Пояснительная записка (ПЗ) (1209507), страница 2
Текст из файла (страница 2)
Оценка рисков – это процесс,охватывающий индетификацию риска, анализ риска и сравнительную оценкуриска.Управление ИБ нуждается в участии всех работников организации, атакже консультации специалистов сторонних организаций.Если изначально включить в спецификацию требований мероприятия поуправлению в области ИБ, то защита информации обойдется гораздо дешевлеи эффективнее.10А непосредственно требования к ИБ определяются с помощьюсистематической оценки рисков.
Решения о затратах на мероприятия по УИБдолжны приниматься, исходя из возможного ущерба, который может бытьнанесен бизнесу.Оценка рисков – это систематический анализ: возможного ущерба, наносимого в результате нарушений ИБ; вероятности наступления такого нарушения с учетом существующихугроз и уязвимостей.Результаты оценки рисков помогут определить меры в областиуправления рисками, связанными с ИБ, а также внедрению мероприятий поУИБ.Необходимо периодически проводить анализ рисков и внедренныхмероприятий по УИБ.А теперь стоит рассказать о мерах информационной безопасности.Можновыделитьследующиенаправлениямеринформационнойбезопасности: правовые; организационные; технические.К правовым мерам следует отнести разработку норм, устанавливающихответственность за компьютерные преступления, защиту авторских правпрограммистов,совершенствованиеуголовногоигражданскогозаконодательства, а также судопроизводства.
К правовым мерам относятсятакже вопросы общественного контроля за разработчиками компьютерныхсистем и принятие международных договоров об их ограничениях, если онивлияют или могут повлиять на военные, экономические и социальныеаспекты жизни стран, заключающих соглашение.К организационным мерам отнесу охрану вычислительногоцентра,тщательный подбор персонала, исключение случаев ведения особо важныхработ11толькооднимчеловеком,наличиепланавосстановленияработоспособности центра, после выхода его из строя, организациюобслуживания вычислительного центра посторонней организацией илилицами, незаинтересованными в сокрытии фактов нарушения работы центра,универсальность средств защиты от всех пользователей (включая высшееруководство), возложение ответственности на лиц, которые должныобеспечить безопасность центра, выбор места расположения центра и т.п.К техническим мерам можно отнести защиту от несанкционированногодоступа к системе, резервирование особо важных компьютерных подсистем,организацию вычислительных сетей с возможностью перераспределенияресурсов в случае нарушения работоспособности отдельных звеньев,установку оборудования обнаружения и тушения пожара, оборудованияобнаружения воды, принятие конструкционных мер защиты от хищений,саботажа, диверсий, взрывов, установку резервных систем электропитания,оснащение помещений замками, установку сигнализации и многое другое.Более подробно эти меры будут рассмотрены в последующих разделах этойдипломной работы.Непосредственно,мероприятияпоуправлениюинформационнойбезопасностью следует внедрить после того, как определены требования кинформационной безопасности.
Эти мероприятия могут быть выбраны изразличных источников, или же могут бы разработаны собственныемероприятия.Минимальные (базовые) требования безопасности формулируются вобщем виде, без учета категории, присвоенной ИС. Они задают базовыйуровень информационной безопасности, им должны удовлетворять всеинформационные системы. Результаты категорирования важны при выборерегуляторовбезопасности,обеспечивающихвыполнениесформулированных на основе анализа рисков (см. рис.1.2).12требований,Рисунок 1.2 – Уровни информационной безопасностиМинимальные требования безопасности (см. рис.
1.3) охватываютадминистративный, процедурный и программно-технический уровни ИБ иформулируются следующим образом.Рисунок 1.3 – базовые требования безопасности к информации и ИС.13При выборе мероприятия по УИБ необходимо основываться не только настоимости реализации, но и на эффекте от снижения рисков.При внедрении информационной безопасности необходимо учитыватьследующие решающие факторы: соответствие целей, политик и процедур ИБ целям бизнеса; поддержка и интерес со стороны руководства; четкоепониманиетребованийбезопасности,оценкарисков иуправление рисками; обеспечениепониманиянеобходимостиприменениямерИБруководством и работниками организации; ознакомление и передача инструкций сотрудникам организации; обеспечение подготовки и обучения; сбалансированная система измеряемых показателей, используемых дляоценки эффективности УИБ.Что касаемо документации в области информационной безопасности,особоевниманиехотелосьбыуделитьполитикеинформационнойбезопасности.ЦельюполитикиИБявляетсяобеспечениерешениявопросовинформационной безопасности и вовлечение руководства в данный процесс.Политика ИБ должна быть не только издана и утверждена, но и должнабыть доведена до всех сотрудников надлежащим образом.
Она должнаустанавливать ответственность руководства за руководство ИБ.Как минимум, политика должна содержать следующее: определение ИБ, ее общих целей и сферы действия; изложение целейи принципов ИБЮ по мнению руководстваорганизации; краткое изложение наиболее существенных для организации политикбезопасности, принципов, правил и требований.14Необходимо, чтобы в организации назначалось ответственное заполитику безопасности должностное лицо, которое отвечало бы за еереализацию и пересмотр в соответствии с установленной процедурой.Указанная процедура должна обеспечивать осуществление пересмотраполитики информационной безопасности в соответствии с изменениями,влияющими на основу первоначальной оценки риска, например, путемвыявлениясущественныхбезопасности,появлениеинцидентовновыхнарушенияуязвимостейинформационнойилиизмененияорганизационной или технологической инфраструктуры.
Периодическиепересмотры должны осуществляться в соответствии с установленнымграфиком и включать: проверку эффективности политики, исходя из характера, числа ипоследствийзарегистрированныхинцидентовнарушенияинформационной безопасности; определениестоимостимероприятийпоуправлениюинформационной безопасностью и их влияние на эффективностьбизнеса; оценку влияния изменений в технологиях.Исходя из всего вышесказанного и прежде чем перейти к разработкеполитики информационной безопасности, я решила сравнить три стандартадля дальнейшего выбора документа, на основании которого будетсоздаваться политика (см.
таблицу 1.1.).Таблица 1.1 – Сравнение государственных стандартов в областиинформационной безопасностиИСО 27001-2006ВведениеОбщие положенияПроцессный подходСовместимость сдругими устройствами15ИСО 9001:2000ВведениеОбщие положенияПроцессный подходСвязь с ИСО 9004Совместимость сдругими системамиИСО 14001:2004ВведениеПродолжение таблицы 1.1ИСО 27001-2006ИСО 9001:2000ИСО 14001:20041.
Область применения1. Область применения1. Областьприменения1.1. Общие положения1.2. Применение2. Нормативные ссылки1.1. Общие положения1.2. Применение2. Нормативные ссылки4. Система менеджментаинформационнойбезопасности4. Система менеджмента 4. Требованиякачествасистемы управленияв области охраныокружающей4.1. Общие требования4.1. Общиетребования2. Нормативныессылки3. Термины и определения 3. Термины и определения 3. Термины иопределения4.1. Общие требования4.2. Разработка СМИБ.Управление СМИБ4.2.1. Разработка СМИБ4.2.2. Внедрение ифункционирование СМИБ4.2.3.
Проведение8.2.3. Мониторинг имониторинга и анализаизмерение процессовСМИБ8.2.4. Мониторинг иизмерение продукции4.2.4. Поддержка иулучшение СМИБ4.3. Требования к4.2. Требования кдокументациидокументации4.3.1. Общие положения4.2.1. Общие положения4.2.2. Руководство покачеству4.3.2. Управление4.3.2. Управлениедокументамидокументацией4.3.3. Управление записями 4.2.4. Управлениезаписями164.4. Внедрение иэксплуатация4.5.1. Мониторинг иизмерение4.4.5. Меры контролядокументации4.5.4. Меры контроляв отношенииучетных записейПродолжение таблицы 1.1ИСО 27001-20065. Ответственностьруководства5.1. ОбязательстваруководстваИСО 9001:20005. Ответственностьруководства5.1.
Обязательстваруководства5.2. Ориентация напотребителя5.3. Политика в областикачестваИСО 14001:20044.2. Политика вобласти охраныокружающей среды4.3. Планирование5.4. Планирование5.5. Ответственность,полномочия и обменинформацией5.2. Управление ресурсами 6. Управление ресурсами5.2.1. Обеспечение6.1. Обеспечениересурсамиресурсами6.2. Человеческие ресурсы5.2.2. Подготовка,6.2.2.
Компетентность,4.4.2. Обучение,осведомленность иосведомленность иосведомленность иквалификация персонала подготовкакомпетентность6.3. Инфраструктура6.4. Производственнаясреда6. Внутренние аудиты8.2.2. Внутренние аудиты 4.5.5. ВнутреннийСМИБ(проверки)аудит7. Анализ СМИБ состороны руководства5.6.
Анализ со стороныруководства7.1. Общие положения7.2. Входные данные дляанализа СМИБ5.6.1. Общие положения5.6.2. Входные данныедля проведенияконтрольного анализа5.6.3. Выходные данныеконтрольного анализа8.5. Совершенствование7.3. Выходные данныеанализа СМИБ8. Улучшение СМИБ174.6.
Контрольныйанализ со стороныруководстваОкончание таблицы 1.1ИСО 27001-20068.2. Корректирующиедействия8.3. ПредупреждающиедействияИСО 9001:20008.5.3. Корректирующиедействия8.5.4. ПревентивныедействияПриложение A. Цели имеры управленияПриложение B. ПринципыОЭСР и настоящийстандартПриложение C. Сравнение Приложение A.структуры настоящегоСоответствие ИСОстандарта со структурами 9001:2000 и ИСОмеждународных стандартов 14001:2004ИСО 9001:2000, ИСО14001:2004ИСО 14001:20044.5.3.Несоответствие,коррективные ипревентивныедействияПриложение A.Руководство поиспользованию этогостандартаСоответствие междуИСО 14001:2004 иИСО 9001:2000Я изучила все три стандарта и, я сделала вывод, что наиболее подробныйи наиболее подходящий стандарт для разработки политики информационнойбезопасности стал ГОСТ Р ИСО/МЭК 27001-2006.182 Описаниепредприятия2.1 Общая характеристика предприятия и его деятельностиКлиника диетологии и коррекции веса создана для оздоровления людей,страдающих избыточным весом.Согласно информации, предоставленной на официальном сайте Клиникадиетологии и коррекции веса – лицензированное медицинское учреждение,целью, которой является разработка в индивидуальном порядке для каждогопациента комплекса мероприятий, направленных сначала на эффективноепохудение, очищение и омоложение организма, а потом на коррекциюфигуры.Таким образом, в Клинике имеется информация как клиентов, так и самойорганизации, которую необходимо защищать.Основным видом деятельности Клиники является предоставлениемедицинских и косметологических услуг людям с избыточным весом.Основными функциями Клиники являются: осуществление аппаратной методики; ведение административной деятельности; оказание постоянного наблюдения пациентов врачами; ведение бухгалтерского учета; осуществлениепродажиабонементапосистемебанковскогокредитования.2.2Сведения о структуре Клиники и расположение объектовКлиникаимееттерриториально-распределеннуюструктуру,размещенную на территории Российской Федерации.
Клиника имеетцентральный офис и 17 филиалов. Центральный офис располагается в г.Москва. (см. рис. 2.1).19Филиал вг. КазаньФилиал вг. ХабаровскФилиал вг.СтавропольФилиал вг. КировФилиал вг. БелгородФилиал в г.СанктПетербургФилиал вг. СамараФилиал вг.НовосибирскИНТЕРНЕТФилиал вг.
СочиФилиал вг. УфаФилиал вг. НижнийНовгородФилиал вг. ПензаФилиал вг. СанктПетербургФилиал вг. Ростов-наДонуФилиал вг. ОренбургФилиал вг. КраснодарФилиал вг. КалугаРисунок 2.1 – Структура ИС Клиники диетологии20Удаленныеавтоматизированныерабочиеместарасположеныввосемнадцати городах России, к ним же относятся мобильные техническиесредства (ноутбуки), медицинское оборудование, принтеры.Структура Клиники по отделам: аппарат управления (генеральный директор, начальник финансовогоотдела, начальник отдела маркетинга, начальник сервисного отдела, главныйбухгалтер); финансовый отдел; сервисный отдел; отдел маркетинга; бухгалтерия.2.3Сведения об информационной системе КлиникиИнформационная система клиники представляет собой распределеннуюинформационную систему, объединяющуюудаленные автоматизированныерабочие места.Информация, хранимая, обрабатываемая и передаваемая в клиникесуществует как в электронном виде, так и на бумажных носителях.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
