ВВЕДЕНИЕ 8
1 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. ОПРЕДЕЛЕНИЯ И ИХ ОТЛИЧИЯ 9
1.1 Стандартизированные определения 9
2 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПСНОСТИ – ЭФФЕКТИВНОСТЬ СИСТЕМЫ ЗАЩИТЫ 13
2.1 Политика информационной безопасности как руководящий документ 14
3 ЦЕЛИ И ЗАДАЧИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 18
4 УГРОЗЫ ОБЛАДАТЕЛЯМ ИНФОРМАЦИИ. ПРИМЕРЫ НЕУДАЧНЫХ ПОЛИТИК БЕЗОПАСНОСТИ 21
4.1 Кража оборудования 21
4.2 Утечка информации 22
4.2 Потеря данных и оборудования 24
4.3 Резюме неудачных политик 26
4.4 Надежная политика информационной безопасности. индикаторы качества 27
5 РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 31
5.1 Методы разработки политики безопасности 31
5.2 Актуальность цикла дёминга в политике информационной безопасности торгов-орентированного предприятия. 32
6 PLAN – ПЛАНИРОВАНИЕ И РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 34
6.1 Модель системы информационной безопасности 35
6.2 Определение объекта защиты 36
6.3 Выявление угроз и уязвимостей системы 37
6.3.1 Типы и виды уязвимостей 37
6.3.2 Источники угроз 40
6.3.3 Цели угроз 43
6.3.4 Возможный ущерб 45
6.3.5.Ранжирование источников угроз. Риски предприятия 45
6.4 Определение необходимых мер защиты и их документирование 46
6.5 Парадигмы в разработке политики безопасности 48
7 DO – ОПРОБАЦИЯ И ВНЕДРЕНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 50
8 CHECK – ПРОВЕРКА И АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПОСЛЕ ВНЕДРЕНИЯ ПОЛИТИКИ БЕЗОПАСНОСТИ 51
8.1 Инициирование процедуры аудита 52
8.2 Сбор информации аудита 53
9 ACT – КОРРЕКТИРОВА И ИСПРАВЛЕНИЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 56
9.1 Управление инцидентами информационной безопасности по циклу PDCA 56
9.1.1 Обнаружение и регистрация инцидента 58
9.1.2 Устранение причин, последствий инцидента и его расследование 59
9.1.3 Корректирующие и превентивные действия 60
10 ФАКТИЧЕСКОЕ ОПИСАНИЕ ОБЪЕКТА 62
10.1 Организационная структура ООО «Селлер.ру» 62
10.2 Бизнесс процессы и задачи каждого подразделения 65
10.3 Инфраструктура предприятия 69
10.3.1 Сетевая топология 70
10.3.2 Сервисы, обеспечивающие обмен информацией 71
10.3.3 Сервисы обеспечивающие защиту информации 71
10.3.4 Сервера 72
10.3.5 Коммутационное оборудование 72
10.3.6 Рабочие станции 73
10.4 Внешняя связь компании. Каналы связи. 73
10.5 Перечень ресурсов компании, подлежащих защите. Источники угроз (причины угроз). Цели угроз. 73
10.6 Определение ценности объекта защиты. 79
11 ЭКОНОМИЧЕСКАЯ ЧАСТЬ ДИПЛОМНОГО ПРОЕКТА 83
11.1 Трудоёмкость 83
11.2 Расчёт сметы затрат на разработку программных средств 84
11.2.1 Расходы на оплату труда 84
11.2.2 Материальные затраты 87
11.2.3 Амортизация оборудования 88
11.2.4 Прочие расходы 90
11.3 Выводы 93
12 БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ ПРОЕКТА 94
12.1 Безопасность политики информационной безопасности на торгово-ориентированном предприятии 94
12.1.1 Идентификация опасностей на рабочих местах 94
12.1.2 Техническая безопасность оборудования 95
12.2 Мероприятия по обеспечению безопасных условий труда 96
12.2.1 Безопасность исходных материалов 96
12.2.2 Обеспечение благоприятного светового климата 96
12.2.3 Обеспечение благоприятных микроклиматических условий 97
12.2.4 Защита от шума и вибрации 97
12.2.5 Электробезопасность 98
12.2.6 Техническая эстетика и эргономика 99
12.2.7 Режимы труда и отдыха 101
12.2.8 Требования безопасности к профессиональному отбору операторов 102
12.2.9 Санитарно-бытовое обеспечение 102
12.2.10 Пожарная безопасность 102
12.2.11 Безопасность в чрезвычайных ситуациях 104
12.3 Экологическая безопасность политики безопасности на торгово-ориентированном предприятии 105
12.3.1 Экологическая безопасность исходных материалов, входящих в конструкцию оборудования 105
12.3.2 Экологическая безопасность материалов и веществ, обращающихся в технологических процессах 105
12.3 Выводы 108
ПРИЛОЖЕНИЕ А ( ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ООО «Селлер.ру») 109
1 Общие положения 109
1.1 Цель и назначение настоящей Политики 110
1.2 Область применения настоящей Политики 111
2 Требования и рекомендации 111
2.1 Ответственность за информационные активы 111
2.2 Защита оборудования 112
2.2.1 Эксплуатация технических средств компании и объектов информатизации 112
2.2.2 Аппаратное обеспечение 118
2.2.3 Программное обеспечение 120
2.3 Контроль доступа к информационным системам 121
2.3.1 Общие положения 121
2.3.2 Доступ третьих лиц к системам Компании 122
2.3.3 Удаленный доступ 123
2.3.4 Доступ к сети Интернет 123
2.4 Управление сетью 125
2.5 Защита и сохранность данных 125
2.6 Рекомендуемые правила пользования электронной почтой 126
2.7 Сообщение об инцидентах информационной безопасности, реагирование и отчетность 129
2.8 Помещения с техническими средствами информационной безопасности 130
2.9 Правовое обеспечение системы информационной безопасности 130
2.10 Разработка систем и управление внесением изменений 132
СПИСОК ЛИТЕРАТУРЫ 133
|