Система информационной безопасности

Дипломная работа - Компьютеры, программирование

Другие дипломы по предмету Компьютеры, программирование

Скачать Бесплатно!
Для того чтобы скачать эту работу.
1. Пожалуйста введите слова с картинки:

2. И нажмите на эту кнопку.
закрыть



лассификация информационных активов по степени важности;

роли и обязанности по информационной безопасности не включены в должностные инструкции;

в заключаемом с сотрудником трудовом договоре отсутствует пункт об обязанностях по информационной безопасности как трудоустраивающихся, так и самой организации;

обучение персонала в области защиты информации не проводится;

с точки зрения защиты от внешних угроз: не разработано типичных процедур поведения для восстановления данных после несчастных случаев, произошедших в результате внешних и экологических угроз;

серверная не является отдельным помещением, за помещением закреплен статус двух отделов (в серверную, кроме системного администратора, имеет доступ еще один человек);

не проводится техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям;

несмотря на то, что вход осуществляется по электронным пропускам и вся информация поступает в специальную базу данных, ее анализ не проводится;

не ведутся записи о предполагаемых и фактических сбоях оборудования;

с точки зрения защиты от вредоносных программ: отсутствует формальная политика по защите от рисков, связанных с получением файлов как из внешних сетей или посредством них, так и содержащихся на сменных носителях;

с точки зрения защиты от вредоносных программ: отсутствуют руководящие процедуры по защите локальной сети от вредоносного кода;

отсутствует контроль трафика, имеется доступ к почтовым серверам внешних сетей;

все резервные копии хранятся в серверной;

используются небезопасные, легко запоминающиеся пароли;

получение паролей пользователями никак не подтверждается;

пароли в открытом виде хранятся у администратора;

пароли не меняются;

не существует порядка сообщения о событиях информационной безопасности.

Таким образом, на основании этих недостатков, был разработан набор регламентов в отношении политики информационной безопасности, включающий:

политику в отношении приема на работу (увольнению) и наделению (лишению) сотрудников необходимыми полномочиями по доступу к ресурсам системы;

политику в отношении работы пользователей сети в процессе её эксплуатации;

политику по организации парольной защиты;

политику по организации физической защиты;

политику по работе с сетью Интернет;

а также административные меры по обеспечению безопасности.

Документы, содержащие указанные регламенты, находятся на стадии рассмотрения руководством организации.

 

.3 Разработка комплекса мероприятий по модернизации существующей системы информационной безопасности

 

В результате анализа системы информационной безопасности ОАО Газпром были выявлены существенные уязвимости системы. Для разработки мероприятий с целью устранения выявленных недочетов системы безопасности выделим следующие группы сведений, которые подлежат защите:

сведения о частной жизни сотрудников, позволяющие идентифицировать их личность (персональные данные);

сведения, связанные с профессиональной деятельностью и составляющие банковскую, аудиторскую и тайну связи;

сведения, связанные с профессиональной деятельностью и отмеченные как сведения для служебного пользования;

информация, уничтожение или изменение которой отрицательно скажутся на эффективности работы, а восстановление потребует дополнительных затрат.

С точки зрения административных мер были разработы следующие рекомендации:

система защиты информации должна соответствовать законодательству Российской Федерации и государственным стандартам;

классификация и категорирование защищаемых информационных ресурсов и установление порядка доступа к ним должны быть закреплены в документах предприятия;

здания и помещения, где установлены или хранятся средства обработки информации, производятся работы с защищаемой информацией, должны охраняться и быть защищены средствами сигнализации и пропускного контроля;

проведение обучения персонала по вопросам информационной безопасности (объяснять важность парольной защиты и предъявляемых к паролю требований, проводить инструктаж по антивирусному ПО и т.п.) следует организовывать при приеме сотрудника на работу;

каждые 6-12 месяцев проводить тренинги, направленные на повышение грамотности сотрудников в сфере информационной безопасности;

аудит системы и корректировка разработанных регламентов должна проводиться ежегодно, 1 октября, или незамедлительно после внедрения серьезных изменений в структуру предприятия;

права доступа каждого пользователя к информационным ресурсам должны оформляться документально (при необходимости доступ запрашивается у руководителя письменным заявлением);

обеспечение политики информационной безопасности должны обеспечивать администратор по программному обеспечению и администратор по аппаратному обеспечению, их действия координируются начальником группы.

Сформулируем политику в отношении паролей:

не хранить их в незашифрованном виде (не записывать их на бумагу, в обычный текстовый файл и т.п.);

менять пароль в случае его разглашения или подозрения на разглашение;

длина должна быть не менее 8 символов;

в числе символов пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы, пароль не должен включать в себя легко вычисляемые последо

s