Система информационной безопасности
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
;
проектирование и разработка;
испытания, оценка и сертификация;
внедрение и эксплуатация.
Итак, остановимся подробнее на функиональных требованиях безопасности. Они включают в себя:
защита данных пользователя;
защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов);
управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности);
аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности);
приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных);
использование ресурсов (требования к доступности информации);
связь (аутентификация сторон, участвующих в обмене данными);
доверенный маршрут/канал (для связи с сервисами безопасности).
В соответствии с этими требованиями нужно форимировать систему информационной безопасности организации.
Система информационной безопасности организации включает направления:
нормативные;
организационные (административные);
технические;
программные;
Для полной оценки ситуации на предприятии по всем направлениям обеспечения безопасности необходима разработка концепции информационной безопасности, которая бы устанавливала системный подход к проблеме безопасности информационных ресурсов и представляла собой систематизированное изложение целей, задач, принципов проектирования и комплекса мер по обеспечению информационной безопасности на предприятии.
В основе системы управления корпоративной сети должны лежать следующие принципы (задачи):
обеспечение защиты существующей информационной инфраструктуры предприятия от вмешательства злоумышленников;
обеспечение условий для локализации и минимизации возможного ущерба;
исключения появления на начальной стадии причин возникновения источников угроз;
обеспечения защиты информации по трем основным видам возникающих угроз (доступность, целостность, конфиденциальность);
Решение вышеназванных задач достигается путем;
регламентация действий пользователей работы с информационной системой;
регламентация действий пользователей работы с базой данных;
единые требования к надежности технических средств и программного обеспечения;
процедуры контроля работы информационной системы (протоколирование событий, анализ протоколов, анализ сетевого трафика, анализ работы технических средств);
Политика информационной безопасноти включает в себя:
основной документ - Политика безопасности. В нем вцелом описана политика безопасности организации, общие положения, а так же по всем аспектам политики указаны соответствующие документы;
инструкция по регламентации работы пользователей;
должостная инструкция администратора локальной сети;
должостная инструкция администратора базы данных;
инструкция по работе с ресурсами Интернет;
инструкция по организации парольной защиты;
инструкция по организации антивирусной защиты.
Документ Политика безопасности содержит основные положения. На основе него строится программа обеспечения информационной безопасности, строятся должностные инструкции и рекомендации.
Инструкция по регламентации работы пользователей локальной сети организации регулирует порядок допуска пользователей к работе в локальной вычислительной сети организации, а также правила обращения с защищаемой информацией, обрабатываемой, хранимой и передаваемой в организации.
Должностная инструкция администратора локальной сети описывает обязанности администратора локальной сети касаемые обеспечения информационной безопасности.
Должностная инструкция администратора базы данных определяет основные обязанности, функции и права администратора базы данных. В ней очень подробно описаны все должностные обязанности и функции администратора базы данных, а так же права и ответственность.
Инструкция по работе с ресурсами интернет отражает основные правила безопасной работы с сетью интернет, так же содержит перечень допустимых и недопустимых действий при работе с ресурсами интернет.
Инструкция по организации антивирусной защиты определяет основные положения, требования к организации антивирусной защиты информационной системы организации, все аспекты связанные с работой антивирусного программного обеспечения, а так же ответственность в случае нарушения антивирусной защиты.
Инструкция по организации парольной защиты регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей). А так же регламентированы действия пользователей и обслуживающего персонала при работе с системой.
Таким образом, основой для организации процесса защиты информации является политика безопасности, формулируемая для того, чтобы определить, от каких угроз и каким образом защищается информация в информационной системе.
Под политикой безопасности понимается набор правовых, организационных и технических мер по защите информации, принятый в конкретной организации. То есть, политика безопасности заключает в себе множество условий, при которых пользователи получают доступ к ресурсам системы без потери свойств