Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности предприятия

⇐ ПредыдущаяСтр 6 из 14Следующая ⇒

Выбор организационно-административных средств подразумевает использование управленческих функций руководством (администрацией) предприятия, по организации конфиденциального делопроизводства, службы безопасности и охраны предприятия посредством приказов, распоряжений, директив и инструкций и их документирование.

Пункт должен содержать:

а) обоснование выбора типов и количества документов, регламентирующих выполнение организационных мероприятий;

б) формы разработанных документов.

Документы должны быть разработаны в соответствии с требованиями ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов, ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения.

Шаблоны основных документов приведены в Приложении 1.

Комплекс внедряемых (разрабатываемых) программно-аппаратных средств обеспечения информационной безопасности

Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности

Вне зависимости от рассматриваемого направления инженерно-технической защиты, данный пункт должен содержать:

· описание модели (образца, версии) ПиАСИБ, сведения о сертификации;

· описание принципа работы выбранных ПиАСИБ

· функциональные возможности, насколько эти возможности позволяют минимизировать риски, определенные в п.1.2.5.

· порядок лицензирования (при необходимости) использования выбранного ПиАСИБ;

· порядок установки, инсталляции (демонтажа, деинсталляции) выбранных ПиАСИБ;

· порядок закрепления выбранных ПиАСИБ за должностными лицами

· описание режимов работы (способов размещения, включения);

· порядок проведения технического обслуживания;

· порядок взаимодействия с организацией-поставщиком

· порядок подготовки (обучения) персонала;

· правила и меры безопасности при эксплуатации выбранных ПиАСИБ

Контрольный пример реализации проекта и его описание

Данный пункт должен содержать:

а) перечень структурных подразделений предприятия, в которых внедряются выбранные ПиАСИБ (разработанные нормативные документы)

б) схемы:

· технической архитектуры;

· программной архитектуры;

· размещения средств видеонаблюдения (элементов системы контроля и управления доступом)

За основу рекомендуется взять схемы из п 1.2.4. и дополнить/изменить их в соответствии с принятыми решениями;

в) детальное описание действий операторов при эксплуатации ПиАСИБ в различных режимах, например:

· доступ пользователей к ресурсам системы;

· настройка межсетевого экрана;

· формирование и распределение ключей;

· выдача, проверка и аннулирование идентификаторов;

· реагирование на инциденты;

· проведение текущего аудита;

· настройка и эксплуатация средств противодействия ИТР конкурентов;

· проверка аппаратных средств на наличие закладок;

· проверка помещений на наличие средств промышленного шпионажа;

· настройка антивирусного программного обеспечения;

· настройка систем обнаружения и предотвращения вторжений;

· настройка систем резервного копирования;

· настройка VPN и др.

г) экранные формы для ввода и отображения информации

д) формы документов

Вся, представленная в данном пункте информация должна быть связана с данными, изложенными в п.2.1.2. Другими словами, внедрение программно-аппаратных средств должно осуществляться в соответствии со сформированной политикой безопасности.

Структура третьей главы

III Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

3.2 Расчёт показателей экономической эффективности проекта

Выбор и обоснование методики расчёта экономической эффективности

Исходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.

Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.

Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.

Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять),

· во-первых, ожидаемые потери при нарушении защищенности информации;

· во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Для определения уровня затрат Ri„ обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:

· во-первых, полный перечень угроз информации;

· во-вторых, потенциальную опасность для информации для каждой из угроз;

· в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации:

R_i = 10⁽ ^Si ⁺ ^Vi ^{– 4)} ,

где:

S_i – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;

Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта рекомендуется использовать следующие значения коэффициентов S_i и Vi, приведенные в таблице 12

Таблица 12

Значения коэффициентов S_i и Vi

Ожидаемая (возможная) частота появления угрозы	Предполагаемое значение S_i
Почти никогда	0
1 раз в 1 000 лет	1
1 раз в 100 лет	2
1 раз в 10 лет	3
1 раз в год	4
1 раз в месяц (примерно, 10 раз в год)	5
1-2 раза в неделю (примерно 100 раз в год)	6
3 раза в день (1000 раз в год)	7

Значение возможного ущерба при проявлении угрозы, руб.	Предполагаемое значение Vi
30	0
300	1
3 000	2
30 000	3
300 000	4
3 000 000	5
30 000 000	6
300 000 000	7

Суммарная стоимость потерь определяется формулой

где N – количество угроз информационным активам, определенных в п.1.2.3.

Данный пункт должен содержать:

а) обоснование выбора методики оценки экономической эффективности;

б) описание методики;

в) результаты расчетов, представленные в таблице 13 и содержащие:

· величины потерь (рисков) для критичных информационных ресурсов;

· суммарную величину потерь

При расчете суммарного показателя рекомендуется принять, что угрозы конфиденциальности, целостности и доступности реализуются нарушителем независимо. То есть, если в результате действий нарушителя была нарушена целостность информации, предполагается, что её содержание по-прежнему остается ему неизвестным (конфиденциальность не нарушена), а авторизованные пользователи по-прежнему имеют доступ к активам, пусть и искаженным.

Таблица 13

Величины потерь (рисков) для критичных информационных ресурсов

до внедрения/модернизации системы защиты информации

Актив	Угроза	Величина потерь (тыс.руб.)



Суммарная величина потерь

Дата добавления: 2019-11-16; просмотров: 370; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 1 2 3 4 567 8 9 10 Следующая ⇒

Мы поможем в написании ваших работ!