МЕТОДИКА ПОСТРОЕНИЯ КОРПОРАТИВНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ООО «РОСТОК - МЕБЕЛЬ»
|
Обозначения и сокращения 5
Введение 6
1 Изучение подходов, способов и лучших практик, применяемых для
построения комплексной системы защиты информации на промышленных предприятиях 8
2 Анализ существующих методов и средств, применяемых для контроля и защиты информации на предприятии ООО «Росток - мебель», разработка предложений по их совершенствованию и повышению их эффективности .. 13
2.1 Изучение возможностей систем и средств защиты,
используемых на предприятии ООО «Росток - мебель» 13
2.2 Разработка предложений по созданию комплексной защиты
на предприятии ООО «Росток-мебель» 17
3 Определение угроз безопасности информации на предприятии ООО
«Росток-мебель» 19
3.1 Модель нарушителя информационной безопасности ООО
«Росток-мебель» 19
3.2 Идентификация рисков информационной безопасности 21
3.2.1 Идентификация и определение ценности активов 21
3.2.2 Идентификация угроз безопасности информации на
предприятии ООО «Росток - мебель» 31
3.2.3 Идентификация уязвимостей активов
автоматизированной системы 33
3.3 Анализ риска информационной безопасности 37
3.3.1 Оценка последствий 37
3.3.2 Оценка вероятности инцидента 37
3.3.3 Определение уровня риска 38
3.4 Оценивание риска 43
4 Классификация информации в автоматизированной системе предприятия 44
5 Анализ организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных в ООО «Росток - мебель» 48
5.1 Персональные данные, обрабатываемые в информационных
системах персональных данных предприятия ООО «Росток - мебель» 48
5.2 Принципы обработки персональных данных на предприятии
ООО «Росток - мебель» 50
5.3 Условия обработки персональных данных на предприятии
ООО «Росток - мебель» 51
5.4 Согласие субъекта на обработку персональных данных 53
5.5 Доступ к персональным данным 55
5.5.1 Организация внутреннего доступа к персональным
данным субъектов персональных данных 55
5.5.2 Предоставление субъекту персональных данных
доступа к своим персональным данным 56
5.6 Ответственность за нарушение норм, регулирующих
обработку и обеспечение безопасности персональных данных 58
5.7 Технические меры по обеспечение безопасности
персональных данных при их обработке в информационных системах персональных данных ООО «Росток - мебель» 58
5.7.1 Существующие технические меры по обеспечению
безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Росток - мебель» 58
5.7.2 Требуемые технические меры по обеспечению
безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Росток - мебель» 61
6 Анализ материалов организаций и подразделений ведомства с целью
подготовки принятия решений по обеспечению защиты информации 67
6.1 Концепция информационной безопасности ООО «Росток - мебель» 67
6.2 Регламент информационной безопасности ООО «Росток -
мебель» 69
6.3 Корпоративная и частные политики информационной безопасности ООО «Росток - мебель» 70
7 Методика построения корпоративной системы защиты информации ООО «Росток - мебель» 72
7.1 Модель построения корпоративной системы защиты
информации ООО «Росток - мебель» 72
7.2 Методика построения корпоративной системы защиты
информации ООО «Росток - мебель» 75
7.3 Проведение оценки технико-экономического уровня и
эффективности предлагаемых и реализуемых организационно-технических решений 76
Заключение 78
Список использованных источников 79
Приложение А Структура участка локальной вычислительной сети бухгалтерии 81
Приложение Б Структура локальной вычислительной сети предприятия ООО
«Росток - мебель» 83
Приложение В Организационная структура предприятия ООО «Росток - мебель» 85
Введение 6
1 Изучение подходов, способов и лучших практик, применяемых для
построения комплексной системы защиты информации на промышленных предприятиях 8
2 Анализ существующих методов и средств, применяемых для контроля и защиты информации на предприятии ООО «Росток - мебель», разработка предложений по их совершенствованию и повышению их эффективности .. 13
2.1 Изучение возможностей систем и средств защиты,
используемых на предприятии ООО «Росток - мебель» 13
2.2 Разработка предложений по созданию комплексной защиты
на предприятии ООО «Росток-мебель» 17
3 Определение угроз безопасности информации на предприятии ООО
«Росток-мебель» 19
3.1 Модель нарушителя информационной безопасности ООО
«Росток-мебель» 19
3.2 Идентификация рисков информационной безопасности 21
3.2.1 Идентификация и определение ценности активов 21
3.2.2 Идентификация угроз безопасности информации на
предприятии ООО «Росток - мебель» 31
3.2.3 Идентификация уязвимостей активов
автоматизированной системы 33
3.3 Анализ риска информационной безопасности 37
3.3.1 Оценка последствий 37
3.3.2 Оценка вероятности инцидента 37
3.3.3 Определение уровня риска 38
3.4 Оценивание риска 43
4 Классификация информации в автоматизированной системе предприятия 44
5 Анализ организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных в ООО «Росток - мебель» 48
5.1 Персональные данные, обрабатываемые в информационных
системах персональных данных предприятия ООО «Росток - мебель» 48
5.2 Принципы обработки персональных данных на предприятии
ООО «Росток - мебель» 50
5.3 Условия обработки персональных данных на предприятии
ООО «Росток - мебель» 51
5.4 Согласие субъекта на обработку персональных данных 53
5.5 Доступ к персональным данным 55
5.5.1 Организация внутреннего доступа к персональным
данным субъектов персональных данных 55
5.5.2 Предоставление субъекту персональных данных
доступа к своим персональным данным 56
5.6 Ответственность за нарушение норм, регулирующих
обработку и обеспечение безопасности персональных данных 58
5.7 Технические меры по обеспечение безопасности
персональных данных при их обработке в информационных системах персональных данных ООО «Росток - мебель» 58
5.7.1 Существующие технические меры по обеспечению
безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Росток - мебель» 58
5.7.2 Требуемые технические меры по обеспечению
безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Росток - мебель» 61
6 Анализ материалов организаций и подразделений ведомства с целью
подготовки принятия решений по обеспечению защиты информации 67
6.1 Концепция информационной безопасности ООО «Росток - мебель» 67
6.2 Регламент информационной безопасности ООО «Росток -
мебель» 69
6.3 Корпоративная и частные политики информационной безопасности ООО «Росток - мебель» 70
7 Методика построения корпоративной системы защиты информации ООО «Росток - мебель» 72
7.1 Модель построения корпоративной системы защиты
информации ООО «Росток - мебель» 72
7.2 Методика построения корпоративной системы защиты
информации ООО «Росток - мебель» 75
7.3 Проведение оценки технико-экономического уровня и
эффективности предлагаемых и реализуемых организационно-технических решений 76
Заключение 78
Список использованных источников 79
Приложение А Структура участка локальной вычислительной сети бухгалтерии 81
Приложение Б Структура локальной вычислительной сети предприятия ООО
«Росток - мебель» 83
Приложение В Организационная структура предприятия ООО «Росток - мебель» 85
С развитием общества, экономики, правовой системы, с их усложнением повышается важность и роль информации. В наше время информация является материалом, работа с которым лежит в основе деятельности многих организаций. Бережное отношение к информации, обеспечение ее максимальной безопасности уже не просто блажь, а это необходимость, продиктованная ритмами и качеством современной жизни. Безопасность информации является тем фактором, от которого во многих случаях зависит благополучие организации, ее сотрудников и клиентов. Организации, сфера деятельности которых лежит в области работы с поступающей к ним информацией, должны надлежащим образом следить за ее получением, формированием, хранением, обработкой, распределением и использованием. Должен быть исключен доступ посторонних лиц к конфиденциальной информации, так как несанкционированный доступ к такой информации может привести к неблагоприятным последствиям в деятельности организации. Для полного исключения подобных случаев, необходимо осуществлять контроль над информационной системой, поддерживать обеспечение информационной безопасности (далее ИБ).
Неудивительно, что подавляющее большинство лиц, ответственных за обеспечение ИБ, неоднократно пыталось понять, как максимально качественно произвести оценку уровня защищенности информационных активов организации, а также выяснить перспективы развития системы защиты информации.
На данный момент существуют современные методики, применяемые в управлении рисками, проектировании и сопровождении корпоративных систем защиты информации, которые способствуют решению ряда задач стратегического перспективного развития компании, а именно:
- количественной оценке текущего уровня информационной
безопасности компании, для чего требуется выявление рисков на техническом, технологическом, организационно-управленческом и правовом уровнях обеспечения информационной защиты;
• разработке и реализации комплексного плана модернизации корпоративных систем защиты информации, чтобы обеспечить защищенность информационных активов компании на приемлемом уровне.
Чтобы реализовать данную задачу, необходимы следующие шаги:
• обоснование и произведение расчета финансовых вложений в безопасность основываясь на технологиях анализа рисков, соотнесение расходов на обеспечение безопасности и потенциального ущерба, а также вероятности его возникновения;
• выявление и проведение первоочередного блокирования наиболее опасных уязвимостей до того, как уязвимые ресурсы будут атакованы;
• определение функциональных отношений и зон
ответственности в ходе взаимодействия подразделений и лиц, связанного с обеспечением информационной безопасности компании, создание
необходимого пакета организационно-распорядительных документов;
• разработка и согласование с надзорными органами и со службами организации проекта внедрения необходимых комплексов защиты, учитывающих тенденции развития и современный уровень информационных технологий;
• обеспечение поддержания внедренных комплексов защиты, согласно изменяющимся условиями работы организации, регулярным доработкам организационно-распорядительной документации, модернизации технических средств защиты, модификации технологических процессов.
1 Изучение подходов, способов и лучших практик, применяемых для построения комплексной системы защиты информации на промышленных предприятиях
Не секрет, что у каждого предприятия есть своя основная задача, например, производство продукции и получение прибыли от ее реализации. Практические всегда, построение комплексной защиты информации не входит в перечень основных задач ни одного предприятия. Тем не менее, это крайне важная часть успешного функционирования любого предприятия. Именно в силу второстепенности построения комплексной системы защиты информации (далее, СЗИ) относительно главных задач организации, она не должна быть причиной ощутимых трудностей в работе компании, и в то же время, создание СЗИ должно быть экономически оправданным. При всем при этом, она должна обеспечить необходимую защиту важных информационных ресурсов организации от всевозможных угроз.
Существует точка зрения, согласно которой, проблемы защиты информации имеют отношение только к той информации, которую обрабатывает компьютер. Данное мнение основывается на том, что компьютеры, и в частности персональные компьютеры, являются центрами хранения информации. Однако, по нашему мнению, объект информатизации, в отношении которых направлены действия, связанные с защитой информации, является куда более широким и многообразным, нежели персональный компьютер.
...
Неудивительно, что подавляющее большинство лиц, ответственных за обеспечение ИБ, неоднократно пыталось понять, как максимально качественно произвести оценку уровня защищенности информационных активов организации, а также выяснить перспективы развития системы защиты информации.
На данный момент существуют современные методики, применяемые в управлении рисками, проектировании и сопровождении корпоративных систем защиты информации, которые способствуют решению ряда задач стратегического перспективного развития компании, а именно:
- количественной оценке текущего уровня информационной
безопасности компании, для чего требуется выявление рисков на техническом, технологическом, организационно-управленческом и правовом уровнях обеспечения информационной защиты;
• разработке и реализации комплексного плана модернизации корпоративных систем защиты информации, чтобы обеспечить защищенность информационных активов компании на приемлемом уровне.
Чтобы реализовать данную задачу, необходимы следующие шаги:
• обоснование и произведение расчета финансовых вложений в безопасность основываясь на технологиях анализа рисков, соотнесение расходов на обеспечение безопасности и потенциального ущерба, а также вероятности его возникновения;
• выявление и проведение первоочередного блокирования наиболее опасных уязвимостей до того, как уязвимые ресурсы будут атакованы;
• определение функциональных отношений и зон
ответственности в ходе взаимодействия подразделений и лиц, связанного с обеспечением информационной безопасности компании, создание
необходимого пакета организационно-распорядительных документов;
• разработка и согласование с надзорными органами и со службами организации проекта внедрения необходимых комплексов защиты, учитывающих тенденции развития и современный уровень информационных технологий;
• обеспечение поддержания внедренных комплексов защиты, согласно изменяющимся условиями работы организации, регулярным доработкам организационно-распорядительной документации, модернизации технических средств защиты, модификации технологических процессов.
1 Изучение подходов, способов и лучших практик, применяемых для построения комплексной системы защиты информации на промышленных предприятиях
Не секрет, что у каждого предприятия есть своя основная задача, например, производство продукции и получение прибыли от ее реализации. Практические всегда, построение комплексной защиты информации не входит в перечень основных задач ни одного предприятия. Тем не менее, это крайне важная часть успешного функционирования любого предприятия. Именно в силу второстепенности построения комплексной системы защиты информации (далее, СЗИ) относительно главных задач организации, она не должна быть причиной ощутимых трудностей в работе компании, и в то же время, создание СЗИ должно быть экономически оправданным. При всем при этом, она должна обеспечить необходимую защиту важных информационных ресурсов организации от всевозможных угроз.
Существует точка зрения, согласно которой, проблемы защиты информации имеют отношение только к той информации, которую обрабатывает компьютер. Данное мнение основывается на том, что компьютеры, и в частности персональные компьютеры, являются центрами хранения информации. Однако, по нашему мнению, объект информатизации, в отношении которых направлены действия, связанные с защитой информации, является куда более широким и многообразным, нежели персональный компьютер.
...
В ходе выполнения работ были изучены подходы, способы и практики, применяемые для построения комплексной системы защиты информации на промышленных предприятиях.
Был проведён анализ существующих методов и средств, применяемых для контроля и защиты информации на предприятии ООО «Росток - мебель», были разработаны предложения по их совершенствованию и повышению их эффективности.
После этого были определены угрозы безопасности информации на предприятии ООО «Росток - мебель». Затем был произведен анализ организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в ООО «Росток - мебель».
Далее были рассмотрены материалы организаций и подразделений ведомства с целью подготовки принятия решений по обеспечению защиты информации.
В результате проведенной работы была разработана методика построения корпоративной системы защиты информации ООО «Росток - мебель». Были проведены оценочные действия технико-экономического уровня и эффективности предлагаемых и реализуемых организационно- технических решений. Таким образом, все пункты технического задания выполнены полностью.
Был проведён анализ существующих методов и средств, применяемых для контроля и защиты информации на предприятии ООО «Росток - мебель», были разработаны предложения по их совершенствованию и повышению их эффективности.
После этого были определены угрозы безопасности информации на предприятии ООО «Росток - мебель». Затем был произведен анализ организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в ООО «Росток - мебель».
Далее были рассмотрены материалы организаций и подразделений ведомства с целью подготовки принятия решений по обеспечению защиты информации.
В результате проведенной работы была разработана методика построения корпоративной системы защиты информации ООО «Росток - мебель». Были проведены оценочные действия технико-экономического уровня и эффективности предлагаемых и реализуемых организационно- технических решений. Таким образом, все пункты технического задания выполнены полностью.
