Разработка рекомендаций по внедрению и применению концепции информационной безопасности хозяйствующего субъекта

Введение
1 Подготовительный этап и определение основных угроз информации
1.1 Определение объектов защиты
1.2 Формирование целей и задач концепции безопасности
2 разработка концепции по созданию и внедрению информационной безопасности хозяйствующего субъекта
2.1 Концепция построения комплексной системы защиты
2.2 Разработка и внедрение эффективных политик обеспечения безопасности информации хозяйствующего субъекта
2.3 Факторы, определяющие эффективность политики безопасности
2.4 Оценка риска внедрения системы защиты
2.5 Рекомендации по созданию и внедрению эффективных политик
Заключение
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1 Подготовительный этап и определение основных угроз информации
Информационная безопасность - это комплекс процедур, направленных на защиту информации от неавторизованного доступа, модификации, разрушения, раскрытия и задержек в доступе. Информационная безопасность содержит в себе действия по защите процессов создания данных, их ввода, обработки и вывода. Задачей ИБ служит защита ценности системы, и гарантированность точности и целостности информации, минимизация разрушений. Информационная безопасность требует учета всех событий, в процессе которых к информации обеспечивается доступ, ее формирования, модификации или распространения.
...

1.1 Определение объектов защиты
Очень важно грамотно выявить главные объекты информационной безопасности на предприятии, ими являются:
• информационные ресурсы с ограничением доступа, составляющие коммерческую или банковскую тайну, иные уязвимые по отношению к несанкционированным и случайным воздействиям информационные ресурсы. В том числе общедоступная (открытая) информация, представленная в виде разного рода документов и массивов данных, независимо от вида и формы их представления;
• процедуры обработки информации - информационные технологии, регламенты и процессы сбора, хранения, обработки и передачи данных;
• информационная инфраструктура, включающая системы анализа и обработки информации, программные и технические средства ее обработки, отображения и передачи, в том числе телекоммуникации и каналы информационного обмена, средства и системы защиты информации, помещения и объекты, в которых размещены чувствительные компоненты информационной системы.
...

1.2 Формирование целей и задач концепции безопасности
Речь идет об интересах, затрагиваемых при использовании информационной системы и субъектов информационных взаимоотношений. Субъектами правоотношений при эксплуатации ИС хозяйствующего субъекта и обеспечении его безопасности выступают компания как владелец информационных ресурсов, отделы и подразделения, сотрудники и должностные лица, физические и юридические лица. Потребуется описать, в чем состоит интерес вышеперечисленных субъектов относительно циркулирующей информации в пределах ИС организации: достоверность, конфиденциальность, своевременный доступ, контроль, разграничение ответственности.
...

2 разработка концепции по созданию и внедрению информационной безопасности хозяйствующего субъекта
Все распоряжения по обеспечению безопасности компьютерных систем делятся на: законодательные, административные (организационные), морально-этические, физические, технические (программные и аппаратные). Что касается организационных мер защиты, в этом подразделе описываются процессы, регламентирующие функционирования системы, порядок коммуникации пользователей с системой, деятельность обслуживающего персонала таким образом, чтобы в максимальной степени затруднить либо исключить возможность воплощения угроз безопасности или снизить количество потерь в случае их реализации. С точки зрения практики, политику в области обеспечения безопасности данных хозяйствующего субъекта целесообразно разделить на два уровня.
...

2.1 Концепция построения комплексной системы защиты
Отличительным показателем коммерческой деятельности служит соизмерение затрат и результатов работы, одной из характерных особенностей финансовой деятельности является то, что она воплощается в условиях тотальной конкуренции и соперничества, борьбы организаций за приобретение выгод и преимуществ по сравнению с компаниями аналогичного профиля. Конкуренция это движитель и спутник коммерческой деятельности, отсюда и стремление сохранить втайне от конкурента специфики своей деятельности, которые гарантируют им преимущество над конкурентом. Стремление конкурентов узнать эти секреты, для применения в своих интересах и удержания доминирующих позиций в конкурентной борьбе, ставит вопрос информационной безопасности весьма актуальным. Концепция рекомендаций по ИБ служит базовым элементом для выработки единой политики обеспечения сохранности данных в организации.
...

2.2 Разработка и внедрение эффективных политик обеспечения безопасности информации хозяйствующего субъекта
Большинство фирм регулярно терпит убытки, связанные с нарушением ИБ, не способны рационально оценить ущерб или обнаружить многие из этих нарушений. Убытки от нарушений безопасности данных могут выражаться в потере рабочего времени на восстановление данных, утечке конфиденциальной информации, ликвидацию последствий вирусных атак и тому подобное. Политики безопасности (ПБ) это основа организационных мер защиты данных. В наибольшей степени от их эффективности зависит успешность любых мероприятий по обеспечению ИБ. Далее речь пойдет о существующих подходах к созданию эффективных ПБ, без которых невозможно создание комплексной системы обеспечения технической безопасности компании и разработки стратегии ИБ.
...

2.3 Факторы, определяющие эффективность политики безопасности
Эффективные ПБ определяют достаточный и необходимый набор требований безопасности, позволяющих сократить риски ИБ до приемлемой величины. Они оказывают минимальное воздействие на производительность труда, учитывают особенности бизнес-процессов предприятия, поддерживаются руководящим звеном, позитивно воспринимаются и исполняются сотрудниками компании. При разработке ПБ, следует иметь в виду факторы, влияющие на успешность применения мер обеспечения безопасности. Эти меры накладывают ограничения на действия администраторов и пользователей ИС и в общем случае приводят к понижению производительности труда. Безопасность является затратной статьей для фирмы, как и любой другой вид страхования рисков.
...

2.4 Оценка риска внедрения системы защиты
Перед принятием любых решений касающихся стратегии информационной безопасности фирмы, как на краткосрочную, так и на долгосрочную перспективу нужно оценить степени уникальных рисков. Пока компания имеет информацию, представляющую ценность для нее и ее конкурентов, она рискует потерей этих данных. Задача любого информационного механизма контроля безопасности должна состоять в ограничении этого риска заранее подобранным приемлемым уровнем. Таким образом, первой стадией процесса создания политики должно быть всестороннее осуществление оценки риска. Оценка риска идентифицирует самые уязвимые области системы и используется для определения дальнейших целей и средств.
Оценка риска характеризует собой комбинацию величин, зависящих от количества информационных ресурсов, имеющих определенную значимость для предприятия, и уязвимостей, пригодных для получения доступа к этим ресурсам.
...

2.5 Рекомендации по созданию и внедрению эффективных политик
Учет основных факторов, оказывающих влияние на эффективность ПБ, определяет благополучность ее разработки и внедрения. Рекомендации, приведенные ниже, содержат основные принципы формирования эффективных политик. Внедрение политики безопасности практически всегда сопряжено с созданием некоторого рода неудобств для персонала компании и снижением функциональности бизнес процессов. Необходимо минимизировать влияние мер информационной безопасности на бизнес процессы, в то же время не стоит стараться сделать их ИБ абсолютно прозрачной. Для того чтобы осознать, какое влияние политика окажет на работу компании, и избежать узких мест, необходимо привлекать к созданию этого документа служб технической поддержки, представителей бизнес подразделений и всех, кого это непосредственно коснется.
Политика безопасности - это результат (продукт) коллективного творчества.
...

Заключение
Объектами защиты в организации выступают сотрудники, материальные ценности, финансовые средства, информационные ресурсы с ограниченным доступом, представляющие технологическую, коммерческую либо иную тайну, а также широкодоступная информация вне зависимости от ее вида и формы представления. Объектами защиты также являются информационная система, состоящая из совокупности программных и технических средств анализа и представления информации ее обработки и передачи, средств защиты конфиденциальной информации и помещений, каналов информационного обмена, репутация хозяйствующего субъекта. Состав и структура информационной системы для большей части современных компаний представляют собой в основном комплекс технических и программных средств обработки, хранения и обмена данных, с возможностью выхода во внешнюю сеть.
...