Разработка политики безопасности

Автор: Пользователь скрыл имя, 25 Декабря 2011 в 22:52, курсовая работа

Описание работы

Цель работы:

1) разработать политику безопасности предприятия;

2) определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов

Работа содержит 1 файл

курсовая по ЗИВАС.doc

— 1.32 Мб (Скачать)

сети, имеют  неограниченные возможности модификации  и развития. На предприятии Эльдорадо  в качестве организационных мер  по безопасности выступают служба безопасности и пропускной режим.

    Служба  безопасности (СБ) является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю предприятия. Такая структура управления системой безопасности, имеющая четкую вертикаль, характерна для области обеспечения безопасности, где требуется определенность, четкие границы, регламентация отношений на всех уровнях – от рядового сотрудника до менеджеров высшего звена.

    Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности. При этом руководитель СБ должен обладать максимально возможным кругом полномочий, позволяющим ему влиять на другие подразделения и различные области деятельности предприятия, если этого требуют интересы безопасности.

    Основными задачами службы безопасности предприятия  являются:

    1) обеспечение безопасности производственно-торговой  деятельности и защиты информации  и сведений, являющихся коммерческой  тайной;

    2) организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;

    3) организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;

    4) предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;

    5) выявление и локализации возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;

    6) обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством как на национальном, так и на международном уровне;

    7) обеспечение охраны зданий, помещений,  оборудования, продукции и технических  средств обеспечения производственной  деятельности;

    8) обеспечение личной безопасности  руководства и ведущих сотрудников  и специалистов;

    9) оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.  

ЗАКЛЮЧЕНИЕ 

В настоящее  время информационная безопасность – одна из актуальных проблем, стоящих  не только перед коммерческими предприятиями, но и почти перед каждым человеком, который живущим в современном обществе. В наше время повсеместной автоматизации, доступ злоумышленников к некоторым АС может привести поистине к катастрофическим последствиям. Поэтому защите надо уделять очень большое внимание.

К сожалению  абсолютной защиты не существует. Обход тех или иных средств защиты вопрос только времени, денег и желания. Поэтому при разработке защиты необходимо учитывать ценность защищаемого объекта. Нельзя также останавливаться на достигнутом. Практически совершенная защита сегодня завтра может превратиться лишь в небольшую помеху на пути злоумышленников.

      Туристическое агентство "Монреаль" работает с  персональными данными (данными  клиента), в данном курсовом проекте  создана структура и модель для  защиты туристического агентства, были тщательно подобраны все аппаратные и технические средства защиты информации.  В данной модели используется такая программа, как "Кондор+", которая оказывает помощь администраторам в определении уровня защищенности системы от НСД.  

Приложение  А

ИСПОЛЬЗОВАНИЕ ПРОГРАММЫ «КОНДОР +»

    Отчет о проведенном тестировании информационной системы компании на соответствие требованиям  международного стандарта управления информационной безопасностью ISO 17799 представляет собой список оригинальных требований стандарта, отображаемый в виде дерева.

    КОНДОР 2006 - мощная система разработки и управления политикой безопасности информационной системы компании на основе стандарта ISO 17799. Это современный и удобный инструмент для разработки всех основных положений политики информационной безопасности Вашей компании и управления процессом внедрения этих положений на практике.

    Международный стандарт менеджмента безопасности ISO/IEC 17799 разработан на базе британского BS 7799, который предназначен для управления информационной безопасностью организации вне зависимости от ее сферы деятельности.

    Положения стандарта описывают такие аспекты, как:  
- политика безопасности  
- организационные меры  
- управление ресурсами  
- безопасность персонала  
- физическая безопасность  
- управление коммуникациями и процессами  
- контроль доступа  
- непрерывность ведения бизнеса  
- соответствие системы требованиям  
- разработка систем

    КОНДОР 2006 в простой и удобной форме  поможет разработать с нуля, проанализировать существующую политику безопасности, разработать и внедрить изменения и дополнения в соответствии со стандартом ISO 17799. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

    

    Рис. 1 - Отчет в системе Кондор + 

    Диаграммы и статистика представлены о числе выполненных в информационной системе требований стандарта ISO17799, а также уровень риска невыполнения требований стандарта в процентах (для Кондор +). 

    

 

    Рис. 2 - Диаграмма сводных данных в  Кондоре + 

    

 

    Рис. 3 - Диаграмма организационных мер 
 

Оценка  рисков для организационных  мероприятий

Высокий уровень:

2.  Организационные  меры

2.3. Должен существовать форум по координации вопросов, связанных с внедрением средств обеспечения информационной безопасности, целью которого является:

2.3.3. Поддержание  в организации "атмосферы"  информационной безопасности, в  частности, регулярное информирование персонала по эти вопросам

2.5.  Должны быть определены ресурсы,  имеющие отношение к информационной  безопасности по каждой системе

2.5.1. Для каждого ресурса (или процесса) должен быть назначен ответственный сотрудник из числа руководителей. Разграничение ответственности должно быть закреплено документально

2.6. При внедрении новой системы должен выполняться ряд требований

2.6.2. Все внедряемые компоненты должны быть проверены на совместимость с существующими частями системы.

Средний уровень:

2. Организационные меры

2.2. Разделы  форумов по информационной безопасности  должны быть посвящены:

2.2.4. Отслеживание и анализ важных изменений в структуре информационных ресурсов

2.2.6. Изучение  и анализ инцидентов с безопасностью

2.3. Должен  существовать форум по координации вопросов, связанных с внедрением средств

обеспечения информационной безопасности, целью  которого является:

    1. Выработка соглашений о разграничении ответственности за обеспечение информационной безопасности внутри организации
    2. Выработка специальных методик и политик, связанных с информационной безопасностью: анализ рисков, классификация по уровням безопасности
  1. Обеспечение обратной связи (оценка адекватности принимаемых мер безопасности в существующих системах) и координация внедрения средств обеспечения информационной безопасности в новые системы или сервисы
    1. Анализ инцидентов в области информационной безопасности, выработка рекомендаций

Низкий  уровень:

2. Организационные  меры

  1. В компании должны существовать форумы по информационной безопасности
  2. Разделы форумов по информационной безопасности должны быть посвящены:
    1. Обсуждению вносимых в политику изменений
    1. Принятию новой версии политики
    2. Согласование списков ответственных лиц

2.2.5. Принятие  важных инициатив по усилению  мер безопасности

2.3. Должен существовать форум по координации вопросов, связанных с внедрением средств обеспечения информационной безопасности, целью которого является:

2.3.4. Обеспечение обязательности учета вопросов информационной безопасности при стратегическом и оперативном планировании 
 
 
 
 
 
 

Рис. 4. - Диаграмма контроль доступа 

Оценка  рисков контроля доступа

Высокий уровень:

7. Контроль  доступа

7.2. Правила контроля доступа

  1. Создание правил доступа по принципу "Запрещено все, что не разрешено явно"
  2. Определение действий, для осуществления которых нужен администратор

7.3. Регистрация пользователя должна подразумевать выполнение ряда особых мер

  1. Использование уникального идентификатора пользователя, по которому его можно однозначно идентифицировать. Применение групповых идентификаторов может быть разрешено только там, где это требуется для выполнения работы
  2. Проверка, что пользователь авторизован ответственным за систему для работы с ней. Возможно получение отдельного разрешения для наделения правами пользователя у руководства

7.3.4. Документальная фиксация назначенных пользователю прав доступа

7.5. Многопользовательская  система должна иметь формализацию  процесса авторизации

    1. Привилегии индивидуальных пользователей, выдающиеся по мере необходимости или от случая к случаю должны быть минимальны - только такие, какие необходимы
    2. Доступ должен предоставляться лишь после успешного прохождения процессов идентификации и аутентификации. Факт получения доступа должен фиксироваться в системном журнале.

7.8. При использовании паролей все пользователи должны знать правила работы с ними

    1. При компрометации (разглашении или подозрении на разглашение пароля) немедленно менять пароли
    2. Выбирать качественные пароли

7.9. Качественным паролем считается пароль, удовлетворяющий специальным условиям

    1. Пароль не является легко идентифицируемой информацией
    2. Пароль не является повторяющейся последовательностью каких-либо символов
    3. Пользователь обязан не сообщать другим пользователям личный пароль, не регистрировать их в системе под своим паролем
    4. Оборудование пользователей, оставляемое без присмотра должно удовлетворять требованиям безопасности. Пользователи должны:

Информация о работе Разработка политики безопасности