Разработка и внедрение политики безопасности ИС на предприятии

 

 «УТВЕРЖДАЮ»

Председатель ПЦК

_________________ К.А. Кузьменко

 

03  июня  2014 г.

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

Разработка и внедрение политики безопасности ИС

на предприятии

(наименование темы)

Автор выпускной квалификационной работы         Каргин Алексей Михайлович

(подпись, Ф.И.О.)

Группа 8 Т

Специальность 230401 Информационные системы (по отраслям)

(номер, наименование)

Руководитель работы Шатунов А.Н.

(подпись, звание, Ф.И.О., дата)

Консультант по разделам:

________________________________ ________________________________

(наименование раздела)    (подпись, звание, Ф.И.О., дата)

 

 

 

Выпускная квалификационная работа состоит из трех глав:

 первая глава звучит так  «Предмет информационной безопасности». Она имеет три подпункта –  понятие ИБ, признаки и составные части.

вторая глава называется «Существующая политика безопасности ИС», которая также имеет два подпункта – сведения об организации и существующая политика безопасности. Положение защиты персональных данных. виды защиты ИС.

третья глава называется «Dallas Lock – наилучшее решение для защиты персональных данных в МАОУ ДОД ЦТР и ГО «Информационные технологии»».

Объем всей ВКР составляет 40 листов стандартного формата А4.

Далее идут определения темы ВКР:

разработка-это род деятельности (профессия) и процесс, направленный на создание и поддержание работоспособности, качества и надежности программного обеспечения, используя технологии, методологию и практики из информатики, управления проектами, математики, инженерии и других областей знания.

внедрение-процесс настройки программного обеспечения под определенные условия использования, а также обучения пользователей работе с программным продуктом.

политика безопасности - совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации

информационная система-1)совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать надлежащих людей надлежащей информацией.

                                           2) подмножество компонентов ИС  в широком смысле, включающее  базы данных, СУБД и специализированные прикладные программы.

предприятие - самостоятельный, организационно-обособленный хозяйствующий субъект с правами юридического лица, который производит и сбывает товары, выполняет работы, оказывает услуги.

 

 

 

 

 

 

 

Содержание:

Введение

Глава 1.Предмет информационной безопасности

1. Понятие информационной безопасности. Признаки. Составные части
2. Методическая документация. Стандарты. Государственные органы и службы РФ
3. Способы и средства обеспечения информационной безопасности.

Глава 2.Существующая политика безопасности на организации

2.1.Сведения об  организации

2.2.Существующая политика на предприятии. Положение защиты персональных данных. Виды защиты информации.

Глава 3.Рекомендация по улучшению безопасности персональных данных

3.1.Dallas Lock – наилучшее решение для защиты персональных данных в МАОУ ДОД ЦТР и ГО «Информационные технологии».

Заключение

Список литературы

Список интернет-ресурсов

Приложения

 

 

 

 

 

 

 

Введение

В XXI веке безопасность информации является одним из важнейших направлений в IT-сфере, поскольку в наше время утечка информации может навредить большой экономический и технический вред предприятию.

Целью данной дипломной работы является:

-повышение безопасности персональных данных.

Задачей данной дипломной работы является:

-изучить  политики безопасности  ИС на предприятии;

- рассмотреть все возможные  варианты политики информационной безопасности на организации;

-разработать и внедрить  рекомендацию по совершенствованию  информационной безопасности персональных данных.

Объектом является безопасность персональные данные организации сферы образования.

Предметом - способы обеспечения безопасности персональных данных.

Внедрение наиболее благоприятной политики безопасности ИС на предприятии в дальнейшем будет приносить больше пользы, чем вред.

В наше время безопасность информации очень быстро развивается. Появляются все новые и новые системы ее защиты в связи с появлением новых угроз утечки информации с предприятия.

Все больше и больше создаются вредоносных ПО для кражи ИС. Но наиболее распространено кража персональных данных о сотруднике в каждой организации. Этим охотно пользуются злоумышленники в своих корыстных целях: вымогательство, шантаж, слежка и т. д.

Политика безопасности лежит в основе организационных мер защиты информации. От ее эффективной работы зависит успешность любых организационных моментов в работе организации.

Термин «Политика безопасности» может применяться в широком и в узком смыслах этого слова.

В широком смысле, Политика безопасности – система документированных управленческих решений по обеспечению безопасности организации.

В узком смысле, Политика безопасности – локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий. а также ответственность сотрудников организации  и механизмы контроля для определенной области  обеспечения информационной безопасности.

Таким образом, изучение и внедрение новых и наиболее благоприятных политик безопасности ИС на предприятии позволит не только обеспечить качественное хранение информации на предприятии, но и обеспечит хорошего развития этого предприятия.

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 1.Определение информационной безопасности.

1.1 Понятие. Признаки. Составные части.

Информационная безопасность – это политика сохранности ресурсов информатизации страны (государства) и защищенности прав личности и общества в IT-сфере.1

В настоящее время существует две составляющие IT-сферы: информационно-техническая, которая представляет собой искусственно созданный человеком мир техники и стандартов, и информационно-психологическую, то есть естественный мир живой природы, в который входит и сам человек. Из этого можно отметить, что информационная безопасность представлена двумя составными частями. Это информационно-техническая безопасность и информационно-психологическая безопасность.

Одними из признаков стандартной модели безопасности являются три категории:

1. Конфиденциальность (confidence-доверие) - обеспечение доступа к информации только автоматизированным пользователям.2

Эта категория имеет директиву «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (№ 95/46/EC), которая затрагивает вопрос конфиденциальности в своей области. Согласно данной директиве, «оператор» - физическое или юридическое лицо, определяющее цели и способы обработки персональных данных, когда цели и способы определены законодательством.3

2. Целостность - обеспечение достоверности и полноты информации и методов ее обработки.4

Эту категорию используют в криптографии, компьютерных сетях, корпоративных информационных системах.

Основные методы: обеспечение процессов отказов (резервирование, дублирование);5 обеспечение безопасного восстановления (резервное копирование).6

3. Доступность-обеспечение доступа к информации и связанные с ней активами авторизованных пользователей по мере необходимости.7

Основные методы: системы бесперебойного питания; резервирование и дублирование мощностей; планы непрерывности бизнес-процессов.

Иногда выделяют дополнительные категории информационной безопасности: неотказуемость (апеллируемость) – способность удостоверить имеющее место действия или событие так, чтобы они не могли быть позже отвергнуты; подотчетность – обеспечение аутентификации субъекта доступа и регистрации его действий; достоверность – способность сходства, которому предусмотрено поведение или результат; аутентичность (подлинность) –способность, при котором есть гарантия, что субъект или ресурс будут идентичны заявленным

Системный подход к описанию информационной безопасности предлагает выделить следующие составные части информационной безопасности: Конституция Российской Федерации, общепризнанные принципы и нормы международного права, Концепция безопасности Союза Беларуси и России;8 Концепция  национальной безопасности РФ;9 организационно-технические и режимные меры и методы (Политика информационной безопасности); программно-технические способы и средства обеспечения информационной безопасности.

Основной целью реализации безопасности объекта на предприятии является Система обеспечения информационной безопасности данного объекта (СОИБ). Для этого был разработан план действий, по которому нужно следовать:

• выявить требования защиты информации, специфичные для данного объекта защиты;
• учесть требования национального и международного Законодательства;
• использовать наработанные практики (стандарты);
• определить между отделами области ответственности в осуществлении требований СОИБ;
• на основе рисков информационной безопасности выявить общие положения, технические и организационные требования, составляющие политику безопасности объекта защиты;
• реализовать менеджмент безопасности (СМИБ):

Система менеджмента информационной безопасности (СМИБ) – это часть общей системы менеджмента, которая основывается на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности.10

• используя СМИБ, установить организацию регулярного контроля эффективности СОИБ.

1.2. Методические рекомендации. Стандарты и государственные службы РФ

Методическими документами государственных органов Российской Федерации являются:

• доктрина информационной безопасности РФ:

Доктрина информационной безопасности РФ – совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.11 Является одним из основных документов по информационной безопасности, изучение которого обязательно.

Составляющие в доктрине:

• обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею;
• развитие современных информационных технологий отечественной индустрии.
• руководящие документы ФСТЭК (Гостехкомиссии России):

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.12

Документами ФСТЭК являются: нормативно-правовые акты;13 организационно-распорядительные документы;14 нормативные и методические документы;15 подготовленные проекты документов по технической защите информации;16 приказы ФСБ.

Приведенные далее приказы показывают значимость защиты информации в государственных службах:

• приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31.08.2010 «Об утверждении  Требований о защите информации, содержащейся в информационных системах  общего пользования» (Зарегистрировано в Минюсте РФ 13.10.2014 №18704).17
• приказ ФСБ РФ от 27.02.2009 № 75 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и(или) оказанием услуг по защите государственной тайны» (Зарегистрировано в Минюсте РФ 06.04.2009 № 13686).18
• приказ ФСБ РФ от 30 .07.2009 № 365 «Об утверждении Административного регламента Федеральной безопасности РФ по исполнению государственной функции по принятию решений о ввозе в РФ и вывозе из РФ специальных технических средств. Предназначенных для негласного получения информации».19
• постановление «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».