Разработка системы технической защиты средств обработки, хранения и передачи информации в ООО "Технология защиты"
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
са производства для достижения общих целей организации. Такова сущность процесса управления [12, с. 246].
Таким образом, при построении системы защиты информации, большое значение имеет разработка концепции управления информационной безопасности. Т.к. от контроля и хорошего управления зависит эффективное функционирование созданной системы защиты информации.
В данном дипломном проекте проводится проектирование системы технической защиты сведений циркулирующих в средствах обработки, хранения и передачи информации в ООО Технология защиты. Путем анализа рынка средств защиты информации были выбраны наиболее подходящие и приемлемые для защиты от выявленных технических каналов утечки в ООО Технология защиты. Были выбраны места размещения данных средств защиты информации и применены различные методы.
Как показывает практика, создание системы защиты информации это часть работы, еще и необходимо качественное управление для эффективной работы.
Ответственным за разработку и реализацию политики управления информационной безопасностью является директор ООО Технология защиты, который отвечает за ее реализацию и пересмотр в соответствии с установленной процедурой. Указанная процедура обеспечивает осуществление пересмотра политики управления информационной безопасностью в соответствии с изменениями, влияющими на основу первоначальной оценки риска, появление новых уязвимостей или изменения организационной или технологической инфраструктуры. Периодические пересмотры должны осуществляться ежегодно и включать:
проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;
определение стоимости мероприятий по управлению информационной безопасностью;
оценку влияния изменений в технологиях.
Для координации внедрения мероприятий по управлению информационной безопасностью в организации создается совет, включающий руководителей подразделений Общества:
начальник отдела технической защиты;
начальник отдела криптографической защиты;
начальник первого отдела;
начальник коммерческого отдела.
Задачи совета:
согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;
согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;
согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности;
обеспечивает учет включения требований безопасности во все проекты, связанные с обработкой и использованием информации;
проводит анализ инцидентов нарушения информационной безопасности;
способствует демонстрации поддержки информационной безопасности со стороны руководства организации [22, с. 54].
На директора ООО Технология защиты возлагается ответственность за разработку и внедрение системы управления информационной безопасностью, а также за оказание содействия в определении мероприятий.
Руководители структурных подразделений Общества несут ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в подразделениях организации. В каждом подразделении назначается ответственное лицо (администратора) для каждого информационного актива, в чьи поиказом директора ООО Технология защиты определяются:
информационные активы и процессы (процедуры) безопасности, связанные с каждой отдельной автоматизированной системой,
ответственные за эксплуатацию и обеспечение безопасности каждой автоматизированной системы;
уровни полномочий (авторизации) пользователей автоматизированных систем.
Все основные информационные активы должны быть учтены и закреплены за ответственными лицами приказом директора Общества. Приказ должен идентифицировать владельцев всех основных активов и определить их ответственность за поддержание соответствующих мероприятий по управлению информационной безопасностью. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива.
Информационными активами, связанными с информационными системами, являются:
информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;
активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;
услуги: вычислительные услуги и услуги связи, основные коммунальные услуги (отопление, освещение, электроэнергия, кондиционирование) [44, с. 68].
iелью обеспечения защиты на надлежащем уровне информационных активов информацию следует классифицировать, чтобы определить ее приорите