программисту).

Системный администратор рассматривает представленную заявку и совершает необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и минимальных прав доступа к ресурсам предприятия.

По окончании регистрации учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей.

Минимальные права в ИС предприятия, определенные выше, а также присвоение начального пароля производится администратором информационной безопасности, при согласовании заявки на предоставление (изменение) прав доступа пользователя к информационным ресурсам.

      1. Порядок предоставления (изменения) полномочий пользователя

Информация о работе Разработка политики безопасности при эксплуатации и сопровождении ИС с целью обеспечения сохранности конфиденциальной информации