Оценка уровня защищенности организации на соответствие требованиям стандартов в области защиты информации

Классификационный документ. Данный документ описывае, имеющиеся на предприятии ресурсы и необходимый уровень их защиты;

Документ физической защиты информации;

Документ, описывающий правила разграничения доступа к информации на предприятии;

Документ описания и порядка внедрения различных информационных систем на предприятие.

В случае каких-либо изменений в структуре компании или по истечению какого-либо определенного времени, требуется тщательный пересмотр политики компании на соответствие и соблюдение всех указанных в ней рекомендаций.

План менеджмента безопасности.

Участие высшего и среднего руководства в обеспечении безопасности;

Согласованность информационной безопасности;

Определение ролей и обязанностей в менеджменте безопасности;

Процесс авторизации и аутентификации;

Конфиденциальность;

Внешние организации;

Аудит.

План менеджмента безопасности описывает требования к основным понятиям безопасности. Необходимо участие руководства, а именно стратегическое управление для успешной реализации программы. Определение бизнес - рисков компании и надзор за предотвращением таковых является функцией руководства. При внедрении безопасности необходима сплоченность всех департаментов компании в группе внедрения безопасности для бизнес-планирования и анализа. Четкое определение ролей и обязанностей по стратегическому управлению и обеспечению безопасности является следующим обязательным разделом. Установление единой политики на средства по обработки данными или организация управления учеными записями пользователей, которая применяется к физическому или к виртуальному доступу. Сотрудники компании должны иметь представления о своих обязанностях и возлагаемой на них ответственности. На основании этого, руководство имеет законные основания, не нарушая прав своих сотрудников, применять действия по обеспечению безопасности предприятия. Руководство должно быть подготовлено к чрезвычайным ситуациям и обладать политикой, при которой организация определяет к каким органам стоит обращаться в случае возникновения той или иной ситуации. Требуется провести независимый аудит сторонней организацией, несмотря на профессионализм специалистов. Это должно проходит каждый определенный промежуток времени, установленный компанией.

Упрощенный план менеджмента безопасности должен быть представлен в виде документа со следующими полями:

Фаза;

Менеджер проекта;

Поставщик;

Ответственный за систему;

Внешний или внутренний оценщик;

Внешняя или внутренняя структура безопасности.

Управление активами.

Ответственность за активы;

Инвентаризация;

Определение владельца;

Политика использования;

Классификация информации;

Классификация;

Обращение с информацией.

Управление активами-- профессиональное управление различными типами ценных бумаг (акциями, облигациями и т. д.) и другими активами (например, недвижимостью), целью которого является получение прибыли инвесторами. «Инвесторами в данном случае могут выступать как компании (страховые компании, пенсионные фонды, корпорации и т. д.), так и частные инвесторы (непосредственно или с помощью коллективного инвестирования)». Инвентаризация подразумевает под собой идентификацию всех активов компании с последующим указанием важности каждого из активов. Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности. Т.е. следует оценить ущерб, который понесет компания при нарушении конфиденциальности, целостности или доступности активов. Также стоит выделить некую методологию мониторинга активов, в случае возникновения рисков. За каждым активом должен быть закреплен владелец, который будет распределять права доступа к нему вместе с пользованием. Владельцы активов должны руководствоваться некой политикой, которой они должны следовать при управлении активами. Раздел «управление активами» включает в себя подраздел классификация информации, который указывает на требования для сохранения информации об активах. Требуется разработка классификации информации для эффективного управления рисками. Владелец активов сам производит классификацию и соблюдает данные требования для всей информации, чтобы произвести защиту активов. Также необходима инструкция по обращению с любой информацией, располагаемой в компании в зависимости от ее классификации.

Безопасность персонала

Соблюдение безопасности для сотрудников перед приемом на работу;

Роли и обязанности;

Проверка предоставленной информации;

Соблюдение законодательных требований;

Соблюдение безопасности для сотрудников во время их работы;

Осведомленность сотрудников;

Обучение и тренинги;

Наказания.

При внедрении системы безопасности на предприятие огромное внимание уделяется обеспечению безопасности людских ресурсов. Необходимо выделить роли и обязанности, связанные с безопасностью, а затем назначит кадровую службу, которая будет вести учет данных ролей. Перед приемом сотрудника на работу требуется тщательно проанализировать, предоставленную им информацию на наличие ошибок и возможной недосказанности. Заключение сотрудничества на основе договора, имеющего юридическую силу.

Данный раздел включает в себя подраздел, который описывает некоторые требования, необходимые для соблюдения безопасности сотрудника и компании во время работы. Каждый сотрудник должен знать свои обязанности и свою роль в соблюдении политики безопасности компании. Компания должна проводить тренинги по повышению работоспособности и осведомленности сотрудников относительно безопасности. Обучение сотрудников должно обеспечить знание ими требований безопасности, ответственности в соответствии с законодательством, мероприятий по управлению информационной безопасностью, а также знание правильного использования средств обработки информации, например процедур регистрации в системах, использования пакетов программ, прежде чем им будет предоставлен доступ к информации или услугам. Все пользователи должны быть обязаны сообщать определенным лицам об инцидентах и слабых местах в системе безопасности, сбоях в работе программного и аппаратного обеспечения. Необходимо определить и довести до сведения пользователей методы фиксации симптомов сбоев оборудования. Необходимо обеспечивать защиту персональных данных. Необходимо назначить ответственное лицо за обеспечение безопасности персональных данных. Нужно соблюдать «правило чистого рабочего стола», которое требует от пользователя регулярную чистку файлов, связанных с паролями на компьютере. Должны быть установлены санкции за нарушение политики менеджмента безопасности.

Физическая безопасность.

Расположение;

Политика входа и выхода;

Безопасность офисов;

Внешние угрозы;

Области с повышенной опасностью.

Обеспечение физической безопасности является главным аспектом безопасности, так как при несоблюдении этой политики можно пострадать физически. В зависимости от территории, в которой находится предприятие, требуется соблюдение политик безопасности. Для уменьшения затрат, требуется ограничить число входов и выходов каждого пользователя в систему. Следует скрывать различные помещения, требуемые специальной степени защиты. Необходимо прописать политики в случае природных катаклизм и технологических аварий, связанных с жизнью человека. Требуется описание политик для мест, которые требуют повышенной меры безопасности.

Безопасность активов.

Меры;

Сопровождение;

Использование активов;

Уничтожение актива;

Необходимо физическое ограничение доступа защищаемых помещений или технических средств, чтобы злоумышленник не смог увидеть или проникнуть к активам. При внедрении той или иной системы, например CRM, необходимо не только умение пользование данной системой, но и оказание услуг, системы консалтинга, которая внедрила эту систему. Нужно поддерживать и сопровождать внедренные системы. После обновления того или иного актива и передачи его другому лицу, нужно тщательно удалить всю информацию, связанную с этим активом. Примером может служить передача компьютера руководителя бухгалтеру. Установите стандарты и правила, по которым стоит удалять актив. Следует проводить мониторинг соблюдения введенных стандартов для качественного обеспечения безопасности предприятия.

Управление эксплуатацией.

Работоспособность;

Управление тестированием;

Управления логами (журналами событий).

Под понятием работоспособности системы я, на основе проведенных исследований, подразумеваю поддержание системы в рабочем состоянии, несмотря на внешние и внутренние воздействия, благодаря системам восстановления, системам защиты от несанкционированного доступа (НСД) и системам обслуживания.

Необходимо разработать документацию по работе с информационными технологиями на предприятии и выделить основные процедуры, такие как: включение системы, обслуживание, восстановление, пронос данных, шифрование. При нехватке каких-либо знаний в том или ином департаменте, необходимо временно перевести сотрудника в данный отдел для отсутствия прерывания бизнес- процесса компании. Для предотвращения попадания ненужных элементов в среду разработки, необходима аналогичная система, которая поможет ИТ - специалистам проводить тестирование различных элементов, без остановки рабочей системы. Примером такой системы может служить salesforce.com. В наличии данной системы имеется версия Production- рабочая система предприятия, а также sandbox - «песочница», предназначенная для тестирования отдельных объектов, полей, бизнес-правил предприятия. Утверждение политики ведения журналов поможет компании отслеживать изменения записей, относящихся к продажам, сотрудникам и другим ресурсам. Данное отслеживание может быть осуществлено с помощью уведомлений на электронную почту руководства.

Управление доступом.

Управление учетными записями;

Управление дополнительными возможностями пользователей;

Пересмотр возможностей пользователя;

Классификация информации.

Необходимо разработать процесс регистрации, аутентификации и входа пользователя в систему. Примером может служить система salesforce.com. При создании пользователя можно задать определенное бизнес - правило, которое будет отправлять уведомление на почту руководителю, который должен утвердить данный контакт или любое другое поле на предприятии. Каждый пользователь системы должен обладать своими привилегиями. Для этого необходимо разработать иерархию ролей компании в системе и предоставлять доступ к определенной информации пользователям, которые занимают ту или иную роль в компании. Предоставление привилегий проводится администраторами, таким образом, они должны каждый промежуток времени сверять настройки пользователя на наличие ошибок и в случае нахождения таковых, немедленно исправлять. При отсутствие данной процедуры пользователю может быть доступна ненужная ему информация о компании, которую он может по ошибке изменить. Необходимо классифицировать информацию, которая будет доступна каждому профилю пользователей.

Обеспечение качества принятых решений.

Безопасность информационных технологий;

Точность информации;

Безопасность файлов;

Управление уязвимостями;

Необходимо создать требования, необходимые для обеспечения безопасности ИТ. Данные требования создаются индивидуально, в зависимости от предоставляемых услуг компанией. Необходимо быть уверенным в предоставлении точной информации без «мусора», а также ее отправке. Для этого необходимы сторонние приложения, такие как антивирусные системы, через которые будет проходить поток информации, который будет сверяться и в, не мешая менеджерам или операторам кол-центра выполнять свои обязанности, тем самым не нарушая общие правила бизнес-процесса. Управление уязвимостями, обозначает наличие документа для руководства, где будут описаны все уязвимости программных и аппаратных средств предприятия. ИТ-специалисты необходимы, принимать участие в разработке патчей для ликвидации возможных багов, уязвимостей компании.

Управление инцидентами.

Выявление;

Уведомление;

Действие.

Необходимо создание политики для обеспечения выявления инцидентов на предприятии. Например, автоматический мониторинг каждую единицу времени на определенных секторах. Для того, чтобы выявленный инцидент не смог нарушить бизнес-процессы, необходимо вовремя уведомить об этом сотрудников. Чаще всего для этого внедряется департамент Help Desk(техническая поддержка), которая занимается процессом уведомления. Также данный департамент занимается подразделом «дейтсвие» данной рекомендации. Техническая поддержка обязана не только уведомить весь персонал об инциденте, но и сделать все возможное для его ликвидации. В случае невозможности ликвидации, Help Desk должен обратиться в сторонние службы для оказания помощи.

Непрерывность бизнеса.

Управление непрерывностью бизнеса;

Оценка угроз;

Оценка рисков;

Сопровождение непрерывности бизнеса.

Необходимо использовать оценку угроз и рисков для четкого управления непрерывность бизнеса. Должна быть разработана политика восстановления бизнеса компании после того или иного инцидента. Необходимо спланировать возможные угрозы предприятия и оценить возможный ущерб. Необходимо определить основный актив компании и выделить вероятность риска, которая понесет за собой возможный ущерб. Подробная информация об оценке рисков описана в главе 2.3. Необходимо разработать план по восстановления работоспособности информационной системы компании для продолжения ведения бизнеса, с минимальными затратами. В программной среде salesforce.com эта функция реализуется с помощью неких событий-триггеров, которые являются генератором ошибок системы, не позволяющие привести к ошибке в системе предприятия.

Управление соответствием и аудитом.

Стандарты и кодекс

Защита данных;

Аудит безопасности;

Инструменты аудита.

Необходимо создание общих списка всех, относящихся к компании требований на основе кодекса и различных стандартов. Это необходимо для того, чтобы выделить какими ресурсами и программным обеспечением необходимо пользоваться для соблюдения законности. Необходимо создать политику защиты данных, в которой будет обговорены пределы выноса информации за пределы организации, а также количество и тип возможной выносимой информации. Должен проводиться аудит средств безопасности для обеспечения уверенности руководства в том, что компания хорошо защищена. Он, должен быть осуществлен каждый определенный промежуток времени, сторонней аудиторской компанией. Внутри компании необходимо наличие сотрудника, который будет отвечать за использование программного средства на наличие уязвимостей в системе, с последующей ее ликвидацией. Нужно ограничить доступ к данному программному средству от неуполномоченных лиц для предотвращения нанесения вреда компании.

Внедрение системы менеджмента информационной безопасности - процесс довольно трудоемкий. Однако при соблюдении данных рекомендаций процесс внедрения окажется быстрым, а защита предприятия довольно эффективная

Заключение

Таким образом, в данной дипломной работе был дана характеристика информационной безопасности, Был проведен анализ и сравнительная характеристика отечественных и международных стандартов с дальнейшим выделением плюсов и минусов.

Список литературы

1. http://ru.wikipedia.org/wiki/Кофиденциальность

2. http://ru.wikipedia.org/wiki/Целостность_информации

3. http://ru.wikipedia.org/wiki/Авторизация

4. http://www.comss.ru/page.php?id=1398 - Статья - «VB100 Апрель 2013: Сравнительное тестирование антивирусов»

5. http://www.razgovorodele.ru/security1/safety05/technician04.php - Статья - «Основные направления информационной безопасности»

6. http://ru.wikipedia.org/wiki/ISO/IEC_27001

7. http://www.complexdoc.ru/

8. http://sp-egov.ru/blog/chapter5/s51 - Статья - «Инфраструктура обеспечения юридической значимости электронного взаимодействия»

9. http://www.ekey.ru/company/dictionary

10. http://ru.wikipedia.org/wiki/Критерии_определения_безопаности_компьютерных_систем

11. http://ru.wikipedia.org/wiki/WOT:_Web_of_Trust

12. http://bugtraq.ru/library/security/practicaliso.html - Статья - «Практические аспекты применения международного стандарта безопасности информационных систем ISO 27001:2005»

13. http://ru.wikipedia.org/wiki/Актив

14. http://www.cnews.ru/reviews/index.shtml?2006/11/24/218588 - статья «Внедрение СУИБ: как управлять рисками? »

15. http://www.pointlane.ru/process/risks/

16. http://ru.wikipedia.org/wiki/ISO/IEC_27002

17. http://ru.wikipedia.org/wiki/Управление_активами

18. Указ Президента РФ от 06.03.1997г. № 188 «Об утверждении Перечня сведений конфиденциального характера»

19. Ведущий специалист ЗАО «АНДЭК» Роман Просянников Журнал «Connect», статья «Виды аудита информационной безопасности»

20. Чумарин Игорь «Тайна предприятия: что и как защищать»

21. Статья 139 ГК РФ «Служебная и коммерческая тайна»

22. Статья 183 УК «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

23. Статья 147 УК «Нарушение изобретательских и патентных прав»

24. Статья 857 УК «Банковская тайна»

25. Т. А. Ми шов а, С. А. Охрименко, С. А. Тутунару, К. Ф. Склифос «О некоторых особенностях подготовки специалистов в области информационной безопасности для успешного ведения бизнеса»

26. ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство»

27. Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

28. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»

29. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»

30. ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»

31. ГОСТ Р 34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования»

32. Серия международных стандартов ISO 27000

33. Александр Астахов «Искусство управления информационными рисками»

Размещено на Allbest.ru