Пояснительная записка (ПЗ) (Разработка политики информационной безопасности клиники диетологии)

Министерство транспорта Российской ФедерацииФедеральное агентство железнодорожного транспортаФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙУНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»Кафедра "Информационные технологии и системы"К ЗАЩИТЕ ДОПУСТИТЬЗаведующий кафедройМ.А. Попов"___"_______2017 г.РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИКЛИНИКИ ДИЕТОЛОГИИПояснительная запискак выпускной квалификационной работе бакалавраВКР 10.03.01.24Б ПЗСтудент гр.

24БР.М-А. НиязоваРуководительдоцент, к.ф.-м.н., доцентЕ.В. КарачанскаяНормоконтрольдоцент, к.п.н., доцентВ. И. ШестухинаХабаровск – 20171СодержаниеВведение............................................................................................................. 41 Теоритическая часть ...................................................................................... 62 Описание предприятия ................................................................................ 192.1 Общая характеристика предприятия и его деятельности ................. 192.2 Сведения о структуре Клиники и расположение объектов .............. 192.3 Сведения об информационной системе Клиники.............................. 212.4 Категории информационных ресурсов, подлежащих защите .......... 222.5 Угрозы информационной безопасности .............................................

232.6 Существующие мероприятия в Клинике ............................................ 263 Разработка политики информационной безопасности ............................ 283.1 Политика безопасности ........................................................................ 363.2 Организация информационной безопасности....................................

373.2.1 Внутренняя организация ................................................................... 373.2.4 Обеспечение безопасности при доступt сторонних организаций 383.2.5 Рассмотрение вопросов безопасности при работе с клиентами ... 393.2.6 Управление активами ........................................................................ 393.3 Классификация информации ................................................................ 403.3.1Основные принципы классификации ............................................... 403.3.2 Маркировка и обработка информации ............................................

403.4 Правила безопасности, связанные персоналом ..................................... 413.4.1Функции и обязанности персонала ................................................... 413.4.2 Проверка персонала при найме ........................................................ 413.4.3 Условия трудового договора ............................................................ 423.4.4 Работа по трудовому договору .........................................................

423.4.5 Дисциплинарная практика ................................................................ 433.5 Физическая защита и защита взаимодействия окружающей среды .... 443.5.1 Контроль доступа в охраняемую зону ............................................. 4523.5.2 Защита от внешних угроз .................................................................. 463.5.3 Зоны общественного доступа ........................................................... 473.5.4 Безопасность оборудования .............................................................. 483.5.5 Размещение и защита оборудования................................................

48Заключение ...................................................................................................... 50Список использованных источников ............................................................ 51Обозначения и сокращения ............................................................................

523ВведениеНа сегодняшний день проблема обеспечения защиты информацииявляетсяоднойизважнейшихдляустойчивогофункционированияинформационной структуры предприятия, а также для минимизации рисковна предприятии.Помимо организации защиты программными и аппаратными средствами,немаловажным аспектом безопасности являются нормы и правила в областиинформационнойбезопасности.Поэтомунеобходимостьуделятьпристальное внимание вопросам информационной безопасностив рамкахнорм и правил доказывает актуальность данной работы.Для повышения осведомленности пользователей в области рисков,связанных с информационными ресурсами и для определения степениответственностииобязанностейсотрудниковпообеспечениюинформационной безопасности на предприятии было решено разработатьполитику информационной безопасности для Клиники диетологии икоррекции веса.Целью выпускной квалификационной работы является создание политикиинформационнойбезопасности,удовлетворяющейдействующеезаконодательство в области защиты информации, а также нормативнотехнические,нормативно-методические документы федеральных органовисполнительной власти.Задачи, которые предстоит решить:– анализ данных по объекту защиты;– выявление угроз и уязвимостей объекта защиты;– разработка и внедрение политики информационной безопасностипредприятия.Объектом исследования является усовершенствование мероприятий пообеспечению информационной безопасности Клиники диетологии.4Предмет исследования данной ВКР – создание требований и правил дляобеспечения информационной безопасности Клиники диетологии.Вспискеиспользованныхисточниковприводятсяиспользуемыедокументы, литература, Интернет-сайты, и другие источники информации,используемой в данной ВКР.51Теоритическая частьИнформация – это актив, который, имеет ценность и должен бытьзащищен надлежащим образом.

Информационная безопасность защищаетинформациюотнепрерывностибольшогобизнеса,спектраугрозминимизациисцельюущерба,аобеспечениятакжевреализациипотенциальных возможностей бизнеса.Могут существовать следующие типы активов:информация/данные(например,файлы,содержащиеинформацию о платежах или продукте);аппаратные средства (например, компьютеры, принтеры);программное обеспечение, включая прикладные программы(например,программыобработкитекстов,программыцелевогоназначения);оборудование для обеспечения связи (например, телефоны,медные и оптоволоконные кабели);программно-аппаратныесредства(например,электронныеносители информации);документы (например, контракты);продукция предприятия;услуги (например, информационные, вычислительные услуги);конфиденциальность и доверие при оказании услуг (например,услуг по совершению платежей);оборудование, обеспечивающее необходимые условия работы;персонал организации;престиж (имидж) организации.Информация может существовать в различных формах.

Она может бытьнапечатана или написана на бумаге, храниться в электронном виде,6передаватьсяпопочтеилисиспользованиемсредствсвязи,демонстрироваться на пленке или быть выражена устно.Информационная безопасность – механизм защиты, обеспечивающий: конфиденциальность; целостность; доступность.В Российской Федерации к нормативно-правовым актам в областиинформационной безопасности относятся: акты федерального законодательства; международные договоры РФ; конституция РФ; законы федерального уровня (включая федеральные конституционныезаконы, кодексы); указы Президента РФ; постановления Правительства РФ; нормативные правовые акты федеральных министерств и ведомств; нормативные правовые акты субъектов РФ, органов местногосамоуправления и т.

д.Определение ценности актива. Ценность актива определяется стоимостьюинформационного актива. В связи с тем, что зачастую невозможноопределитьточныестоимостиактивовипредприятиявцелом,рекомендуется ценность актива задавать в диапазоне от 0 до 1, которая будетпоказывать отношение цены актива к стоимости всего бизнеса.Информационнаябезопасностьдостигаетсяпутемосуществлениякомплекса мероприятий по управлению информационной безопасностью,которые могут быть представлены политиками, методами, процедурами,организационными структурами и функциями программного обеспечения.Указанныемероприятиядолжныобеспечитьинформационной безопасности организации.7достижениецелейНеобходимость информационной безопасностиИнформация, поддерживающие ее процессы, информационные системы исетеваяинфраструктураявляютсясущественнымиактивамиорганизации.Конфиденциальность, целостность и доступность информациимогут существенно способствовать обеспечению конкурентоспособности,ликвидации,доходности,соответствиязаконодательствуиделовойрепутации организации.Организации, их информационные системы и сети все чаще сталкиваютсясразличнымимошенничество,наводнения.угрозамибезопасности,шпионаж,Такиетакимивредительство,источникиущерба,каквандализм,каккомпьютерноепожарыкомпьютерныеиливирусы,компьютерный взлом и атаки типа отказа в обслуживании, становятся болеераспространенными, более агрессивными и все более изощренными.Зависимость от информационных систем и услуг означает, чтоорганизации становятся все более уязвимыми по отношению к угрозамбезопасности.

Взаимодействие сетей общего пользования и частных сетей, атакже совместное использование информационных ресурсов затрудняетуправлениедоступомраспределеннойкинформации.обработкиТенденцияданныхкиспользованиюослабляетэффективностьцентрализованного контроля.Необходимость проведения оценки рисков определена в российских имеждународных стандартах по информационной безопасности (ГОСТ РИСО/МЭК17799:2005,CRAMM,ISO27001:2013)инормативныхдокументах государственных органов РФ (например, документах ФСТЭКРоссиипозащитеперсональныхданныхиключевыхсистеминформационной инфраструктуры).Под риском понимается неопределенность, предполагающая возможностьущерба, связанного с нарушением ИБ. Оценка рисков – это процесс,8охватывающий индетификацию риска, анализ риска и сравнительную оценкуриска.Анализ рисков включает следующие обязательные этапы:идентификация ресурсов;идентификация бизнес-требований и требований законодательства,применимых к идентифицированным ресурсам;оценивание идентифицированных ресурсов с учетом выявленныхбизнес требований и требований законодательства, а также последствийнарушения их конфиденциальности, целостности и доступности;идентификация значимых угроз и уязвимостей идентифицированныхресурсов;оценкавероятностиреализацииидентифицированныхугрозиуязвимостей.Оценивание рисков включает:вычисление риска;оценивание риска по заранее определенной шкале рисков.Оценкарисковявляетсяэффективныммеханизмомуправленияинформационной безопасностью в компании, позволяющим:идентифицировать и оценить существующие информационные активыкомпании;оценить необходимость внедрения средств защиты информации;оценить эффективность уже внедренных средств защиты информации.Допустимый риск принято считать риск, который в данной ситуациисчитают приемлемым при существующих общественных ценностях.

Дляпредприятия МСБ рекомендованное значение риска не должно превышать5%. Это обусловливается в первую очередь тем, что максимальная выручкапредприятий МСБ за отчетный период, например один год, может составлятьдо 400 млн рублей, это из расчета того, что в случае реализации одной изактуальных угроз, может повлечь убыток в размере более 5% выручки,9является недопустимым и требующим принятия эффективных мер. (см. рис.1.1.)Рисунок 1.1 – Роль процесса оценки рисков в структуре процессовинформационной безопасностиНеобходимость проведения оценки рисков определена в российских имеждународных стандартах по информационной безопасности (ГОСТ РИСО/МЭК17799:2005,CRAMM,ISO27001:2013)инормативныхдокументах государственных органов РФ (например, документах ФСТЭКРоссиипозащитеперсональныхданныхиключевыхсистеминформационной инфраструктуры).Под риском понимается неопределенность, предполагающая возможностьущерба, связанного с нарушением ИБ.