дипломная работа на тему:
Разработка политики информационной безопасности компании
Оглавление
Аннотация ....................................................................................................................... 2
Введение .......................................................................................................................... 5
1. Аналитическая часть .................................................................................................. 6
1.1 Основные сведения о компании ....................................................................... 6
1.2 Служба информационной безопасности.............................................................. 7
1.3 Угрозы информационной безопасности и модель злоумышленника .............. 8
1.4 Оценка текущего состояния информационной безопасности .......................... 11
1.5 Замечания по организационно-распорядительной документации ................... 16
1.5.1 Управление информационной безопасностью ............................................. 16
1.5.2 Политика информационной безопасности ................................................... 16
1.5.3 Процедуры идентификации, оценки и управления рисками, связанными
с информационной безопасностью ......................................................................... 16
1.5.4 Управление непрерывностью бизнес-деятельности .................................... 17
1.5.6 Документация о неразглашении конфиденциальной информации ........... 17
1.5.5 Определение критичных информационных систем и владельцев
критичных информационных систем ..................................................................... 17
1.5.7 Управление инцидентами информационной безопасности ....................... 18
1.5.8 Взаимодействие с третьей стороной .............................................................. 18
1.5.9 Оценка эффективности ................................................................................... 18
1.5.10 Распределение ролей и обязанностей в области информационной
безопасности ........................................................................................................... 19
1.5.11 Процедуры в области работы конечных пользователей ........................... 20
1.5.12 Эксплуатация и сопровождение систем ...................................................... 22
1.5.13 Мониторинг событий в области ИБ и контроль соответствия
установленным процедурам .................................................................................... 22
1.5.14 Администрирование логического доступа как на уровне сетевых
операционных систем, так и на уровне других информационных
систем и приложений ............................................................................................... 23
1.5.15 Системное администрирование и привилегированные учетные
записи ......................................................................................................................... 24
1.5.16 Контроль удаленного доступа ...................................................................... 25
1.5.17 Контроль внешних соединений (Internet) ................................................... 25
2. Теоретическая часть .................................................................................................... 26
2.1 Политика информационной безопасности ......................................................... 26
2.1.1 Современные методики разработки политик безопасности ....................... 26
2.1.2 Создание политики информационной безопасности .................................. 28
2.2 Классификация данных. Регуляторы безопасности ........................................... 31
2.2.1 Категорирование информации и информационных систем ....................... 32
2.2.2 Минимальные (базовые) требования безопасности ..................................... 34
2.2.3 Выбор базового набора регуляторов безопасности с целью
выполнения требований безопасности .................................................................. 37
2.2.4 Регуляторы безопасности для минимального уровня ИБ ........................... 38
2.2.5 Дополнительные и усиленные регуляторы безопасности для
умеренного уровня ИБ ............................................................................................. 50
2.2.6 Дополнительные и усиленные регуляторы безопасности для
высокого уровня ИБ ................................................................................................. 57
2.2.7 Минимальные требования доверия для регуляторов безопасности ........... 61
3. Проектная часть .......................................................................................................... 62
3.1 Назначение ............................................................................................................. 63
3.2 Общие положения .................................................................................................. 63
3.2.1 Область применения ........................................................................................ 63
3.2.2 Нормативные ссылки ...................................................................................... 63
3.2.3 Термины, определения и сокращения ........................................................... 64
3.2.4 Порядок пересмотра политики ....................................................................... 66
3.3 Общие принципы политики информационной безопасности ......................... 66
3.3.1 Рекомендации международных стандартов .................................................. 66
3.3.2 Организация управления информационной безопасностью ...................... 67
3.3.3 Стратегия обеспечения информационной безопасности ............................ 68
3.3.4 Типы защищаемых ресурсов ........................................................................... 69
3.3.5 Основные угрозы информационной безопасности ..................................... 69
3.3.6 Основные источники – субъекты угроз информационной
безопасности .............................................................................................................. 70
3.3.7 Основные требования обеспечения информационной безопасности ....... 70
3.4 Принципы реализации политики информационной безопасности
в автоматизированных системах ................................................................................ 72
3.4.1 Защищаемые ресурсы компании .................................................................... 72
3.4.2 Информация, хранящаяся и обрабатываемая в автоматизированных
системах ..................................................................................................................... 72
3.4.3 Ответственность компании ............................................................................ 73
3.4.4 Основные принципы обеспечения информационной безопасности
применительно к автоматизированным информационным системам ............... 73
3.4.5 Особенности информационных систем компании ...................................... 75
3.4.6 Порядок эксплуатации автоматизированных систем .................................. 75
3.5 Обязанности должностных лиц и служб ............................................................. 76
3.5.1 Ответственность Руководства компании ...................................................... 76
3.5.2 Ответственность Службы информационных технологий (СИТ) ............... 76
3.5.3 Ответственность Службы информационной безопасности (СИБ) ............ 76
3.5.4 Ответственность владельцев ресурсов .......................................................... 77
3.5.5 Ответственность конечных пользователей ................................................... 77
3.6 Ответственность за нарушения положений политики ...................................... 77
3.7 Хранение и архивирование .................................................................................. 78
3.8 Актуализация ......................................................................................................... 78
4 Экономическая часть ................................................................................................... 78
4.1 Расчет трудоемкости проекта ............................................................................... 78
4.2 Анализ структуры затрат проекта ........................................................................ 79
Заключение ...................................................................................................................... 80
Список используемой литературы ................................................................................ 83
83 листа
оценка отлично
дата здачи: 20.11.2009г
Приложения:
ПРИЛОЖЕНИЕ 1. ПОЛОЖЕНИЕ О КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
ПРИЛОЖЕНИЕ 2. ДОГОВОР о конфиденциальности и неразглашении информации
ПРИЛОЖЕНИЕ 3. Обязательство
ПРИЛОЖЕНИЕ 4. КОНТРАКТ С СОТРУДНИКОМ СЛУЖБЫ БЕЗОПАСНОСТИ
ПРИЛОЖЕНИЕ 5. ИНСТРУКЦИЯ ПО ЗАЩИТЕ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ
КОММЕРЧЕСКУЮ ТАЙНУ КОМПАНИИ
ПРИЛОЖЕНИЕ 6. ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ ПО СОБЛЮДЕНИЮ РЕЖИМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИЛОЖЕНИЕ 7. Инструкция по действиям различных категорий сотрудников, включая сотрудников отдела информационной безопасности, в случае возникновения нештатной или аварийной ситуации
ПРИЛОЖЕНИЕ 8. Положение об инвентаризации ресурсов информационной системы Компании
ПРИЛОЖЕНИЕ 9. Правила защиты от вредоносного программного обеспечения
По всем вопросам обращайтесь на diplominform@yandex.ru