ВВЕДЕНИЕ 8

1 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. ОПРЕДЕЛЕНИЯ И ИХ ОТЛИЧИЯ 9

1.1 Стандартизированные определения 9

2 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПСНОСТИ – ЭФФЕКТИВНОСТЬ СИСТЕМЫ ЗАЩИТЫ 13

2.1 Политика информационной безопасности как руководящий документ 14

3 ЦЕЛИ И ЗАДАЧИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 18

4 УГРОЗЫ ОБЛАДАТЕЛЯМ ИНФОРМАЦИИ. ПРИМЕРЫ НЕУДАЧНЫХ ПОЛИТИК БЕЗОПАСНОСТИ 21

4.1 Кража оборудования 21

4.2 Утечка информации 22

4.2 Потеря данных и оборудования 24

4.3 Резюме неудачных политик 26

4.4 Надежная политика информационной безопасности. индикаторы качества 27

5 РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 31

5.1 Методы разработки политики безопасности 31

5.2 Актуальность цикла дёминга в политике информационной безопасности торгов-орентированного предприятия. 32

6 PLAN – ПЛАНИРОВАНИЕ И РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 34

6.1 Модель системы информационной безопасности 35

6.2 Определение объекта защиты 36

6.3 Выявление угроз и уязвимостей системы 37

6.3.1 Типы и виды уязвимостей 37

6.3.2 Источники угроз 40

6.3.3 Цели угроз 43

6.3.4 Возможный ущерб 45

6.3.5.Ранжирование источников угроз. Риски предприятия 45

6.4 Определение необходимых мер защиты и их документирование 46

6.5 Парадигмы в разработке политики безопасности 48

7 DO – ОПРОБАЦИЯ И ВНЕДРЕНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 50

8 CHECK – ПРОВЕРКА И АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПОСЛЕ ВНЕДРЕНИЯ ПОЛИТИКИ БЕЗОПАСНОСТИ 51

8.1 Инициирование процедуры аудита 52

8.2 Сбор информации аудита 53

9 ACT – КОРРЕКТИРОВА И ИСПРАВЛЕНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 56

9.1 Управление инцидентами информационной безопасности по циклу PDCA 56

9.1.1 Обнаружение и регистрация инцидента 58

9.1.2 Устранение причин, последствий инцидента и его расследование 59

9.1.3 Корректирующие и превентивные действия 60

10 ФАКТИЧЕСКОЕ ОПИСАНИЕ ОБЪЕКТА 62

10.1 Организационная структура ООО «Селлер.ру» 62

10.2 Бизнесс процессы и задачи каждого подразделения 65

10.3 Инфраструктура предприятия 69

10.3.1 Сетевая топология 70

10.3.2 Сервисы, обеспечивающие обмен информацией 71

10.3.3 Сервисы обеспечивающие защиту информации 71

10.3.4 Сервера 72

10.3.5 Коммутационное оборудование 72

10.3.6 Рабочие станции 73

10.4 Внешняя связь компании. Каналы связи. 73

10.5 Перечень ресурсов компании, подлежащих защите. Источники угроз (причины угроз). Цели угроз. 73

10.6 Определение ценности объекта защиты. 79

11 ЭКОНОМИЧЕСКАЯ ЧАСТЬ ДИПЛОМНОГО ПРОЕКТА 83

11.1 Трудоёмкость 83

11.2 Расчёт сметы затрат на разработку программных средств 84

11.2.1 Расходы на оплату труда 84

11.2.2 Материальные затраты 87

11.2.3 Амортизация оборудования 88

11.2.4 Прочие расходы 90

11.3 Выводы 93

12 БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ ПРОЕКТА 94

12.1 Безопасность политики информационной безопасности на торгово-ориентированном предприятии 94

12.1.1 Идентификация опасностей на рабочих местах 94

12.1.2 Техническая безопасность оборудования 95

12.2 Мероприятия по обеспечению безопасных условий труда 96

12.2.1 Безопасность исходных материалов 96

12.2.2 Обеспечение благоприятного светового климата 96

12.2.3 Обеспечение благоприятных микроклиматических условий 97

12.2.4 Защита от шума и вибрации 97

12.2.5 Электробезопасность 98

12.2.6 Техническая эстетика и эргономика 99

12.2.7 Режимы труда и отдыха 101

12.2.8 Требования безопасности к профессиональному отбору операторов 102

12.2.9 Санитарно-бытовое обеспечение 102

12.2.10 Пожарная безопасность 102

12.2.11 Безопасность в чрезвычайных ситуациях 104

12.3 Экологическая безопасность политики безопасности на торгово-ориентированном предприятии 105

12.3.1 Экологическая безопасность исходных материалов, входящих в конструкцию оборудования 105

12.3.2 Экологическая безопасность материалов и веществ, обращающихся в технологических процессах 105

12.3 Выводы 108

ПРИЛОЖЕНИЕ А ( ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ООО «Селлер.ру») 109

1 Общие положения 109

1.1 Цель и назначение настоящей Политики 110

1.2 Область применения настоящей Политики 111

2 Требования и рекомендации 111

2.1 Ответственность за информационные активы 111

2.2 Защита оборудования 112

2.2.1 Эксплуатация технических средств компании и объектов информатизации 112

2.2.2 Аппаратное обеспечение 118

2.2.3 Программное обеспечение 120

2.3 Контроль доступа к информационным системам 121

2.3.1 Общие положения 121

2.3.2 Доступ третьих лиц к системам Компании 122

2.3.3 Удаленный доступ 123

2.3.4 Доступ к сети Интернет 123

2.4 Управление сетью 125

2.5 Защита и сохранность данных 125

2.6 Рекомендуемые правила пользования электронной почтой 126

2.7 Сообщение об инцидентах информационной безопасности, реагирование и отчетность 129

2.8 Помещения с техническими средствами информационной безопасности 130

2.9 Правовое обеспечение системы информационной безопасности 130

2.10 Разработка систем и управление внесением изменений 132

СПИСОК ЛИТЕРАТУРЫ 133

В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.

Рассматривая информацию как товар, можно сказать, что информационная безопасность в целом может привести к значительной экономии средств, в то время как ущерб, нанесенный ей, приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.

Согласно ГОСТу 350922-96, защита информации (обеспечение информационной безопасности) - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, так и для госучреждений. С целью всесторонней защиты информационных ресурсов и создаются комплексные системы и политики по защите данных.

1. ГОСТ 12.3.002-91. ССБТ. Процессы производственные. Общие требования безопасности.

2. ГОСТ 12.0.003-90. ССБТ. Опасные и вредные факторы. Классификация.

3. ГОСТ 12.2.049-80. ССБТ. Оборудование производственное. Общие эргономические требования.

4. ГОСТ 12.2.061-81. ССБТ. Оборудование производственное. Общие безопасности к рабочим местам.

5. СНиП 23-05-03. Естественное и искусственное освещение.

6. ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.

7. СанПиН 2.2.4.548-96. Гигиенические требования к микроклимату производственных помещений.

8. ГОСТ 12.1.005-88. ССБТ. Санитарно-гигиенические требования к воздуху рабочей зоны.

9. СНиП 41-01-2003 Отопление, вентиляция и кондиционирование.

10. ГОСТ 12.4.021-75. ССБТ. Системы вентиляционные. Общие требования.

11. ГОСТ 12.1.003-89. ССБТ. Шум. Общие требования безопасности.

12. СанПиН 2.2.4./2.1.8.582-96 Гигиенические требования при работах с источниками воздушного и контактного ультразвука промышленного, медицинского и бытового назначения.

13. ПЭУ-01. Правила устройства электроустановок.

14. ГОСТ 12.1.019-79. ССБТ. Электробезопасность. Общие требования.

15. ГОСТ 12.1.030-81. ССБТ. Электробезопасность. Защитное заземление, зануление.

16. ГОСТ 12.4.155-85. ССБТ. Устройства защитные отключающие. Классификация. Общие технические средства.

17. ГОСТ Р 12.4.026-2001. ССБТ. Цвета сигнальные, знаки безопасности и разметка сигнальная. Назначение и правила применения. Общие технические требования и характеристики. Методы испытаний

18. ГОСТ 12.1.006-84 Электромагнитные поля радиочастот. Допустимые уровни на рабочих местах и требования к проведению контроля.

19. ГОСТ 12.2.032-78. ССБТ. Рабочее место при выполнении работ сидя. Общие эргономические комические требования.

20. СанПиН 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислительным машинам и организация работы.

21. СНиП 2.09.04-87. Административные и бытовые здания.

22. СНиП 21-01-02. Пожарная безопасность зданий и сооружений.

23. ГОСТ 12.1.033-91. ССБТ. Пожарная безопасность. Требования и определения.

24. ГОСТ 12.1.004-91. ССБТ. Пожарная безопасность. Общие требования.

25. ГОСТ 12.1.007-76. ССБТ. Вредные вещества. Классификация. Общие требования безопасности.

26. СНиП 2.09.04-87 (2000). Административные и бытовые здания.

27. ФЗ 123. Определение категорий помещений и зданий по категории взрывопожарной и пожарной опасности.

28. СНиП 21-01-97. Пожарная безопасность зданий и сооружений.

29. ГОСТ 12.1.004-98. ССБТ. Пожарная безопасность. Общие требования.

30. СНиПт 31-03-01. Производственные здания.

31. Проскуряков А.М. Интеллектуальная собственность. - Вологда: Ардвисура, 1998.

32. Ярочкин В.И. Безопасность информационных систем. - М.: изд. "Ось-89", 1996.

33. Ярочкин В.И. Система безопасности фирмы. - М.: изд. "Ось-89", 1998.

34. Теория автоматического управления. В 2-х частях/ Под ред. А.А.Воронова. - М.: Высшая школа, 1986.

Примечаний нет.