Система информационной безопасности
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
лассификация информационных активов по степени важности;
роли и обязанности по информационной безопасности не включены в должностные инструкции;
в заключаемом с сотрудником трудовом договоре отсутствует пункт об обязанностях по информационной безопасности как трудоустраивающихся, так и самой организации;
обучение персонала в области защиты информации не проводится;
с точки зрения защиты от внешних угроз: не разработано типичных процедур поведения для восстановления данных после несчастных случаев, произошедших в результате внешних и экологических угроз;
серверная не является отдельным помещением, за помещением закреплен статус двух отделов (в серверную, кроме системного администратора, имеет доступ еще один человек);
не проводится техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям;
несмотря на то, что вход осуществляется по электронным пропускам и вся информация поступает в специальную базу данных, ее анализ не проводится;
не ведутся записи о предполагаемых и фактических сбоях оборудования;
с точки зрения защиты от вредоносных программ: отсутствует формальная политика по защите от рисков, связанных с получением файлов как из внешних сетей или посредством них, так и содержащихся на сменных носителях;
с точки зрения защиты от вредоносных программ: отсутствуют руководящие процедуры по защите локальной сети от вредоносного кода;
отсутствует контроль трафика, имеется доступ к почтовым серверам внешних сетей;
все резервные копии хранятся в серверной;
используются небезопасные, легко запоминающиеся пароли;
получение паролей пользователями никак не подтверждается;
пароли в открытом виде хранятся у администратора;
пароли не меняются;
не существует порядка сообщения о событиях информационной безопасности.
Таким образом, на основании этих недостатков, был разработан набор регламентов в отношении политики информационной безопасности, включающий:
политику в отношении приема на работу (увольнению) и наделению (лишению) сотрудников необходимыми полномочиями по доступу к ресурсам системы;
политику в отношении работы пользователей сети в процессе её эксплуатации;
политику по организации парольной защиты;
политику по организации физической защиты;
политику по работе с сетью Интернет;
а также административные меры по обеспечению безопасности.
Документы, содержащие указанные регламенты, находятся на стадии рассмотрения руководством организации.
.3 Разработка комплекса мероприятий по модернизации существующей системы информационной безопасности
В результате анализа системы информационной безопасности ОАО Газпром были выявлены существенные уязвимости системы. Для разработки мероприятий iелью устранения выявленных недочетов системы безопасности выделим следующие группы сведений, которые подлежат защите:
сведения о частной жизни сотрудников, позволяющие идентифицировать их личность (персональные данные);
сведения, связанные с профессиональной деятельностью и составляющие банковскую, аудиторскую и тайну связи;
сведения, связанные с профессиональной деятельностью и отмеченные как сведения для служебного пользования;
информация, уничтожение или изменение которой отрицательно скажутся на эффективности работы, а восстановление потребует дополнительных затрат.
С точки зрения административных мер были разработы следующие рекомендации:
система защиты информации должна соответствовать законодательству Российской Федерации и государственным стандартам;
классификация и категорирование защищаемых информационных ресурсов и установление порядка доступа к ним должны быть закреплены в документах предприятия;
здания и помещения, где установлены или хранятся средства обработки информации, производятся работы с защищаемой информацией, должны охраняться и быть защищены средствами сигнализации и пропускного контроля;
проведение обучения персонала по вопросам информационной безопасности (объяснять важность парольной защиты и предъявляемых к паролю требований, проводить инструктаж по антивирусному ПО и т.п.) следует организовывать при приеме сотрудника на работу;
каждые 6-12 месяцев проводить тренинги, направленные на повышение грамотности сотрудников в сфере информационной безопасности;
аудит системы и корректировка разработанных регламентов должна проводиться ежегодно, 1 октября, или незамедлительно после внедрения серьезных изменений в структуру предприятия;
права доступа каждого пользователя к информационным ресурсам должны оформляться документально (при необходимости доступ запрашивается у руководителя письменным заявлением);
обеспечение политики информационной безопасности должны обеспечивать администратор по программному обеспечению и администратор по аппаратному обеспечению, их действия координируются начальником группы.
Сформулируем политику в отношении паролей:
не хранить их в незашифрованном виде (не записывать их на бумагу, в обычный текстовый файл и т.п.);
менять пароль в случае его разглашения или подозрения на разглашение;
длина должна быть не менее 8 символов;
в числе символов пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы, пароль не должен включать в себя легко вычисляемые последо