Разработка политики безопасности

ВВЕДЕНИЕ

     Нынешний  век, наверно, уже войдет в историю  человечества как век информации, и роль информации в жизни цивилизации  все возрастает. Информация сегодня  – это и средство обеспечения  успеха в бизнесе, и объект самой  серьезной защиты, это и один из наиболее значимых активов предприятия, и один из наиболее существенных элементов предпринимательских рисков. К сожалению, информационные системы становятся все более уязвимыми, требующими серьезной многоуровневой защиты, механизмов контроля и резервирования. Существенно вырастает цена, которую приходится платить владельцу ценной информации, не предпринимающему к защите своих тайн должных усилий.

     В период существования примитивных  носителей информации ее защита осуществлялась организационными методами, которые включали ограничение и разграничение доступа, определенные меры наказания за разглашение тайны. По свидетельству Геродота, уже в V веке до новой эры использовалось преобразование информации методом кодирования. Коды появились в глубокой древности в виде криптограмм (по-гречески — тайнопись). Спартанцы имели специальный механический прибор, при помощи которого важные сообщения можно было писать особым способом, обеспечивающим сохранение тайны. Собственная секретная азбука была у Юлия Цезаря. В средние века и эпоху Возрождения над изобретением тайных шифров трудились многие выдающиеся люди, в их числе известный философ Френсис Бэкон, крупные математики — Франсуа Виет, Джероламо Кардано, Джон Валлис.

      С переходом на использование технических  средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т. д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распространением технических средств связи возросли возможности для преднамеренного доступа к информации.

      С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. Этому способствовали:

1. увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ и других средств вычислительной техники;
2. сосредоточение в единых базах данных информации различного назначения и принадлежности;
3. расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам данных;
4. усложнение режимов функционирования технических средств вычислительной системы: широкое внедрение многопрограммного режима, режима разделения времени и реального времени;
5. автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях;
6. увеличение количества технических средств и связей в автоматизированных системах управления и обработки данных;
7. появление персональных ЭВМ, расширяющих возможности не только пользователя, но и нарушителя.

      К настоящему времени и в самом  человеческом обществе, и в технологии обработки данных произошли большие  изменения, которые повлияли на саму суть проблемы защиты информации. В последнее время широкое распространение получил новый вид компьютерного преступления - создание компьютерных вирусов, в качестве которых выступают специально разработанные программы, начинающие работать только по определенному сигналу. При этом вирус может размножаться, словно возбудитель болезни, когда соприкасается с другим программным обеспечением. Последствия от "заражения" программ подобными вирусами могут быть различными: от безобидных шуток в виде юмористических помех до разрушения программного обеспечения, восстановление которого может оказаться невозможным, а потери невосполнимыми. 

     Цель  работы:

      1) разработать политику безопасности предприятия;

      2) определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов 

      Задачи:

      1) оценка предприятия и его ресурсов;

      2) классификация автоматизированной системы предприятия;

      3) описание угроз информационной безопасности предприятия;

      4) создание модели нарушителя;

      5) описание матрицы доступа на предприятии 
 

  Обзор источников информации по теме курсового  проекта

    В данном курсовом проекте политика безопасности предприятия "Монреаль" основывается на федеральном законе:

    Федеральный закон Российской Федерации от 26 января 2007 г. N 152-ФЗ о защите персональных данных;

    Согласно  данному закону в настоящем курсовом проекте вводятся следующие  используемые понятия:

    Статья 3. Основные понятия, используемые в настоящем Федеральном законе. В настоящем Федеральном законе используются следующие основные понятия:

    1) персональные данные - любая информация, относящаяся к определенному  или определяемому на основании  такой информации физическому  лицу (субъекту персональных данных), в том числе его фамилия,  имя, отчество, год, месяц, дата  и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

    2) оператор - государственный орган,  муниципальный орган, юридическое  или физическое лицо, организующие  и (или) осуществляющие обработку  персональных данных, а также определяющие цели и содержание обработки персональных данных;

    3) обработка персональных данных - действия (операции) с персональными  данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

    4) распространение персональных данных - действия, направленные на передачу  персональных данных определенному  кругу лиц (передача персональных  данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

    5) использование персональных данных - действия (операции) с персональными  данными, совершаемые оператором  в целях принятия решений или  совершения иных действий, порождающих  юридические последствия в отношении  субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

    6) блокирование персональных данных - временное прекращение сбора,  систематизации, накопления, использования,  распространения персональных данных, в том числе их передачи;

    7) уничтожение персональных данных - действия, в результате которых  невозможно восстановить содержание  персональных данных в информационной  системе персональных данных  или в результате которых уничтожаются  материальные носители персональных данных;

    8) обезличивание персональных данных - действия, в результате которых  невозможно определить принадлежность  персональных данных конкретному  субъекту персональных данных;

    9) информационная система персональных  данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

    10) конфиденциальность персональных  данных - обязательное для соблюдения  оператором или иным получившим  доступ к персональным данным  лицом требование не допускать  их распространение без согласия  субъекта персональных данных или наличия иного законного основания;

    11) трансграничная передача персональных  данных - передача персональных данных  оператором через Государственную  границу Российской Федерации  органу власти иностранного государства,  физическому или юридическому  лицу иностранного государства;

     12) общедоступные персональные данные - персональные данные, доступ неограниченного  круга лиц к которым предоставлен  с согласия субъекта персональных  данных или на которые в  соответствии с федеральными  законами не распространяется требование соблюдения конфиденциальности.

    Вся информация, циркулирующая на предприятии отоджествяляется как объект правовых отношений, согласно 5 статье ФЗ N 152.

    Статья 5. Информация как объект правовых отношений

    1. Информация может являться объектом  публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации, либо иные требования к порядку ее предоставления или распространения.

    2. Информация в зависимости от  категории доступа к ней подразделяется  на общедоступную информацию, а  также на информацию, доступ к  которой ограничен федеральными  законами (информация ограниченного  доступа).

    3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:

    1) информацию, свободно распространяемую;

    2) информацию, предоставляемую по  соглашению лиц, участвующих в  соответствующих отношениях;

    3) информацию, которая в соответствии  с федеральными законами подлежит предоставлению или распространению;

    4) информацию, распространение которой  в Российской Федерации ограничивается  или запрещается.

    4. Законодательством Российской Федерации  могут быть установлены виды  информации в зависимости от  ее содержания или обладателя.

    Предприятие Монреаль является обладателем информации о персональных данных работников, и вправе:

    1) разрешать или ограничивать доступ  к информации, определять порядок  и условия такого доступа;

    2) использовать информацию, в том числе распространять ее, по своему усмотрению;

    3) передавать информацию другим  лицам по договору или на  ином установленном законом основании;

    4) защищать установленными законом  способами свои права в случае  незаконного получения информации  или ее незаконного использования иными лицами;

    5) осуществлять иные действия с  информацией или разрешать осуществление  таких действий.

    Обладатель  информации при осуществлении своих  прав обязан:

    1) соблюдать права и законные  интересы иных лиц;

    2) принимать меры по защите информации;

    3) ограничивать доступ к информации, если такая обязанность установлена  федеральными законами.

    Распространение информации регулируется строго в  соответствии с 10 статьей ФЗ № 149.

    Статья 10.

    1. В Российской Федерации распространение  информации осуществляется свободно при соблюдении требований, установленных законодательством Российской Федерации.

    2. Информация, распространяемая без  использования средств массовой  информации, должна включать в  себя достоверные сведения о  ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.

    3. При использовании для распространения  информации средств, позволяющих  определять получателей информации, в том числе почтовых отправлений  и электронных сообщений, лицо, распространяющее информацию, обязано обеспечить получателю информации возможность отказа от такой информации.

    4. Предоставление информации осуществляется  в порядке, который устанавливается  соглашением лиц, участвующих  в обмене информацией.

    5. Случаи и условия обязательного  распространения информации или  предоставления информации, в том  числе предоставление обязательных  экземпляров документов, устанавливаются  федеральными законами.