Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

Должны существовать правила, которые:

• запрещают использовать нелицензионное программное обеспечение;

• обязывают закупать программное обеспечение только у известных поставщиков;

• определяют внутренние проверки на предмет установленного лицензионного программного обеспечения;

• запрещают копирование информации, охраняемой правом на интеллектуальную собственность.

1. Защита документов организации

В организации необходимо обеспечить защиту документов от потерь или кражи, поэтому можно использовать классификацию информации (п. 2.4.1). При классификации надо указать на чем хранится информация (бумага, оптический носитель и так далее). При использовании электронных носителей надо учитывать то, что со временем они могут выйти из строя, таким образом надо осуществлять периодические проверки работоспособности таких устройств или использовать более долговечные носители информации.

1. Защита персональных данных

В организации нужно обеспечить защиту персональных данных в соответствии с нормативно-правовыми актами. Необходимо разработать инструкции по обращению с персональными данными и назначить ответственное лицо, которое должно предоставлять инструкции пользователям или третьим сторонам. Должны проводиться проверки в целях контроля выполнения требований в области обработки персональных данных. Проверки должны осуществляться ответственным лицом либо комиссией, созданной руководством.

1. Предотвращение нецелевого использования технических средств

В организации должны быть созданы правила использования технических средств. Можно осуществлять мониторинг использования технических средств. В разработанных правилах необходимо указать, что все технические средства являются собственностью организации, что возможен мониторинг использования технического средства уполномоченным лицом и в случае, если будет доказано нецелевое использование технического средства, то сотрудник может понести дисциплинарную ответственность.

После разработки правил, всех пользователей необходимо ознакомить с ними под роспись.

1. Применение криптографических средств защиты

Если используются меры криптографической защиты информации, то такие меры должны быть созданы в соответствии с нормативно-правовыми актами и должны рассматривать ограничения на использование шифрования.

1. Соответствие политике безопасности и стандартам в области безопасности

В организации нужно обеспечить уверенность в том, что системы соответствуют политике безопасности и стандартам. Руководство должно обеспечивать правильное выполнение всех процедур безопасности для соответствия политике безопасности. Также оно должно периодически пересматривать сферы деятельности организации для обеспечения требований безопасности. Если будут найдены несоответствия, то необходимо:

• определить причины несоответствий;

• определить дальнейшие действия для устранений причин несоответствий и реализовать их;

• проанализировать выполненные действия на их эффективность.

Информационные системы должны подвергаться периодической проверке для обеспечения уверенности в том, что мероприятия по информационной безопасности внедрены и работают правильно. Такие проверки может осуществлять специалист вручную с использованием программных средств, либо с помощью автоматизированных средств, которые поле выполнения создадут отчёт об информационной системе. Кроме сотрудников организации, такие тесты могут выполнять третьи стороны, имеющие на это лицензии.

1. Аудит информационных систем и защита средств аудита

При привлечении сторонних организаций для аудита информационных систем, то нужно принять меры по защите целостности информации, спланировать и согласовать действия в процессе аудита. Нужно учесть:

• требования для аудита должны быть согласованы с руководством;

• объем работ должен быть четко определен и в процессе должен контролироваться;

• ограничение доступа к программному обеспечению, если возможно, изменить права доступа только для чтения.

Если средства аудита хранятся в организации, то доступ к ним должен контролироваться, и доступен только тем лицам, которые привлекаются к аудиту. Такие средства нужно отделять от средств эксплуатации и разработки.

1. Приобретение, разработка и эксплуатация информационных систем

1. Требования к безопасности информационных систем

При разработке новых информационных систем в организации, должны быть определены требования к защите информационной системы.

1. Обработка информации в прикладных программах

1. Подтверждение корректности введенных данных и контроль внутренней обработки информации

В прикладных программах необходимо вести протоколирование действий пользователя, в целях подтверждения ввода и обработки данных. Проверки введенных данных нужно проводить при вводе имен или параметров (например, валюта).

Данные, которые были введены корректно, могут быть искажены вследствие ошибок в программном обеспечении или при обработке. В целях устранения ошибок такого вида, программное обеспечение нужно разрабатывать таким образом, чтобы минимизировать вероятность нарушения целостности данных. Следует учесть:

• возможность редактирования уже существующих данных;

• использование программ для восстановления после сбоев;

• защиту от переполнения буфера.

При разработке программного обеспечения, нужно создавать подтверждающие проверки в целях обнаружения искажения информации.

1. Целостность сообщений и контроль выходных данных

При разработке программного обеспечения нужно определить, необходимо ли использовать контроль целостности сообщений, выдаваемых программой.

Кроме входных данных, должна осуществляться проверка выходных данных. При проверке выходных данных можно использовать:

• контрольную сверку данных для того, чтобы удостоверится в их правильности;

• проверки достоверности выходных данных;

• создание журнала регистрации действий по подтверждению выходных данных.

1. Меры защиты, связанные с криптографической защитой информации

В организации следует определить, нужно ли использовать криптографические средства защиты, и если нужно, то определить для какой информации она должна использоваться. Нужно учесть следующее:

• нормативно-правовые акты, регламентирующие работу с криптографическими средствами защиты;

• управление криптографическими ключами, включая их защиту;

• роли и обязанности сотрудников по отношению к криптографическим ключам.

Криптографические ключи должны быть защищены от несанкционированного доступа, модифицирования и уничтожения. Нужно реализовывать систему управления ключами:

• генерировать ключи для различных криптографического программного обеспечения;

• генерировать сертификаты открытых ключей;

• рассылать ключи пользователям и инструкции о использовании ключей;

• хранить ключи;

• менять и обновлять ключи при необходимости;

• аннулировать и уничтожать ключи;

• осуществлять регистрацию действий, связанных с криптографическими ключами.

При работе с удостоверяющими центрами необходимо оформлять договоры, в которых указывается ответственность сторон и так далее.

1. Безопасность системных файлов

В организации должен быть обеспечен контроль внедрения программного обеспечения во избежание повреждения систем, находящихся в эксплуатации. Для этого нужно:

• обновление программного обеспечения должен производить специалист, которые имеет соответствующий уровень квалификации;

• программное обеспечение должно содержать только исполняемый код, не должно быть установлено средств разработки и компиляции;

• программное обеспечение перед установкой в эксплуатационные системы, должно быть протестировано в отдельной среде (п.2.8.2);

• предыдущие версии программного обеспечения должны быть сохранены для восстановления работоспособности системы в случае непредвиденных ошибок при обновлении.

Программное обеспечение может перестать поддерживаться поставщиком или может не поддерживаться, поэтому этот фактор нужно учитывать при применении такого программного обеспечения. Если для программного обеспечения выпускается исправление, то целесообразно его установить.

Новые версии программного обеспечения стоит устанавливать только в случае, если старое программное обеспечение не удовлетворяет требованиям деятельности.

1. Защита тестовых данных

При тестировании новых средств могут понадобиться большие объемы данных, которые используются в эксплуатационной среде. Нужно избегать использования баз данных из эксплуатируемой среды. Если такие базы данных приходится использовать, то конфиденциальные данные, содержащиеся в них нужно изменить или удалить.

Для этого нужно:

• применять процедуры управления доступом для среды тестирования;

• при каждом использовании информации из эксплуатационной среды нужно применять авторизацию;

• информацию из эксплуатируемой среды нужно удалять по завершению тестирования.

1. Управление доступом к исходному коду программ

Доступ к исходному коду программ должен быть ограничен во избежание модификаций. Исходный код и документация, связанная с ними, должна храниться централизованно и доступ к ней должен иметь ограниченный круг лиц. Исходный код не должен храниться в эксплуатируемой системе, все изменения исходного кода должны записываться в журнал.

1. Безопасность в процессах разработки и поддержки

1. Контроль изменений в информационных системах

В организации нужно ввести строгий контроль изменений в информационных системах, чтобы минимизировать возможные повреждения информационной системы при применении нового программного обеспечения или оборудования. Контроль изменений должен включать:

• процесс одобрения изменений информационной системы руководством;

• выявление всего программного обеспечения, оборудования требующего изменений;

• обновление всей документации по информационной системе.

После внедрения нового программного обеспечения в эксплуатируемую среду, нужно проанализировать влияние этого программного обеспечения на среду для обеспечения уверенности в том, что программное обеспечение не оказывает негативного влияния на функционирование и безопасность организации.

1. Проверка программного обеспечения после изменений информационной системы

В случае изменений в информационной системе нужно протестировать программное обеспечение, чтобы убедиться в том, что программное обеспечение не оказывает влияния на функционирование и безопасность информационной системы.

1. Утечка информации

Чтобы снизить риск утечки информации нужно рассмотреть следующие меры:

• использование программного обеспечения, которое считается максимально достоверными;

• мониторинг использования сети и ресурсов технических средств;

• сканирование носителей информации на наличие скрытой информации.

1. Аутсорсинг

При применении сторонних организаций для разработки программного обеспечения нужно принимать следующие меры:

• контролировать выполнение лицензионных соглашений (п. 2.10);

• осуществлять правильность выполнения работы;

• обеспечить права доступа для проверки работоспособности программного обеспечения;

• тестирование программ на обнаружение вредоносного кода.

1. Технические уязвимости

Нужно получать информацию об уязвимостях в информационных системах и принимать меры для устранения этих уязвимостей. Инвентаризация активов (п. 2.3) позволит увеличить эффективность управления техническими уязвимостями, поскольку вся необходимая информация находится в описании актива, что позволит быстро выявить активы, подверженные уязвимости.

1. Экономическая часть. Оценка экономической эффективности внедрения норм и правил менеджмента информационной безопасности

В данном разделе дипломного проекта будут рассчитаны затраты на разработку норм и правил и оценена экономическая эффективность от их внедрения.

Создание норм и правил имеет свои особенности. Одной из таких особенностей является изменение требований в процессе разработки. Поскольку при их написании возможно изменение требований нормативно-правовых актов или уровня безопасности в Учреждении в целом. Эта особенность оказывает наибольшее влияние именно на стадии разработки.

Цель выпускной квалификационной работы заключается в разработке норм и правил менеджмента информационной безопасности Учреждения, удовлетворяющей требованиям руководящих документов и других нормативно-правовых актов в области информационной безопасности.

Для того чтобы оценить экономическую эффективность внедрения политики безопасности, необходимо вычислить [8]:

• чистый дисконтированный доход (NPV);

• индекс доходности (PI).

Для расчета данных показателей необходимо вычислить следующие величины [8]:

• капиталовложение (К) – средства, необходимые на разработку правил информационной безопасности;

• выгода (R) – средства, которые удастся сохранить после внедрения правил информационной безопасности;

• периодические затраты (З) – средства, необходимые для поддержания политики безопасности (зарплата администратора безопасности и прочее);

• ставка дисконтирования (N) – показатель, позволяющий учесть неравноценность денежных потоков, возникающих в различные моменты времени.

1. Расчет затрат на создание норм и правил менеджмента информационной безопасности

Методы нормирования затрат на разработку документации отличаются от затрат, сложившихся в традиционных отраслях.

Характеристики

Список файлов ВКР