Управления информационной безопасностью предприятия
Заказать уникальную курсовую работу- 30 30 страниц
- 0 + 0 источников
- Добавлена 14.02.2014
- Содержание
- Часть работы
- Список литературы
- Вопросы/Ответы
Введение 5
1 Понятие стратегии информационной безопасности и ее целей 7
2 Политика по обеспечению информационной безопасности. Процесс внедрения и эффективность 9
2.1 Понятие политики информационной безопасности 9
2.2 Политика безопасности и факторы, оказывающие влияние на ее эффективность 11
2.2.1 Влияние безопасности на рабочий процесс 11
2.2.2 Приобретение навыков безопасного поведения в процессе обучения 13
2.2.3 Появление нарушений политики безопасности неизбежно 14
2.2.4 Непрерывное совершенствование как условие эффективности политики безопасности 15
2.3 Порядок оценки риска 15
2.4 Разработка и внедрение высокоэффективных политик 18
2.4.1 Снижение влияния, оказываемого политикой безопасности на процесс производства 18
2.4.2 Обеспечение непрерывности обучения 19
2.4.3 Обеспечение непрерывности контроля и оперативного реагирования на инциденты нарушения информационной безопасности 20
2.4.4 Обеспечение непрерывного совершенствования политики безопасности 20
2.4.5 Поддержка со стороны руководителя организации 21
2.5 Формирование благоприятной среды 21
2.5.1 Поддержка со стороны руководства 21
2.5.2 Структура организации 22
2.6 Понятие жизненного цикла политики безопасности 23
2.6.1 Жизненный цикл и его этапы 23
2.6.2 Осуществление первоначального аудита безопасности 23
2.6.3 Процесс разработки политики безопасности 23
2.6.4 Процесс внедрения 23
2.6.5 Процедура аудита и контроля 24
2.6.6 Процедура пересмотра и корректировки 24
Заключение 25
Список литературы 27
Политики должны по возможности носить не рекомендательный, а обязательный характер. Ответственность за нарушение политики должна быть четко определена. За нарушение политики безопасности должны быть предусмотрены конкретные дисциплинарные, административные взыскания и материальная ответственность. 2.4.4 Обеспечение непрерывного совершенствования политики безопасностиПолитика безопасности не является набором раз и навсегда определенных прописных истин. Не следует пытаться путем внедрения политики безопасности решить сразу все проблемы информационной безопасности. Политика является результатом согласованных решений, определяющих основные требования по обеспечению информационной безопасности и отражающих существующий уровень понимания этой проблемы в организации.Для того чтобы оставаться эффективной политика безопасности должна периодически корректироваться. Должна быть определена ответственность за поддержание политики безопасности в актуальном состоянии и назначены интервалы ее пересмотра. Политика безопасности должна быть простой и понятной. Следует избегать усложнений, которые сделают политику неработоспособной. По этой же причине она не должна быть длинной. Иначе большинство пользователей не смогут дочитать ее до конца, а, если и дочитают, то не запомнят о чем в ней говорится.2.4.5 Поддержка со стороны руководителя организацииНа этапе внедрения политики безопасности решающее значение имеет поддержка руководства организации. Политика безопасности вводится в действие приказом руководителя организации и процесс ее внедрения должен находиться у него на контроле. В политике безопасности должна быть явным образом прописана озабоченность руководства вопросами обеспечения информационной безопасности.Со стороны координатора рабочей группы по разработке политики безопасности руководству организации должны быть разъяснены риски, возникающие в случае отсутствия политики безопасности, а предписываемые политикой безопасности меры по обеспечениюинформационной безопасности должны быть экономически обоснованы[6].2.5 Формирование благоприятной среды2.5.1 Поддержка со стороны руководстваВ предыдущих разделах был сделан вывод о том, что эффективность защитной политики пропорциональна поддержке, которую она получает в организации. Таким образом, критически важным условием для успеха в области защиты организации становится организация работы и создание в организации атмосферы, благоприятной для создания и поддержания высокого приоритета информационной безопасности.Чем крупнее организация, тем более важной становится поддержка сотрудников. Далее будет предложено несколько действий, которые могут быть предприняты для обеспечения полной поддержки политики безопасности руководством организации, что должно существенно увеличить эффективность политики. Об этом уже упоминалось ранее, но стоит подчеркнуть вновь. Самое трудное, с чем мы можем столкнуться в процессе становления защитной политики – это убедить руководство нашей организации в необходимости компьютерной безопасности и вовлечь их в этот процесс, заставить быть причастными к созданию защитной политики (пока гром не грянет, мужик не перекрестится, т.е. в данном случае руководство денег не даст).2.5.2 Структура организацииВне зависимости от размеров организации, защитная политика должна всегда иметь владельца. В то время как права, обязанности и даже название должности могут меняться от организации к организации, его роль должна быть неизменна.Давайте, в качестве примера, назовем этого человека «руководителем охраны» или «security officer». Это – ответственный руководитель, в обязанности которого входит наблюдать за созданием, распределением, и выполнением политики безопасности. В этом смысле «руководитель охраны» выполняет роль посредника между управлением и пользовательской массой. Очевидно, что этот человек должен подчиняться только высшему руководству компании – генеральному директору, президенту или совету директоров. 2.6 Понятие жизненного цикла политики безопасности2.6.1 Жизненный цикл и его этапыРазработка политики безопасности – длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области информационной безопасности и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно.2.6.2Осуществление первоначального аудита безопасностиАудит безопасности – это процесс, с которого начинаются любые планомерные действия по обеспечению ИБ в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита производится анализ текущего состояния ИБ, выявляются существующие уязвимости, наиболее критичные области функционирования и наиболее чувствительные к угрозам ИБ бизнес процессы.2.6.3Процесс разработки политики безопасностиАудит безопасности позволяет собрать и обобщить сведения, необходимые для разработки политики безопасности. На основании результатов аудита определяются основные условия, требования и базовая система мер по обеспечению информационной безопасности в организации, позволяющих уменьшить риски до приемлемой величины, которые оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.2.6.4Процесс внедренияС наибольшими трудностями приходится сталкиваться на этапе внедрения политики безопасности, которое, как правило, связано с необходимостью решения технических, организационных и дисциплинарных проблем. Часть пользователей могут сознательно, либо бессознательно сопротивляться введению новых правил поведения, которым теперь необходимо следовать, а также программно-технических механизмов защиты информации, в той или иной степени неизбежно ограничивающих их свободный доступ к информации.2.6.5Процедура аудита и контроляСоблюдение положений политики безопасности должно являться обязательным для всех сотрудников организации и должно непрерывно контролироваться. Проведение планового аудита безопасности является одним из основных методов контроля работоспособности политики безопасности, позволяющего оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений политики безопасности и внесение в них необходимых корректировок.2.6.6Процедура пересмотра и корректировкиПервая версия политики безопасности обычно не в полной мере отвечает потребностям организации, однако понимание этого приходит с опытом. Скорее всего, после наблюдения за процессом внедрения политики безопасности и оценки эффективности ее применения потребуется осуществить ряд доработок. В дополнение к этому, используемые технологии и организация бизнес процессов непрерывно изменяются, что приводит к необходимости корректировать существующие подходы к обеспечению информационной безопасности. В большинстве случаев ежегодный пересмотр политики безопасности является нормой, которая устанавливается самой политикой[6].ЗаключениеНа сегодняшний день известно много различных систем безопасности, которые служат цели обеспечениядолжной степени защищенности информации, но нет никакой возможности с уверенностью утверждать, что какая-либо одна из них лучше, чем другие.Как нет и примеров разработки универсальной системы, которая обладала бысовершенной структурой, которую можно было бы взять за основу политики безопасности собственной организации. В каждойчастной ситуации следует применять индивидуальный подход к построению системы, осуществляющей управление информационной безопасностью, основываясь на реальных данных, имеющихся в наличии, спривлечением сторонних специалистов в сфере информационной безопасности.В первую очередь следует четко определить, в чем заключается информационная безопасность для этой конкретной компании и какие действия возможно предпринять с целью ее поддержания. Получив ответ на такой вопрос, можно, взяв его за основу, как фундамент, выполнить проект, а затем реализовать ту модель информационной безопасности, которая отвечала бы требованиям именно этой компании, обеспечивая должный уровень защищенности данных и обладающей наиболее эффективнойреализацией.Процесс разработкии внедренияполитики безопасности в организации является результатом коллективного творчества, и в этом процессе следует принимать участие представителям всех подразделений, которыезатрагиваются осуществляемыми переменами.В качестве координатора сего процесса должен выступать специалист, несущий ответственность за надлежащее обеспечение информационной безопасности этого предприятия. Этим специалистом осуществляетсякоординация деятельности рабочей группы,осуществляющей разработку и внедрениеполитики безопасности все время пока длится жизненный цикл проекта, который включает в себя осуществление аудита безопасности, выполнение разработки, согласования, внедрения, обучения, контроля исполнения, пересмотра и корректировкиполитики безопасности.Чтобы разработать эффективную политику безопасности, мало обладать профессиональным опытом, знанием нормативной базы в в сфере информационной безопасности, следует также принимать в расчет ряд основных факторов, оказывающих значимое влияние на эффективность, которую имеетполитика безопасности, и четко соблюдать основные принципы разработки политики безопасности, к числу которых следует отнести следующие: минимизацию влияния, оказываемого политикой безопасности на производительность труда, непрерывное обучение, осуществление контроля и оперативного реагирования на происходящие нарушения безопасности, поддержку руководства компании и непрерывное совершенствование политики безопасности [6].Список литературыКирсанов К.А., Малявина А.В., Попов Н.В. «Информационная безопасность: Учебное пособие». – М.:МАЭП, ИИК «Калита», 2010.Гусев В.С., Демин В.А., Кузин Б.Л. и др. Экономика и организация безопасности хозяйствующих субъектов, 2-е изд. – СПб.: Питер, 2008. – 288 с.Одинцов А.А. Экономическая и информационная безопасность предпринимательства: учеб. пособие для вузов. – М.: академия, 2008. – 336 с.Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов. –М.: Горячая линия –Телеком, 2004. – 280 с.Курочкин А.С. Управление предприятием: Уч. пособие. – Киев, 2009.Биячуев, Т.А. Безопасность корпоративных сетей / Т.А. Биячуев. – СПб: СПб ГУ ИТМО, 2008.- 161 с.Шахраманьян, М.А. Новые информационные технологии в задачах обеспечения национальной безопасности России/ Шахраманьян, М.А.– М.:ФЦ ВНИИ ГОЧС, 2008.- 222с.Амитан В.Н. Экономическая безопасность: концепция и основные модели // Економічна кібернетика. – 2009. – №3-4. – С.13-20.Башлыков М. Актуальные вопросы информационной безопасности //Финансовая газета. Региональный выпуск. 2006. № 4Волков П. Системы обеспечения информационной безопасности как часть корпоративной культуры современной организации //Финансовая газета. 2006. № 34
1. Кирсанов К.А., Малявина А.В., Попов Н.В. «Информационная безопасность: Учебное пособие». – М.:МАЭП, ИИК «Калита», 2010.
2. Гусев В.С., Демин В.А., Кузин Б.Л. и др. Экономика и организация безопасности хозяйствующих субъектов, 2-е изд. – СПб.: Питер, 2008. – 288 с.
3. Одинцов А.А. Экономическая и информационная безопасность предпринимательства: учеб. пособие для вузов. – М.: академия, 2008. – 336 с.
4. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов. –М.: Горячая линия –Телеком, 2004. – 280 с.
5. Курочкин А.С. Управление предприятием: Уч. пособие. – Киев, 2009.
6. Биячуев, Т.А. Безопасность корпоративных сетей / Т.А. Биячуев. – СПб: СПб ГУ ИТМО, 2008.- 161 с.
7. Шахраманьян, М.А. Новые информационные технологии в задачах обеспечения национальной безопасности России/ Шахраманьян, М.А.– М.:ФЦ ВНИИ ГОЧС, 2008.- 222с.
8. Амитан В.Н. Экономическая безопасность: концепция и основные модели // Економічна кібернетика. – 2009. – №3-4. – С.13-20.
9. Башлыков М. Актуальные вопросы информационной безопасности //Финансовая газета. Региональный выпуск. 2006. № 4
10. Волков П. Системы обеспечения информационной безопасности как часть корпоративной культуры современной организации //Финансовая газета. 2006. № 34
Вопрос-ответ:
Что такое стратегия информационной безопасности?
Стратегия информационной безопасности - это план действий, разработанный предприятием с целью обеспечения защиты его информационных ресурсов. Она включает в себя определение целей информационной безопасности, выбор необходимых мер и инструментов для их достижения, а также описание плана реагирования на возможные угрозы и инциденты.
Какие цели преследует стратегия информационной безопасности предприятия?
Цели стратегии информационной безопасности предприятия могут быть различными в зависимости от его особенностей, но в основе этих целей лежит обеспечение конфиденциальности, целостности и доступности информации. Она также может направляться на предотвращение утечек информации, защиту от внешних и внутренних угроз, обеспечение соблюдения законодательных и регуляторных требований в области информационной безопасности.
Что такое политика по обеспечению информационной безопасности?
Политика по обеспечению информационной безопасности - это набор правил, руководств и процедур, разработанных предприятием для регулирования использования информационных ресурсов и обеспечения их защиты. Она определяет требования к доступу к информации, контроль за ее использованием, защиту от угроз и реакцию на возможные инциденты.
Какие факторы оказывают влияние на эффективность политики информационной безопасности?
На эффективность политики информационной безопасности могут влиять различные факторы. Важным фактором является воздействие безопасности на рабочий процесс - политика должна быть согласована с основными целями бизнеса и работать в сотрудничестве с остальными бизнес-процессами. Также важным фактором является приобретение навыков безопасного поведения в процессе обучения сотрудников. Кроме того, эффективность политики может зависеть от проявлений нарушений политики безопасности и способов их предотвращения и устранения.
Что такое стратегия информационной безопасности и каковы ее цели?
Стратегия информационной безопасности - это план действий предприятия, направленный на обеспечение защиты информации от угроз и рисков. Цели стратегии информационной безопасности включают в себя обеспечение конфиденциальности, целостности и доступности информации, минимизацию рисков и максимизацию защиты от внешних и внутренних угроз.
Что такое политика информационной безопасности и как она внедряется на предприятии?
Политика информационной безопасности - это набор правил, процедур и мер, разработанных для обеспечения безопасности информации на предприятии. Ее внедрение начинается с разработки и утверждения политики, далее следует ознакомление сотрудников с ней, обучение им безопасному поведению и мониторинг соблюдения политики.
Как повысить эффективность политики информационной безопасности?
Эффективность политики информационной безопасности может быть повышена путем учета факторов, оказывающих влияние на нее. Один из таких факторов - это влияние безопасности на рабочий процесс. Если политика безопасности не затрудняет рабочие процессы и не создает излишних препятствий, то вероятность ее соблюдения будет выше.
Как приобрести навыки безопасного поведения в процессе обучения?
Для приобретения навыков безопасного поведения в процессе обучения можно использовать различные методы, такие как обучающие программы, тренинги и симуляции. Важно также ознакомить сотрудников с реальными случаями нарушений информационной безопасности и последствиями, чтобы они осознали важность безопасности и приняли ее в свою повседневную деятельность.
Какие факторы оказывают влияние на эффективность политики безопасности?
На эффективность политики безопасности оказывают влияние различные факторы. Один из них - это соблюдение сотрудниками политики безопасности. Если сотрудники не осознают важность безопасности и не соблюдают политику, то ее эффективность снижается. Другой фактор - это наличие современных технических средств защиты информации, которые позволяют обеспечить безопасность на предприятии.
Что такое стратегия информационной безопасности и какие у нее цели?
Стратегия информационной безопасности - это план действий предприятия, разработанный для обеспечения защиты информации. Целями стратегии могут быть обеспечение конфиденциальности, доступности и целостности информации, минимизация рисков и предотвращение утечек данных.