Отчет антиплагиат (полный) (1198830), страница 4
Текст из файла (страница 4)
18Документооборот в Учреждении может осуществляться без использованиятехнических средств, то есть с документами в бумажном виде. Существуетотдельный кабинет с архивными данными. Таким образом, появляютсяугрозы безопасности для бумажных носителей, а значит необходимообеспечить защиту таких носителей от угроз:– уничтожения, повреждения документов в результате техногенных иантропогенных угроз;– кражи документов;– несанкционированного доступа.Под угрозами информационной безопасности понимается потенциальнаявозможность нарушения её следующих основных 18 характеристик:– 11 конфиденциальности (разглашение, утечка) сведений,составляющих государственную, служебную или коммерческую тайну, атакже персональных данных;– 18 доступности программно-технических комплексов, блокированиеинформации, нарушение технологических процессов обработки информации, 1816срыв своевременного решения выполняемых задач;– целостности 18 информационных, программных и других ресурсов, 6а также фальсификация (подделка) документов.Основными источниками угроз безопасности информации 11 вУчреждени и являются:– непреднамеренные (ошибочные, случайные, без злого умысла икорыстных целей) нарушения установленных регламентов сбора,обработки и передачи информации, а также требований безопасностиинформации и другие действия пользователей информационнойсистемы 6 , 8 приводящие к разглашению сведений ограниченног 11 о 8 доступа ,потере ценной информации или нарушению работоспособностикомпонентов информационной системы;– преднамеренны 6 е 8 действия допущенных к информационным ресурсампользователей , которые приводят к непроизводительным затратамвремени и ресурсов, разглашению сведений ограниченногораспространения, потере ценной информации или нарушениюработоспособности компонентов информационной системы;– деятельность преступных групп и формирований, политических иэкономических структур, разведок иностранных государств, а такжеотдельных лиц по добыванию информации, навязыванию ложнойинформации, нарушению работоспособности информационнойсистемы в целом и ее отдельных компонентов;– удаленное несанкционированное вмешательство посторонних лиц изтерриториально удаленных сегментов корпоративнойинформационной системы и внешних информационнотелекоммуникационных сетей общего пользования (прежде всего сетьИнтернет) через легальные и несанкционированные каналыподключения к таким сетям, используя недостатки протоколов обмена,средств защиты и разграничения удаленного доступа к ресурсам; 617– ошибки, допущенные при разработке компонентов информационнойсистемы и их систем защиты, ошибки в программном обеспечении,отказы и сбои технических средств (в том числе средств защитыинформации и контроля эффективности защиты);– аварии, стихийные бедствия.1.
6 6 8 Существующие меры по обеспечению информационной безопасностиучрежденияВ Учреждении осуществляется контроль доступа в контролируемую зону,двери в кабинеты оборудованы замками и датчиками сигнализации.Кабинеты, где обрабатываются персональные данные, оборудованыопечатывающим устройством, имеются запирающиеся шкафы. Такиекабинеты сдаются под охрану. Хранилища и серверные имеют железнуюдверь, ставятся на сигнализацию, запираются на ключ и опечатываются.В Учреждении назначено ответственное лицо по информационнойбезопасности. В целях осуществления внутреннего контроля соответствияобработки персональных данных установленным требованиям 38 в Учреждени иорганизовывается проведение периодических проверок условий обработкиперсональных данных 38 .
Пользователи осведомлены и проинструктированы опорядке работы и защиты персональных данных. На автоматизированныхрабочих местах установлены средства защиты от несанкционированногодоступа и средства антивирусной защиты.182 Определение норм и правил управления информационнойбезопасностью2.1 Управление информационной безопасностью 44Управление информационной безопасностью — это циклический процесс,включающий осознание степени необходимости защиты информации ипостановку задач; сбор и анализ данных о состоянии информационнойбезопасности в организации, 44 реализацию и внедрение соответствующих 4419механизмов контроля, распределение ролей и ответственности, обучение имотивацию персонала, оперативную работу по осуществлению защитныхмероприятий; мониторинг функционирования механизмов контроля, оценкуих эффективности и соответствующие корректирующие воздействия.
44Как и любую другую систему управления, систему управленияинформационной безопасности невозможно построить без привлеченияруководства организации. После принятия решения о создании системыуправления информационной безопасностью, руководству нужно создатьсовет или коллегию, для утверждения документов, таких как политикабезопасности, назначение ответственных лиц в области информационнойбезопасности и осуществления координации по мероприятиям винформационной безопасности.
В совете по информационной безопасностиследует назначить сотрудника, возглавляющего совет по информационнойбезопасности.В общем случае организационная структура информационнойбезопасности может выглядеть так:20Рисунок 1На руководство возлагаются следующие задачи:– утверждение направления развития системы управленияинформационной безопасностью;– создание организационной структуры управления информационнойбезопасностью;– согласование и утверждение документов в области обеспеченияинформационной безопасности;– обеспечение ресурсами.Совет по информационной безопасности должен включать в себяруководство, заинтересованных пользователей, начальников отделов,администраторов. В обязанности совета должны входить:– стандартизацией документов по информационной безопасностиорганизации;– разработкой норм и правил управления информационнойбезопасности;– обеспечением выполнения норм и правил управленияинформационной безопасностью;– контроль выполнения политик безопасности;– способствовать осведомленности, обучению персонала в области21информационной безопасности;– анализировать инциденты информационной безопасности,реализовывать меры в ответ на эти инциденты;– поддерживать стандартизацию в области информационнойбезопасности;– координировать деятельность отделов в области информационнойбезопасности.Также нельзя забывать об остальном персонале, необходимо его вовлекатьв процесс информационной безопасности, поскольку неосведомлённостьперсонала в области информационной безопасности, отсутствие обучениеперсонала приводит к нарушениям безопасности и сводит на нет создание,как систем защиты, так и систем управления информационнойбезопасностью.В системе управления информационной безопасностью применяетсяпроцессный подход.Рисунок 2На рисунке видно, что такой подход подразумевает четыре вида процесса:– разработка системы управления информационной 51 безопасности;22– внедрение системы управления информационной 51 безопасности;– анализ системы управления информационной 51 безопасности;– улучшение системы управления информационной 51 безопасности.При разработке системы управления информационной безопасностью,должна быть разработана политика безопасности, определены границыдействия системы управления.
При внедрении системы управленияинформационной безопасностью осуществляется внедрение политикибезопасности, разработанных норм и правил.Для последующего улучшения системы управления информационнойбезопасностью осуществляется её анализ, который позволит обнаружитьошибки в функционировании системы. На основании полученных врезультате анализа данных, должно производиться улучшение системыуправления информационной безопасностью.После принятия решения о создании системы управленияинформационной безопасностью, нужно разработать нормы и правила поуправлению информационной безопасностью. В работе будут рассмотреныследующие возможные нормы и правила менеджмента информационнойбезопасности:1.
Политика информационной безопасности2. Организационные вопросы информационной безопасности3. Определение ценных активов организации4. Безопасность, связанная с персоналом5. Инциденты информационной безопасности6. Физическая безопасность7. Требования к управлению доступом к информационным системам8. Управление эксплуатацией9. Предотвращение остановки деятельности организации в случае сбоевили стихийных бедствий2310. Соответствие законодательству11.
Приобретение, разработка и эксплуатация информационных системПосле внедрения системы управления, организации нужно проводить еёмониторинг и анализ:– осуществлять анализ норм и правил управления информационнойбезопасностью;– проводить внутренние аудиты;– обеспечивать уверенность в том, что мероприятия эффективны ивыполняют требования информационной безопасности.На основании результатов мониторинга системы управленияинформационной безопасностью, в систему должны вноситься изменения,которые повысят её эффективность.Таким образом, в самом начале должна быть создана политикаинформационной безопасности, в которой нужно описать цели и задачисистемы управления, после происходит внедрение системы управления.
Вцелях постоянного улучшения и исправления системы должен проводитьсямониторинг и анализ системы управления.2.2Политика информационной безопасностиПолитика безопасности – это документ, который определяет основныеправила, принципы и требования в области информационной безопасности. Вполитике безопасности должны быть описаны цели информационнойбезопасности, методы их достижения и ответственность сотрудников ируководства. Если в организации существует система управленияинформационной безопасностью, то об этом должно быть сказано в политике.Руководство должно быть вовлечено в процесс создания политикибезопасности, поскольку должна быть выработана чёткая позиция по24отношению к информационной безопасности.В документе должна быть отражена следующая информация:– основные положения информационной безопасности, в соответствиис какими нормативно-правовыми документами разработана, цели иметоды её достижения информационной безопасности;– определение системы управления информационной безопасностью иописание её основных целей;– объекты защиты;– угрозы информационной безопасности;– ответственность сотрудников и руководства за нарушениеинформационной безопасности.Должно быть назначено ответственное лицо, которое будет ответственноза контроль и пересмотр политики информационной безопасности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
