Пояснительная записка (1217026), страница 16
Текст из файла (страница 16)
Стратегия обеспечения ИБ должна строиться в соответствии с Российским законодательством в области защиты информации, требованиями международных, отраслевых и технологических стандартов.
Объектом защиты являются автоматизированные системы, входящие в состав информационной системы предприятия.
Основными факторами, влияющими на информационную безопасность предприятия, являются: автоматизация бизнес-процессов на предприятии, рост компьютерных преступлений, расширение кооперации исполнителей при построении и развитии информационной инфраструктуры предприятия, рост объемов информации предприятия, передаваемой по открытым каналам связи, расширение сотрудничества предприятия с партнерами.
При выборе программно-технических решений по обеспечению ИБ предприятия, предпочтение отдается решениям, обеспечивающим соблюдение основных принципов ИБ, а также удовлетворяющих следующим критериям:
-
поддержка международных, национальных, промышленных и Интернет стандартов (предпочтение отдается международным стандартам);
-
поддержка наивысшей степени интеграции с корпоративными программно-аппаратными платформами и используемыми средствами защиты информации;
-
унификация средств и интерфейсов управления подсистемами ИБ.
В качестве основных защищаемых активов выделим конфиденциальную и служебную информацию предприятия, к которой относятся:
-
персональные данные сотрудников предприятия и партнеров, хранимые в БД и передаваемые по сети;
-
сообщения электронной почты и информация БД, содержащие служебные сведения, информацию о деятельности предприятия и т.п.;
-
конструкторская и технологическая документация, перспективные планы развития, модернизации производства, реализации продукции и другие сведения, составляющие научно-техническую и технологическую информацию, связанную с деятельностью предприятия;
-
финансовая документация, бухгалтерская отчетность, аналитические материалы исследований о конкурентах и эффективности работы на финансовых рынках;
-
другие сведения, составляющие деловую информацию о внутренней деятельности предприятия;
-
персональные данные клиентов [28].
К категории открытой относится вся прочая информация, не относящаяся к конфиденциальной.
Для оценки возможного ущерба предприятию в результате осуществления угроз информационной безопасности следует применять следующие критерии:
У1: ущерб коммерческим интересам партнеров и третьих лиц;
У2: санкции со стороны правоохранительных и регулирующих органов (штрафы, административная и уголовная ответственность);
У3: ущерб коммерческим интересам предприятия;
У4: финансовые потери;
У5: ущерб репутации предприятия;
У6: дезорганизация деятельности, ухудшение морального климата в коллективе, снижение эффективности работы.
Для оценки величины возможного ущерба будет использоваться пятибалльная качественная шкала (см. таблицу 4.1) [28].
Таблица 4.1. Шкала оценки критериев ущерба
| Величина ущерба | У3: ущерб коммерческим интересам | У4: финансовые потери | У5: ущерб репутации |
| 0 | Представляет интерес для конкурентов, но не приносит коммерческой выгоды | Финансовые потери в размере менее 10000 руб. | Недовольство со стороны некоторых клиентов |
| 1 | Представляет интерес для конкурентов, приносит коммерческую выгоду на сумму менее 100000 руб. | Финансовые потери в размере от 10000 до 100000 руб. | Потеря доверия некоторых клиентов или потенциальных клиентов, снижение уроня доверия со стороны некоторых партнеров |
| 2 | То же, на сумму от 100000 до 1000000 руб. | Финансовые потери в размере от 100000 до 1000000 руб. | Локальное распространение негативной информации о предприятии, снижение уровня доверия со стороны партнеров и клиентов |
| 3 | То же, на сумму от 1000000 10000000 руб. | Финансовые потери в размере от 1000000 до 10000000 руб. | Негативная информация о предприятии распространяется через СМИ, потеря доверия со стороны некоторой части клиентов и партнеров, отказ от некоторых партнеров и клиентов |
| 4 | Коммерческие интересы или финансовое положение организации могут быть существенно подорваны, потеря основной доли рынка | Финансовые потери в размере более 10000000 руб., банкротство и прекращение бизнеса | Серьезное ухедшение имиджа предпритятия, потеря доверия со стороны значительной части клиентов и партнеров, широкая негативная известность |
4. 2 Цели и принципы построения информационной безопасности в ООО «Бюро консалтинговых услуг»
Положения Политики обеспечения ИБ распространяются на всех работников Предприятия, имеющих доступ к информационным активам и ИТ-инфраструктуре Предприятия, а также учитываются в отношениях с контрагентами (потребителями продукции, поставщиками, партнерами, консультантами, стажерами, практикантами и т.д.).
Важнейшими целями Предприятия в области информационной безопасности являются:
-
повышение конкурентоспособности бизнеса Предприятия;
-
соответствие требованиям законодательства и договорным обязательствам в части информационной безопасности;
-
повышение деловой репутации и корпоративной культуры;
-
достижение адекватности мер по защите от угроз информационной безопасности;
-
предотвращение и (или) снижение ущерба от реализации угроз информационной безопасности [25].
При достижении поставленных целей Предприятие намерено руководствоваться следующими принципами:
-
Вовлеченность высшего руководства Предприятия в процесс обеспечения информационной безопасности. Деятельность по обеспечению информационной безопасности инициирована и контролируется высшим руководством Предприятия. Координация деятельности по обеспечению информационной безопасности осуществляется в рамках действующего на Предприятии комитета, в состав которого входят представители высшего руководство. Высшее руководство Предприятия выполняет те же правила по обеспечению информационной безопасности, что и все работники Предприятия.
-
Законность обеспечения информационной безопасности. Предприятие реализует меры обеспечения информационной безопасности в строгом соответствии с действующим законодательством и договорными обязательствами.
-
Согласованность действий по обеспечению информационной, физической и экономической безопасности. Действия по обеспечению информационной, физической и экономической безопасности осуществляются на основе четкого взаимодействия заинтересованных подразделений Предприятия и согласованы между собой по целям, задачам, принципам, методам и средствам.
-
Экономическая целесообразность. Предприятие стремится выбирать меры обеспечения информационной безопасности с учетом затрат на их реализацию, вероятности возникновения угроз информационной безопасности и объема возможных потерь от их реализации.
-
Знание своих работников. Предприятие стремится тщательно подбирать персонал (работников), вырабатывать и поддерживать корпоративную этику, что создает благоприятную среду для деятельности Предприятия и снижает риски информационной безопасности.
-
Документированность требований информационной безопасности. Предприятие стремится, чтобы все требования в области информационной безопасности были зафиксированы во внутренних нормативных документах, утвержденных руководством Предприятия.
-
Осведомленность в вопросах обеспечения информационной безопасности. Документированные требования в области информационной безопасности доводятся до сведения работников Предприятия и контрагентов в части их касающейся. Предприятие на периодической основе осуществляет информирование, обучение и аттестацию работников по вопросам обеспечения информационной безопасности.
-
Реагирование на инциденты информационной безопасности. Предприятие стремится выявлять, учитывать и оперативно реагировать на действительные, предпринимаемые и вероятные нарушения информационной безопасности.
-
Персональная ответственность. Работники Предприятия несут персональную ответственность за соблюдение требований информационной безопасности. Обязанности по обеспечению информационной безопасности включаются в трудовые договоры и должностные инструкции работников, а так же в договоры (соглашения) с контрагентами.
-
Учет действий с информационными активами. Предприятие стремится вести учет всех действий работников Предприятия и контрагентов с информационными активами Предприятия.
-
Предоставление минимально необходимых прав доступа. Работникам Предприятия и контрагентов предоставляются минимально необходимые права доступа для качественного и своевременного выполнения трудовых обязанностей и договорных обязательств. При этом Предприятие стремится предоставлять права доступа таким образом, чтобы выполнение особо важной (критичной) операции осуществлялось с участием как минимум двух работников.
-
Учет требований информационной безопасности в проектной деятельности. Помимо операционной деятельности, Предприятие стремится учитывать требования информационной безопасности в проектной деятельности. Разработка и документирование требований по обеспечению информационной безопасности осуществляется на начальных этапах реализации проектов, связанных с обработкой, хранением и передачей информации [25].
Заинтересованными сторонами при реализации Политики Предприятие считает:
-
акционеров и потенциальных инвесторов;
-
органы государственной власти;
-
контрагентов (потребители продукции, поставщики и т.д.) и деловых партнеров (потенциальные контрагенты, дочерние и зависимые общества и т.д.);
-
работников.
Организация эффективного взаимодействия Предприятия с заинтересованными сторонами способствует повышению капитализации Предприятия, долгосрочному постоянному развитию и непрерывности бизнеса, снижению рисков инвестиций, соблюдению требований законодательства и договорных обязательств в части информационной безопасности, обеспечению высокой деловой репутации Предприятия, обеспечению своевременной поставки продукции, повышению квалификации работников и корпоративной культуры. Предприятие обеспечивает защиту конфиденциальной информации, полученной от заинтересованной стороны на уровне, разумно достаточном для заинтересованной стороны, но не меньшем, чем уровень защиты собственной конфиденциальной информации.
Предприятие разрабатывает и внедряет внутренние нормативные документы по обеспечению информационной безопасности на основе законодательных требований, а так же положений международных и национальных стандартов в области информационной безопасности:
-
долгосрочную программу мероприятий по обеспечению информационной безопасности;
-
стандарты, положения и инструкции по обеспечению информационной безопасности;
-
планы обеспечения непрерывности бизнеса и действий в случаях чрезвычайных ситуаций.
Кроме того, Предприятие на периодической основе проводит анализ внутренних нормативных документов на предмет их эффективности и непротиворечивости, а также поддерживает данные документы в актуальном состоянии. Политика пересматривается не реже одного раза в два года.
Активная позиция руководства Предприятия в вопросах управления рисками информационной безопасности выражается в поддержке регулярной деятельности по следующим направлениям:
-
идентификация и классификация активов, подлежащих защите, и определение владельцев этих активов;
-
своевременное выявление и прогнозирование угроз информационной безопасности в отношении идентифицированных активов;
-
оценка вероятности реализации угроз информационной безопасности и степени их влияния на бизнес Предприятия на основе методов, позволяющих обеспечить сравнимые и воспроизводимые результаты;
-
обработка рисков информационной безопасности;
-
оценка эффективности применяемых методов и средств обеспечения информационной безопасности, в том числе с привлечением внутренних и внешних аудиторов.
Для достижения поставленных целей в области обеспечения информационной безопасности Предприятие намерено осуществлять:
-
внедрение системы управления информационными рисками в соответствии с международным стандартом ISO/IEC 27005:2011 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности»;
-
сертификацию особо важных (критичных) для деятельности Предприятия бизнес-процессов на соответствие международному стандарту ISO/IEC 27005:2011 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности»;
-
внедрение передовых программных, аппаратных и технических решений в области информационной безопасности.
4.3 Информационная система ООО «Бюро консалтинговых услуг»
Контекст управления рисками согласно ISO 27005 включает цель, область и границы, а также организационную структуру управления рисками.
Цель управления рисками в рамках рассматриваемого проекта можно определить, как обеспечение информационной безопасности организации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
