Комплексная система защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?оуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом. К таким документам должна относятся:
концепция информационной безопасности;
политика информационной безопасности;
границы действия системы обеспечения информационной безопасности (включая перечень сведений конфиденциального характера);
модель нарушителя и угроз информационной безопасности.
2.Документы, содержащие положения частных политик (документы второго уровня), детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации. К таким документам относятся:
положение о коммерческой тайне;
политика управления рисками;
политика корпоративной сети;
политика системы контроля и управления доступом и тд..
.Документы, содержащие положения ИБ, применяемые к процедурам, а именно, к порядку выполнения действий или операций обеспечения ИБ (документы третьего уровня). Таки документы содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции);
4.Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ (документы четвертого уровня), отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации.
В данном курсовом проекте множество часть документов будет агрегировано, а часть не будет рассмотрена подробно. В качестве объекта для разработки будут использоваться документы первого, второго и третьего уровня, а именно:
Перечень сведений конфиденциального характера (1 уровень);
Политика информационной безопасности (1 уровень);
Частная модель угроз информационной безопасности (1 уровень);
Положение о коммерческой тайне (2 уровень);
Инструкция по организации охраны и пропускного режима (3 уровень).
2.1Разработка перечня сведений конфиденциального характера
В соответствии с ГОСТ Р ИСО 27001-2006 для обеспечения уверенности в том, что информация защищена на надлежащем уровне её необходимо классифицировать исходя из правовых требований, её конфиденциальности, а также ценности и критичности для организации. В соответствии с принятой в организации системой классификации должна быть разработана и реализована совокупность процедур маркировки и обработки информации.
В организации ООО Кредит Коллектор информация классифицируется по требованиям СТР-К ФСТЭК, имеющим для данной организации рекомендательный характер. Основными классификационными признаками служат:
1.Принадлежность информации к подразделению организации;
2.Содержание информации в определённых базах данных или на определённых бумажных носителях;
.По степени и природе конфиденциальности;
.По сотрудникам, имеющим доступ к информации;
.По организациям или физическим лицам, имеющим доступ к конфиденциальной информации, но не работающих в ООО Кредит Коллектор.
Таким образом, для каждого отдела организации можно выделить информацию с которой он работает:
бухгалтерия - отдел, выполняющий функции финансового учёта и аудита, ведения бухгалтерской и налоговой отчётности, а также все функции по финансированию и управлению финансами организации. В бухгалтерии содержатся сведения о бухгалтерском балансе, налоговые и бухгалтерские отчётности, сведения о финансовом состоянии организации, её счёта (см. приложение 1 п. 3,4,5);
отдел по работе с клиентами - содержит все сведения, полученные от клиентов организации, сведения о проводимых переговорах и совещаниях, а также, тактические планы и модели развития организации (см. приложение 1 п 6,8,9,10,14);
юридический отдел - ядро бизнес-процессов организации, так как организация занимается коллекторской деятельностью, юридический отдел выполняет большую часть функций по обеспечению основных процессов деятельности организации, занимается стратегическим и тактическим планированием, принимает участие во всех важных для предприятия событиях. Для данного отдела доступна вся информация за исключением бухгалтерской отчётности и информации о реализации СОИБ;
отдел кадров - содержит только сведения о сотрудниках организации, основная функция отдела - управление человеческими ресурсами в организации;
служба безопасности - ввиду своей деятельности допущена практически ко всем сведениям в организации, за некоторым незначительным исключением. Служба безопасности в ООО Кредит Коллектор, помимо своей основной деятельности, включает в себя службу охраны и системного администратора организации, выполняющего по совместительству функции администратора информационной безопасности. Начальник охраны допускается к сведениям об организации охраны на предприятии и к персональным данным позволяющим идентифицировать сотрудников и клиентов организации. Системный администратор допущен ко всем сведениям электронных баз данных ввиду своей деятельности по их настройке и защите;
генеральный директор и его заместители имеют допуск ко всей конфиденциальной информации, так как они являются учред