Разработка политики безопасности организации

Опубликован

Идея проекта

Полное название проекта
Разработка политики безопасности организации
Руководитель
Альберт Симонов из КАИТ 20
Заявлен
8 апреля 2016, 05:55
Категории проекта
  • Выпускная квалификационная работа
  • Информационная безопасность автоматизированных систем
  • Исследование
  • Практика
Ключевые слова проекта
  • политика безопасности

Решаемая проблема / Замысел / Гипотеза

Разработка политики безопасности предполагает осуществление ряда шагов:
- оценку личного (субъективного) отношения к рискам предприятия его собственников и менеджеров, ответственных за функционирование и результативность работы предприятия;
- анализ потенциально уязвимых информационных объектов;
- выявление угроз для значимых информационных объектов (сведений, информационных систем, процессов обработки информации) и оценку соответствующих рисков.

Галерея проекта

Приложенных файлов нет

План проекта

1

1. Исследование текущего состояния информационной среды и информационной безопасности организации

Исполнитель:
приглашенный по е-mail
Срок:
14 июня 2016
Статус:
в работе

Описание и инструкции

Описание предприятия (род деятельности, штатная структура,...)
Характеристика информационной системы предприятия
Функционал сотрудников
Актуальность проблемы защиты информации

Компетенции

  1. Использовать информационно-коммуникационные технологии в профессиональной деятельности
  2. Организовывать собственную деятельность, выбирать типовые методы и способы выполнения профессиональных задач, оценивать их эффективность и качество
  3. Принимать решения в стандартных и нестандартных ситуациях и нести за них ответственность
  4. Работать в коллективе и команде, эффективно общаться с коллегами, руководством, потребителями
  5. Самостоятельно определять задачи профессионального и личностного развития, заниматься самообразованием, осознанно планировать повышение квалификации
  6. Производить установку и адаптацию компонентов подсистем безопасности автоматизированных систем
  7. Решать частные технические задачи, возникающие при проведении всех видов плановых и внеплановых контрольных проверок, при аттестации объектов, помещений, программ, алгоритмов
  8. Участвовать в мониторинге эффективности применяемых программно-аппаратных средств обеспечения информационной безопасности в автоматизированных системах
  9. Участвовать в обеспечении учета, обработки, хранения и передачи конфиденциальной информации
  10. Участвовать в эксплуатации компонентов подсистем безопасности автоматизированных систем, в проверке их технического состояния, в проведении технического обслуживания и текущего ремонта, устранении отказов и восстановлении работоспособности
Приложенных файлов нет
2

2. Анализ полученных сведений по результатам исследования

Исполнитель:
приглашенный по е-mail
Срок:
14 июня 2016
Статус:
в работе

Описание и инструкции

На основании информации, полученной при выполнении предыдущей задачи, выполнить анализ текущего состояния организации защиты информации и рассмотреть возможные варианты ее оптимизации, а именно:

· Определить цели и задачи защиты информации

· Выбрать модель политики безопасности для данной организации защиты информации на предприятии·

Составить матрицу доступа

· Определить группу требований к АС

· Определить класс защищенности АС и требования к нему

· Определить основные объекты защиты на предприятии

· Определить предмет защиты на предприятии

· Выявить возможные угрозы защищаемой информации и их структуру

· Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии

· Выявить каналы и методы несанкционированного доступа к защищаемой информации на предприятии

· Определить основные направления, методы и средства

Компетенции

  1. Брать на себя ответственность за работу членов команды (подчиненных), результат выполнения заданий
  2. Использовать информационно-коммуникационные технологии в профессиональной деятельности
  3. Организовывать собственную деятельность, выбирать типовые методы и способы выполнения профессиональных задач, оценивать их эффективность и качество
  4. Осуществлять поиск и использование информации, необходимой для эффективного выполнения профессиональных задач, профессионального и личностного развития
  5. Понимать сущность и социальную значимость своей будущей профессии, обладать высокой мотивацией к выполнению профессиональной деятельности в области обеспечения информационной безопасности
  6. Принимать решения в стандартных и нестандартных ситуациях и нести за них ответственность
  7. Работать в коллективе и команде, эффективно общаться с коллегами, руководством, потребителями
  8. Вести техническую документацию, связанную с эксплуатацией средств технической защиты и контроля информации в автоматизированных системах
  9. Организовывать мероприятия по охране труда и технике безопасности в процессе эксплуатации автоматизированных систем и средств защиты информации в них
  10. Применять нормативные правовые акты, нормативно-методические документы по обеспечению информационной безопасности инженерно-техническими средствами
  11. Применять нормативные правовые акты, нормативно-методические документы по обеспечению информационной безопасности программно-аппаратными средствами
Приложенных файлов нет
3

3. Формирование плана работ по разработке политики информационной безопасности

Исполнитель:
приглашенный по е-mail
Срок:
14 июня 2016
Статус:
в работе

Описание и инструкции

Подготовить порядок действий для разработки политики безопасности предприятия и определить сроки их реализации

- Составить матрицу доступа

· Определить группу требований к АС

· Определить класс защищенности АС и требования к нему

· Определить основные объекты защиты на предприятии

· Определить предмет защиты на предприятии

· Выявить возможные угрозы защищаемой информации и их структуру

· Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии

· Выявить каналы и методы несанкционированного доступа к защищаемой информации на предприятии

· Определить основные направления, методы и средства

Компетенции

  1. Брать на себя ответственность за работу членов команды (подчиненных), результат выполнения заданий
  2. Использовать информационно-коммуникационные технологии в профессиональной деятельности
  3. Организовывать собственную деятельность, выбирать типовые методы и способы выполнения профессиональных задач, оценивать их эффективность и качество
  4. Осуществлять поиск и использование информации, необходимой для эффективного выполнения профессиональных задач, профессионального и личностного развития
  5. Понимать сущность и социальную значимость своей будущей профессии, обладать высокой мотивацией к выполнению профессиональной деятельности в области обеспечения информационной безопасности
  6. Принимать решения в стандартных и нестандартных ситуациях и нести за них ответственность
  7. Работать в коллективе и команде, эффективно общаться с коллегами, руководством, потребителями
  8. Самостоятельно определять задачи профессионального и личностного развития, заниматься самообразованием, осознанно планировать повышение квалификации
  9. Вести техническую документацию, связанную с эксплуатацией средств технической защиты и контроля информации в автоматизированных системах
  10. Выполнять работы по администрированию подсистем безопасности автоматизированных систем
Приложенных файлов нет
4

4. Разработка политика информационной безопасности организации

Исполнитель:
приглашенный по е-mail
Срок:
14 июня 2016
Статус:
в работе

Описание и инструкции

Для создания политики безопасности необходимо первоначально провести классификацию рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и систему защиты информации построить таким образом, чтобы достичь минимального уровня риска.

- Составить матрицу доступа

· Определить группу требований к АС

· Определить класс защищенности АС и требования к нему

· Определить основные объекты защиты

· Определить предмет защиты

· Выявить возможные угрозы защищаемой информации и их структуру

· Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию

· Выявить каналы и методы несанкционированного доступа к защищаемой информации

· Определить основные направления, методы и средства

Компетенции

  1. Выполнять работы по администрированию подсистем безопасности автоматизированных систем
  2. Применять инженерно-технические средства обеспечения информационной безопасности
  3. Применять нормативные правовые акты, нормативно-методические документы по обеспечению информационной безопасности инженерно-техническими средствами
  4. Применять нормативные правовые акты, нормативно-методические документы по обеспечению информационной безопасности программно-аппаратными средствами
  5. Производить установку и адаптацию компонентов подсистем безопасности автоматизированных систем
  6. Участвовать в мониторинге эффективности применяемых инженерно-технических средств обеспечения информационной безопасности
  7. Участвовать в мониторинге эффективности применяемых программно-аппаратных средств обеспечения информационной безопасности в автоматизированных системах
  8. Участвовать в обеспечении учета, обработки, хранения и передачи конфиденциальной информации
  9. Участвовать в эксплуатации компонентов подсистем безопасности автоматизированных систем, в проверке их технического состояния, в проведении технического обслуживания и текущего ремонта, устранении отказов и восстановлении работоспособности
  10. Участвовать в эксплуатации программно-аппаратных средств обеспечения информационной безопасности, в проверке их технического состояния, в проведении технического обслуживания и текущего ремонта, устранении отказов и восстановлении работоспособности
Приложенных файлов нет