- •Разработка политики информационной безопасности
- •230201 "Информационные системы и технологии"
- •Цель работы
- •Тематика и объем курсовой работы
- •Этапы и график выполнения курсовой работы
- •Содержание пояснительной записки
- •4.1. Определение производственных систем и процессов, подлежащих защите
- •4.2. Определение целей политики безопасности
- •4.3. Рекомендации по разработке правил информационной безопасности
- •Оформление пояснительной записки
- •Список рекомендуемой литературы
- •Для студентов очной формы образования специальности 230201 "Информационные системы и технологии"
4.1. Определение производственных систем и процессов, подлежащих защите
На первом этапе необходимо определить перечень информации, относящейся к конфиденциальной, и выделить производственные системы и процессы, в которых происходит обращение этой информации. Это поможет определить, сколько и каких правил должно быть разработано для успешной деятельности компании, а после разработки позволит узнать, все ли стороны деятельности компании охвачены разрабатываемыми правилами.
4.2. Определение целей политики безопасности
Прежде чем приступать к разработке руководящих документов, необходимо определить глобальные цели политики.
Выделенные и рассмотренные на предыдущем этапе производственные системы необходимо разбить на отдельные компоненты по типу используемых материальных и нематериальных ресурсов.
Правила могут быть написаны для защиты аппаратных средств, программного обеспечения, средств доступа к информации, людей, внутренних коммуникаций, сети, телекоммуникаций и т.д.
Как правило, выделяют следующий минимум целей:
система контроля доступа в помещения организации;
аппаратные средства информационных технологий (в том числе локальная вычислительная сеть и инвентаризационный учёт);
программные средства информационных технологий (в том числе подсистема резервирования и архивации информации);
система управления доступом к информационной системе предприятия (политики учётных записей и паролей);
кадровая политика;
система антивирусной защиты;
система внешнего доступа к информационным ресурсам предприятия (в зависимости от сложности может быть разделена на отдельные системы электронной почты, Web и т.д.);
внекомпьютерные информационные ресурсы (бумажные документы и т.п.)
4.3. Рекомендации по разработке правил информационной безопасности
При разработке правил контроля доступа в помещения организации рекомендуется рассмотреть не только вопросы организации охраны объектов и пропускных пунктов, но и такие вопросы как: размещение оборудования в здании, используемые двери и запорные устройства, система регистрации лиц, имеющих право доступа, в случаях использования этого права. Отдельно рекомендуется проработать вопросы защиты информации в случае пожаров и других бедствий, несвязанных с действиями злоумышленников.
В предписаниях правил, относящихся к аппаратному обеспечению, рекомендуется регламентировать вопросы инвентаризационного учёта аппаратного обеспечения (особенно, носителей конфиденциальной информации), подключения к локальной вычислительной сети предприятия. Особое внимание следует уделить вопросу очистки и уничтожения носителей конфиденциальной информации, т.к. обычно они просто выкидываются.
При проработке цели «программное обеспечение информационных технологий» следует уделить внимание вопросам открытости применяемых программных продуктов, их лицензионной чистоты, а также сертификации соответствующими органами Российской Федерации.
Оформление пояснительной записки
Правила информационной безопасности могут быть оформлены единым документом. Однако чтобы упростить пользование ими, на практике рекомендуется оформлять их в виде отдельных документов для каждой из выделенных целей. Тогда их будет легче понимать, легче внедрять и проще организовать изучение этих документов, поскольку каждому аспекту политики безопасности будет посвящен свой собственный документ. Небольшие документы также легче корректировать и обновлять.
При оформлении пояснительной записки по курсовой работе каждая цель должна быть описана в отдельном разделе пояснительной записки. Наименования разделов задаются именем соответствующей им цели политики.