Комплексная система защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
ителями ООО Кредит Коллектор.
Для определения связи классов информационных активов, допущенных лиц, внутреннего грифа конфиденциальности и баз данных в которых содержаться активы, в перечень сведений конфиденциального характера включено приложение А (см. приложение 1). Таким образом с помощью перечня сведений конфиденциального характера можно определить какой сотрудник допущен к определённому типу информации, каким грифом обладает эта информация и в какой базе данных она находится. В соответствии с ГОСТ Р ИСО 27001-2006, перечень информационных активов, подлежащих защите, является частью корпоративной политики информационной безопасности, т.е. стратегическим документом первого уровня (см. рисунок 3).
В организации ООО Кредит Коллектор обрабатывается огромное количество персональных данных, как клиентов, так и сотрудников организации, всего 50 000 субъектов ПД. Для выполнения требований ФСТЭК, и упрощения построения системы защиты ИСПДн, доступ к ПД в перечне сведений конфиденциального характера разбит на 3 группы:
1.Доступ к персональным данным 3 и 4 категории сотрудников организации;
2.Доступ к персональным данным 3 и 4 категории клиентов организации;
.Доступ к персональным данным всех категорий, любых субъектов.
Такое разделение позволяет ограничить доступ к персональным данным 2 категории сотрудников служб вспомогательных процессов, таких как служба охраны, служба отдела кадров и тд.
Маркировка информации по типам необходима для соблюдения требований стандарта ГОСТ Р ИСО 27001.
В организации ООО Кредит Коллектор вся защищаемая информация разделяется на два уровня конфиденциальности:
1.Конфиденциально - к такой информации относится вся защищаемая информация, которая не имеет гриф строго конфиденциально;
2.Строго конфиденциально - такая информация включает:
персональные данные клиентов и сотрудников организации 2 категории;
сведения о концепции развития предприятия, стратегические планы развития, функциональные, маркетинговые, финансовые и логистические модели ведения бизнеса;
тактические планы развития, информация о текущих и плановых контрактах;
сведения, раскрывающие систему, средства защиты информации, порядок обработки и передачи информационных активов.
2.2Разработка политики информационной безопасности
В соответствии со стандартом ГОСТ Р ИСО 27001-2006 организация должна определить политику информационной безопасности на основе характеристик бизнеса, организации, её размещения, активов и технологий.В общем, политика - это общие намерения и указания, официально выраженные руководством. Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности, политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики "чистого стола" и "чистого экрана", использования сетевых служб и криптографического контроля. В некоторых случаях возможно добавление дополнительных уровней политики.
Рисунок 4. Иерархия политик в организации
Таким образом, комплекс верхних политик представляет собой стратегическую документацию организации (см. рисунок 4). В ООО Кредит Коллектор из-за небольшого размера организации и относительно небольшой величины защищаемых информационных активов, политика информационной безопасности включает в себя также требования, цели и другие положения политики безопасности и политики системы менеджмента информационной безопасности. Агрегации политик также способствует и то, что в ООО Кредит Коллектор служба охраны является подразделением отдела по информационной безопасности, а СМИБ объединяет несколько структурных подразделений организации.
В общем случае Содержание политики основано на контексте, в котором работает организация. В частности, при разработке любой политики в рамках основ нужно принять во внимание следующее (см. рисунок 5):
цели и задачи организации - представляет собой цели и задачи изложенные в корпоративной политике организации, т.е. цели и задачи политики стоящей на более высоком уровне иерархии (см. рисунок 4). Политика информационной безопасности не должна противоречить основным целям бизнеса организации, и должна играть не ключевую роль, а обеспечивающую в развитии бизнеса;
стратегии, адаптированные для достижения этих целей - стратегия изложенная в корпоративной политике организации как комплекс стратегических планов, средств и методов для обеспечения выполнения целей организации в долгосрочном периоде;;
структура и процессы, адаптированные организацией - политика ИБ должна строитс?/p>