Пояснительная записка (ПЗ) (1209507)
Текст из файла
Министерство транспорта Российской ФедерацииФедеральное агентство железнодорожного транспортаФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙУНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»Кафедра "Информационные технологии и системы"К ЗАЩИТЕ ДОПУСТИТЬЗаведующий кафедройМ.А. Попов"___"_______2017 г.РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИКЛИНИКИ ДИЕТОЛОГИИПояснительная запискак выпускной квалификационной работе бакалавраВКР 10.03.01.24Б ПЗСтудент гр.
24БР.М-А. НиязоваРуководительдоцент, к.ф.-м.н., доцентЕ.В. КарачанскаяНормоконтрольдоцент, к.п.н., доцентВ. И. ШестухинаХабаровск – 20171СодержаниеВведение............................................................................................................. 41 Теоритическая часть ...................................................................................... 62 Описание предприятия ................................................................................ 192.1 Общая характеристика предприятия и его деятельности ................. 192.2 Сведения о структуре Клиники и расположение объектов .............. 192.3 Сведения об информационной системе Клиники.............................. 212.4 Категории информационных ресурсов, подлежащих защите .......... 222.5 Угрозы информационной безопасности .............................................
232.6 Существующие мероприятия в Клинике ............................................ 263 Разработка политики информационной безопасности ............................ 283.1 Политика безопасности ........................................................................ 363.2 Организация информационной безопасности....................................
373.2.1 Внутренняя организация ................................................................... 373.2.4 Обеспечение безопасности при доступt сторонних организаций 383.2.5 Рассмотрение вопросов безопасности при работе с клиентами ... 393.2.6 Управление активами ........................................................................ 393.3 Классификация информации ................................................................ 403.3.1Основные принципы классификации ............................................... 403.3.2 Маркировка и обработка информации ............................................
403.4 Правила безопасности, связанные персоналом ..................................... 413.4.1Функции и обязанности персонала ................................................... 413.4.2 Проверка персонала при найме ........................................................ 413.4.3 Условия трудового договора ............................................................ 423.4.4 Работа по трудовому договору .........................................................
423.4.5 Дисциплинарная практика ................................................................ 433.5 Физическая защита и защита взаимодействия окружающей среды .... 443.5.1 Контроль доступа в охраняемую зону ............................................. 4523.5.2 Защита от внешних угроз .................................................................. 463.5.3 Зоны общественного доступа ........................................................... 473.5.4 Безопасность оборудования .............................................................. 483.5.5 Размещение и защита оборудования................................................
48Заключение ...................................................................................................... 50Список использованных источников ............................................................ 51Обозначения и сокращения ............................................................................
523ВведениеНа сегодняшний день проблема обеспечения защиты информацииявляетсяоднойизважнейшихдляустойчивогофункционированияинформационной структуры предприятия, а также для минимизации рисковна предприятии.Помимо организации защиты программными и аппаратными средствами,немаловажным аспектом безопасности являются нормы и правила в областиинформационнойбезопасности.Поэтомунеобходимостьуделятьпристальное внимание вопросам информационной безопасностив рамкахнорм и правил доказывает актуальность данной работы.Для повышения осведомленности пользователей в области рисков,связанных с информационными ресурсами и для определения степениответственностииобязанностейсотрудниковпообеспечениюинформационной безопасности на предприятии было решено разработатьполитику информационной безопасности для Клиники диетологии икоррекции веса.Целью выпускной квалификационной работы является создание политикиинформационнойбезопасности,удовлетворяющейдействующеезаконодательство в области защиты информации, а также нормативнотехнические,нормативно-методические документы федеральных органовисполнительной власти.Задачи, которые предстоит решить:– анализ данных по объекту защиты;– выявление угроз и уязвимостей объекта защиты;– разработка и внедрение политики информационной безопасностипредприятия.Объектом исследования является усовершенствование мероприятий пообеспечению информационной безопасности Клиники диетологии.4Предмет исследования данной ВКР – создание требований и правил дляобеспечения информационной безопасности Клиники диетологии.Вспискеиспользованныхисточниковприводятсяиспользуемыедокументы, литература, Интернет-сайты, и другие источники информации,используемой в данной ВКР.51Теоритическая частьИнформация – это актив, который, имеет ценность и должен бытьзащищен надлежащим образом.
Информационная безопасность защищаетинформациюотнепрерывностибольшогобизнеса,спектраугрозминимизациисцельюущерба,аобеспечениятакжевреализациипотенциальных возможностей бизнеса.Могут существовать следующие типы активов:информация/данные(например,файлы,содержащиеинформацию о платежах или продукте);аппаратные средства (например, компьютеры, принтеры);программное обеспечение, включая прикладные программы(например,программыобработкитекстов,программыцелевогоназначения);оборудование для обеспечения связи (например, телефоны,медные и оптоволоконные кабели);программно-аппаратныесредства(например,электронныеносители информации);документы (например, контракты);продукция предприятия;услуги (например, информационные, вычислительные услуги);конфиденциальность и доверие при оказании услуг (например,услуг по совершению платежей);оборудование, обеспечивающее необходимые условия работы;персонал организации;престиж (имидж) организации.Информация может существовать в различных формах.
Она может бытьнапечатана или написана на бумаге, храниться в электронном виде,6передаватьсяпопочтеилисиспользованиемсредствсвязи,демонстрироваться на пленке или быть выражена устно.Информационная безопасность – механизм защиты, обеспечивающий: конфиденциальность; целостность; доступность.В Российской Федерации к нормативно-правовым актам в областиинформационной безопасности относятся: акты федерального законодательства; международные договоры РФ; конституция РФ; законы федерального уровня (включая федеральные конституционныезаконы, кодексы); указы Президента РФ; постановления Правительства РФ; нормативные правовые акты федеральных министерств и ведомств; нормативные правовые акты субъектов РФ, органов местногосамоуправления и т.
д.Определение ценности актива. Ценность актива определяется стоимостьюинформационного актива. В связи с тем, что зачастую невозможноопределитьточныестоимостиактивовипредприятиявцелом,рекомендуется ценность актива задавать в диапазоне от 0 до 1, которая будетпоказывать отношение цены актива к стоимости всего бизнеса.Информационнаябезопасностьдостигаетсяпутемосуществлениякомплекса мероприятий по управлению информационной безопасностью,которые могут быть представлены политиками, методами, процедурами,организационными структурами и функциями программного обеспечения.Указанныемероприятиядолжныобеспечитьинформационной безопасности организации.7достижениецелейНеобходимость информационной безопасностиИнформация, поддерживающие ее процессы, информационные системы исетеваяинфраструктураявляютсясущественнымиактивамиорганизации.Конфиденциальность, целостность и доступность информациимогут существенно способствовать обеспечению конкурентоспособности,ликвидации,доходности,соответствиязаконодательствуиделовойрепутации организации.Организации, их информационные системы и сети все чаще сталкиваютсясразличнымимошенничество,наводнения.угрозамибезопасности,шпионаж,Такиетакимивредительство,источникиущерба,каквандализм,каккомпьютерноепожарыкомпьютерныеиливирусы,компьютерный взлом и атаки типа отказа в обслуживании, становятся болеераспространенными, более агрессивными и все более изощренными.Зависимость от информационных систем и услуг означает, чтоорганизации становятся все более уязвимыми по отношению к угрозамбезопасности.
Взаимодействие сетей общего пользования и частных сетей, атакже совместное использование информационных ресурсов затрудняетуправлениедоступомраспределеннойкинформации.обработкиТенденцияданныхкиспользованиюослабляетэффективностьцентрализованного контроля.Необходимость проведения оценки рисков определена в российских имеждународных стандартах по информационной безопасности (ГОСТ РИСО/МЭК17799:2005,CRAMM,ISO27001:2013)инормативныхдокументах государственных органов РФ (например, документах ФСТЭКРоссиипозащитеперсональныхданныхиключевыхсистеминформационной инфраструктуры).Под риском понимается неопределенность, предполагающая возможностьущерба, связанного с нарушением ИБ. Оценка рисков – это процесс,8охватывающий индетификацию риска, анализ риска и сравнительную оценкуриска.Анализ рисков включает следующие обязательные этапы:идентификация ресурсов;идентификация бизнес-требований и требований законодательства,применимых к идентифицированным ресурсам;оценивание идентифицированных ресурсов с учетом выявленныхбизнес требований и требований законодательства, а также последствийнарушения их конфиденциальности, целостности и доступности;идентификация значимых угроз и уязвимостей идентифицированныхресурсов;оценкавероятностиреализацииидентифицированныхугрозиуязвимостей.Оценивание рисков включает:вычисление риска;оценивание риска по заранее определенной шкале рисков.Оценкарисковявляетсяэффективныммеханизмомуправленияинформационной безопасностью в компании, позволяющим:идентифицировать и оценить существующие информационные активыкомпании;оценить необходимость внедрения средств защиты информации;оценить эффективность уже внедренных средств защиты информации.Допустимый риск принято считать риск, который в данной ситуациисчитают приемлемым при существующих общественных ценностях.
Дляпредприятия МСБ рекомендованное значение риска не должно превышать5%. Это обусловливается в первую очередь тем, что максимальная выручкапредприятий МСБ за отчетный период, например один год, может составлятьдо 400 млн рублей, это из расчета того, что в случае реализации одной изактуальных угроз, может повлечь убыток в размере более 5% выручки,9является недопустимым и требующим принятия эффективных мер. (см. рис.1.1.)Рисунок 1.1 – Роль процесса оценки рисков в структуре процессовинформационной безопасностиНеобходимость проведения оценки рисков определена в российских имеждународных стандартах по информационной безопасности (ГОСТ РИСО/МЭК17799:2005,CRAMM,ISO27001:2013)инормативныхдокументах государственных органов РФ (например, документах ФСТЭКРоссиипозащитеперсональныхданныхиключевыхсистеминформационной инфраструктуры).Под риском понимается неопределенность, предполагающая возможностьущерба, связанного с нарушением ИБ.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
