Управления информационной безопасностью предприятия

ЗАКЛЮЧЕНИЕ
На сегодняшний день известно много различных систем безопасности, которые служат цели обеспечения должной степени защищенности информации, но нет никакой возможности с уверенностью утверждать, что какая-либо одна из них лучше, чем другие.
Как нет и примеров разработки универсальной системы, которая обладала совершенной структурой, которую можно было бы взять за основу политики безопасности собственной организации. В каждой частной ситуации следует применять индивидуальный подход к построению системы, осуществляющей управление информационной безопасностью, основываясь на реальных данных, имеющихся в наличии, с привлечением сторонних специалистов в сфере информационной безопасности.
В первую очередь следует четко определить, в чем заключается информационная безопасность для этой к ...

Содержание
Введение 5
1 Понятие стратегии информационной безопасности и ее целей 7
2 Политика по обеспечению информационной безопасности. Процесс внедрения и эффективность 9
2.1 Понятие политики информационной безопасности 9
2.2 Политика безопасности и факторы, оказывающие влияние на ее эффективность 11
2.2.1 Влияние безопасности на рабочий процесс 11
2.2.2 Приобретение навыков безопасного поведения в процессе обучения 13
2.2.3 Появление нарушений политики безопасности неизбежно 14
2.2.4 Непрерывное совершенствование как условие эффективности политики безопасности 15
2.3 Порядок оценки риска 15
2.4 Разработка и внедрение высокоэффективных политик 18
2.4.1 Снижение влияния, оказываемого политикой безопасности на процесс производства 18
2.4.2 Обеспечение непрерывности обучения 19
2.4.3 Обеспечение непрерывности контроля и оперативного реагирования на инциденты нарушения информационной безопасности 20
2.4.4 Обеспечение непрерывного совершенствования политики безопасности 20
2.4.5 Поддержка со стороны руководителя организации 21
2.5 Формирование благоприятной среды 21
2.5.1 Поддержка со стороны руководства 21
2.5.2 Структура организации 22
2.6 Понятие жизненного цикла политики безопасности 23
2.6.1 Жизненный цикл и его этапы 23
2.6.2 Осуществление первоначального аудита безопасности 23
2.6.3 Процесс разработки политики безопасности 23
2.6.4 Процесс внедрения 23
2.6.5 Процедура аудита и контроля 24
2.6.6 Процедура пересмотра и корректировки 24
Заключение 25
Список литературы 27
 

ВВЕДЕНИЕ
В деятельности любого предприятия на сегодняшний день есть место получению и передаче информации [1]. Информация сегодня представляет собой стратегически важный товар. Утрата информационных ресурсов или, к примеру,приобретение доступа к засекреченной информации конкурентов большинстве случаев причиняет предприятию солидный ущерб и даже способна повлечь за собой банкротство[1].
На протяжении последних двадцати лет информационные технологии распространились на все сферы в том, что имеет отношение к управлению и ведению бизнеса [3]. В то же время бизнесу давно свойственно из мира реального мира переходить в виртуальный мир, вот почему бизнес оказался очень уязвим для ряда цифровых угроз, в числе которых вирусные, хакерские и прочие атаки.
Согласно данным исследований, проведенных Инс титутом Компьютерной Безопасности совокупный ущерб, который был нанесен предпринимателям компьютерными вирусами на протяжении последних 5 лет, оценивается,по меньшей мере, в 74 млрд. долларов.
В 1999 году появилась ещё одна проблема, связанная с информационной безопасностью,и эта проблема –спам. Спам представляет собой анонимную,массовую,нежелательную рассылку.На сегодняшний день более 35% общего объема электронной почты представляет собой не что иное, как спам.
Распространение спама влечет за собой ежегодные убытки, по оценкам специалистов составляющие порядка 30 миллиардов долларов.Если говорить о воздействии спама в масштабах одной компании, он влечет за собой убытки от 600 до 1000 долларов каждый год в расчете на одного пользователя.[2]
Широкое распространение получил промышленный шпионаж – размещение устройства стоимостью порядка 10$, в случае удачи, способно привести фирму к разорению. Все чаще случаются взломы компьютерных сетей (к примеру, получение несанкционированного доступа к информации, которая обрабатывается на ПЭВМ) [1].
Из всего, что было сказано выше, можно сделать однозначный вывод, о том, что в условиях нашего времени предприятиям необходимо обладать стратегии информационной безопасности, которых предписано, основываясь на комплексном подходе, заниматься контролем всех без исключения параметров информационной безопасности и работать с прицелом на будущее. Ведущая роль отводится управлению информационной безопасностью предприятия, что объясняет высокую актуальность выбранной для написания курсовой работы темы.
В качестве цели представленной работы выступает рассмотрение управления стратегии информационной безопасности на условном предприятии в виде совокупности эффективных политик, которымиопределялся бы в достаточной степени эффективный набор мероприятий, отвечающих требованиям безопасности.
В рамках намеченной цели можно выделить следующие задачи:
1) определение факторов эффективности политики безопасности;
2) описание схемы, по которой осуществляется разработка и внедрение политики безопасности;
3) описание жизненного циклаполитики безопасности;
4) раскрытие вопросао формировании благоприятной среды, в которой внедрение политики безопасности будет наиболее успешным.
 

Мероприятиями по обеспечению безопасности накладываются ограничения на действия, совершаемые пользователями и администраторами информационной системы в процессе трудовой деятельности, и в большинстве случаев это влечет за собой снижение производительности труда. Безопасность оказывается высокозатратной статьей для каждой организации, как, впрочем, это свойственно любой другой форме страхования рисков.Человеческой природе всегда присуще желание получить большое количество информации – вне зависимости от реальной потребности в ней, упрощенный доступ к ней и уменьшение времени отклика системы. Любым мероприятиям по обеспечению безопасности в некоторой степени свойственно препятствовать осуществлению этих, вполне, в общем-то, естественных желаний.Можно проиллюстрировать это на примере. Рассмотрим ситуацию, когда человек ожидает, пока переключится сигнал светофора. Не вызывает сомнений, что назначением светофора является обеспечение требуемого уровня безопасности движения на дороге, тем не менее, в случае, когда движения на пересекаемой дороге нет, то получается, что ожидание оказывается тратой времени – по крайней мере, таким выглядит.Человеческому терпению присущ предел, и когда светофор в течение долгого времени не переключается, то многие испытывают желание проехать на красный сигнал. В самом деле, светофор ведь может оказаться неисправным, либо может сложиться ситуация, когда дальнейшее ожидание окажется неприемлемо по объективным причинам.По аналогии с рассмотренным примером, каждому пользователю информационной системы присущ ограниченный запасом терпения, по отношению к соблюдению правил политики безопасности, по достижении которого он начнет их игнорировать, решив, что эти правила идут вразрез с его интересами (интересами дела).Политики, которыми не учитывается влияние, оказываемое на производительность труда сотрудников предприятия и на бизнес-процессы, существующие в этой организации, даже при благоприятном раскладе могут повлечь за собой ложное чувство защищенности. В худшем раскладе политики такого рода порождают только дополнительные уязвимости в системе защиты, в ситуации, когда «кому-то приходит в голову идея начать движение на запрещающий сигнал светофора».Следует принимать в расчет и сводить к минимуму влияние, оказываемое политикой безопасности на процесс производства, при условии соблюдения принципа разумной достаточности.2.2.2 Приобретение навыков безопасного поведения в процессе обученияСущественным отличием, к примеру, от инстинкта самосохранения, обеспечения информационной безопасности является то, что это действие не инстинктивно. Это действие является функцией более высшего уровня, и требует определенного обучения и мероприятий, направленных на периодическое поддержание.Процедуры по обеспечению безопасности, как правило, нельзя назвать интуитивными. В отсутствие должного обучения пользователи информационной безопасности могут даже не отдавать себе отчета в том, какой ценностью обладают информационные ресурсы, риски и какие масштабы может принимать возможный ущерб.Пользователь, лишенный представления о критической значимости, которую информационные ресурсы имеют для организации (или о том, почему им следует обеспечить должную защиту), вероятнее всего, будет полагать, что соответствующая политика неразумна. Даже некоторым навыкам самосохранения для должного уровня эффективности необходимо обучение. Например, детям вначале неведомо, что, прежде, чем перейти через дорогу, следует бросить взгляд налево, затем – направо, и переходить, только убедившись, что путь свободен. Это является существенным отличием от инстинктивного поведения и служит примером поведения сознательного.Руководство организации не менее, и даже более, чем рядовых сотрудников, следует просвещать в том, что касается ценности, которой обладают информационные ресурсы предприятия, ассоциированных с ними рисков и соответствующих политик безопасности. Если руководство не было ознакомлено с политикой безопасности или с ее обоснованием, нет оснований рассчитывать, что оно окажет поддержку.Несомненно, руководитель не обязан обладать знанием технических подробностей обеспечения информационной безопасности и конкретных правил, которые предписываются политиками. Вполне достаточно акцентировать его внимание на том, какие возможные последствия могут иметь нарушения безопасности и на том, какие потери для организации с этим связаны.Обязательна к выполнению непрерывная работа, направленная на обучение сотрудников и повышение осведомленности руководства организации в вопросах, связанных с обеспечением информационной безопасности.2.2.3 Появление нарушений политики безопасности неизбежноКрупные организации характерны вовлеченностью в ИТ-процессы большого количества людей; для большинства из них требования политики безопасности отнюдь не очевидны. Чем больше трудностей вызывает у пользователей информационной системы приспособление к установленной политике, тем меньше вероятность ее эффективной работы. На первоначальном этапе требования политики безопасности наверняка будут нарушаться, да и в дальнейшем избежать этого в полной мере не удастся. Следует выполнять непрерывный контроль за выполнением правил политики безопасности как на том этапе, когда она внедряется, так и в последующем, фиксировать нарушения и разбираться в их причинах.Одна из основополагающих форм этого контроля заключается в регулярном проведении как внутреннего, так и внешнего аудита безопасности.2.2.4 Непрерывное совершенствование как условие эффективности политики безопасностиДаже в том случае, если вам удастся осуществить разработку и внедрение эффективной политики безопасности, это вовсе не означает, что работа выполнена. Процесс обеспечения информационной безопасности – непрерывный процесс. Технология стремительно изменяется, существующие системы утрачивают свою эффективность, в то время как многие процедуры с течением времени становятся не актуальны. Политику безопасности следует непрерывно совершенствовать с тем, чтобы сохранять ее эффективность на неизменно высоком уровне.Как степень работоспособности, так и уровень эффективности существующих политик необходимо регулярно проверять. Если политика устарела, ее следует пересмотреть[6].2.3 Порядок оценки рискаПрежде, чем принимать какое-либо решение в том, что касается стратегии информационной безопасности предприятия (как в долговременной, так и в кратковременной перспективе), в обязательно порядке следует оценить уровень уникальных рисков.До тех пор, пока организация располагает информацией, могущей представлять ценность не только для вас, но и (очевидно!) ваших конкурентов (возможно, даже просто «случайных» хакеров), сохраняется риск утраты этой информации.Функцией любой информационной схемы по контролю безопасности (технического порядка или же процедурного) как раз и заключается в том, чтобы ограничивать этот риск, исходя из заранее выбранного приемлемого уровня.Несомненно, это положение сохраняет свою истинность и для защитной политики. Политика является механизмом, осуществляющим контроль за рисками, существующими на данный момент, или могущими возникнуть в будущем, и ей должно быть предназначенной и развитой в ответ на существующие и потенциальные риски. Резюмируя сказанное, можно с уверенностью утверждать, что своевременно проведенная всесторонняя оценка риска должна составлять первую стадию процесса по созданию политики. Оценке риска полагается осуществлять идентификацию самых слабых областей вашей системы, и ее следует использовать для того, чтобы определить дальнейшие цели и средства.Оценку риска можно представить в виде комбинации величин, которые зависят от количества информационных ресурсов, которые обладают определенной ценностью для организации, и уязвимостей, которые пригодны для того, чтобы использовать их в целях получения доступа к этим ресурсам.По большому счету, уровень риска, имеющего уникальную природу, для конкретной информации является отношением ценности этой информации к числу способов, которыми данную информацию может «добыть» в рамках структуры вашей корпоративной сети. Несомненно, что чем большим значением обладает полученная расчетом величина, тем больший объем средств имеет смысл вашей организации адресовать на то, чтобы «заткнуть» эту дыру. Конечно, это может показаться излишне упрощенным и утрированным. К примеру, в процессе разработки политики неизбежно возникнут вопросы такого плана, что некоторым ресурсам, пусть и имеющим для вас ценность, просто необходимо быть свободно доступными в сети Интернете, либо доступом к ним следует обладать вашим коммерческим партнерам. Тем не менее, в целом, пусть и с некоторыми оговорками, в подавляющем большинстве случаев нашел применение именно описанный подход.Политика, которой учитывается слишком большое число факторов, многие из которых порой асболютно лишены актуальности, ничем не превосходит политику, которая по причине ошибки исключает из рассмотрения какое-либо важное условие.Процесс разработки политики безопасности представляет собой совместное дело руководства компании, которому полагается в точности определить, какую ценность имеет каждый информационный ресурс, и какой объем денежных средств выделяется на обеспечение информационной безопасности, и системных администраторов, которым полагается выполнить истинную оценку существующей уязвимости данной информации. После чего, в соответствии с основными рисками политики, распределяются средства, выделяемые на безопасность. В дальнейшем системным администраторам следует определить способы, направленные на снижение уязвимости информационного ресурса и, опираясь на ценность, которую имеет данный ресурс, осуществить согласование с руководством применяемых методов.Под методами в данном случае следует понимать не только написание или покупку и установку требуемых программ и оборудования, но также осуществление обучения персонала, разработку должностных инструкций и предписание ответственности за их невыполнение [2].2.4 Разработка и внедрение высокоэффективных политик2.4.1 Снижение влияния, оказываемого политикой безопасности на процесс производстваУчет основных факторов, влияющих на эффективность политики безопасности, определяет успешность ее разработки и внедрения. Приведенные ниже рекомендации содержат основные принципы создания эффективных политик. Внедрение политики безопасности практически всегда связано с созданием некоторых неудобств для сотрудников организации и снижением производительности бизнес процессов. (Однако правильная система мер информационной безопасности повышает эффективность бизнес процессов организации за счет значительного повышения уровня информационной безопасности, являющегося одним из основных показателей эффективности).Влияние мер информационной безопасности на бизнес процессы необходимо минимизировать. В то же время не стоит стремиться сделать меры ИБ абсолютно прозрачными. Для того чтобы понять, какое влияние политика будет оказывать на работу организации, и избежать «узких мест», следует привлекать к разработке этого документа представителей бизнес подразделений, служб технической поддержки и всех, кого это непосредственно коснется.Политика безопасности – продукт коллективного творчества.