На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


доклад Стандарты информационной безопасности

Информация:

Тип работы: доклад. Добавлен: 04.07.2012. Сдан: 2010. Страниц: 3. Уникальность по antiplagiat.ru: < 30%

Описание (план):


Международные стандарты ISO/IEC 17799 (новая версия вышла  под номером 27002) и 27001 посвящены вопросам управления информационной безопасностью, и так как они взаимосвязаны, рассматривать их будем в одном  разделе.
В 1995 году Британским институтом стандартов (BSI) был опубликован  стандарт BS 7799 Part 1 "Code of Practice for Information Security Management" (название обычно переводится как "Практические правила управления информационной безопасностью"). На его основе в 2000 году был принят уже международный стандарт ISO/IEC 17799:2000 "Information technology. Code of practice for information security management". Следующая дополненная версия была принята в 2005 году и обозначается ISO/IEC 17799:2005. А в 2007-м году данный стандарт был переиздан под номером ISO/IEC 27002. Как следует из названия, он описывает рекомендуемые меры в области управления информационной безопасностью и, в целом, не предназначался для проведения сертификации систем на его соответствие.
В 1999 году была опубликована вторая часть стандарта: BS 7799 Part 2 "Information Security Management Systems - Specification with guidance for use" (Системы управления информационной безопасностью - спецификации с руководством по использованию). На его базе был разработан стандарт ISO/IEC 27001:2005 "Information Technology. Security techniques. Information security management systems. Requirements", на соответствие которому может проводиться сертификация.
В России на данный момент действуют стандарты ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью" (аутентичный перевод ISO/IEC 17799:2000) и ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (перевод ISO/IEC 27001:2005). Несмотря на некоторые внутренние расхождения, связанные с разными версиями и особенностями перевода, наличие стандартов позволяет привести систему управления информационной безопасностью в соответствие их требованиям и, при необходимости, сертифицировать.
ГОСТ  Р ИСО/МЭК 17799:2005 "Информационная технология. Практические правила управления информационной безопасностью"
Рассмотрим теперь содержание стандарта. Во введении указывается, что "информация, поддерживающие ее процессы, информационные системы и  сетевая инфраструктура являются существенными  активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации  организации". Таким образом, можно  говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с  точки зрения экономического эффекта.
Указываются три  группы факторов, которые необходимо учитывать при формировании требований в области информационной безопасности. Это:
    оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
    юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
    специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.
После того, как  определены требования, идет этап выбора и внедрения мероприятий по управлению информационной безопасностью, которые  обеспечат снижение рисков до приемлемого  уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости  их реализации, эффекта от снижения рисков и возможных убытков в  случае нарушения безопасности. Также  следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий  приводится в стандарте, но отмечается, что он может быть дополнен или  сформирован самостоятельно исходя из потребностей организации.
Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными  ресурсами организации, обязанности  и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.
Следующий раздел затрагивает организационные вопросы, связанные с обеспечением информационной безопасности. Стандарт рекомендует  создавать управляющие советы (с  участием высшего руководства компании) для утверждения политики безопасности, назначения ответственных лиц, распределения  обязанностей и координации внедрения  мероприятий по управлению информационной безопасностью в организации. Также  должен быть описан процесс получения  разрешений на использование в организации  средств обработки информации (в  т.ч. нового программного обеспечения  и аппаратуры), чтобы это не привело  к возникновению проблем с  безопасностью. Требуется определить и порядок взаимодействия с другими  организациями по вопросам информационной безопасности, проведения консультаций с "внешними" специалистами, независимой  проверки (аудита) информационной безопасности.
При предоставлении доступа к информационным системам специалистам сторонних организаций, необходимо особое внимание уделить  вопросам безопасности. Должна быть проведена  оценка рисков, связанных с разными  типами доступа (физическим или логическим, т.е. удаленным) таких специалистов к различным ресурсам организации. Необходимость предоставления доступа  должна быть обоснована, а в договоры со сторонними лицами и организациями  должны быть включены требования, касающиеся соблюдения политики безопасности. Аналогичным  образом предлагается поступать  и в случае привлечения сторонних  организаций к обработке информации (аутсорсинга).
Следующий раздел стандарта посвящен вопросам классификации  и управления активами. Для обеспечения  информационной безопасности организации  необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация:
    информационные активы (базы данных и файлы данных, системная документация и т.д.);
    активы программного обеспечения (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
    физические активы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
    услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).
Далее предлагается классифицировать информацию, чтобы  определить ее приоритетность, необходимость  и степень ее защиты. При этом, можно оценить соответствующую  информацию с учетом того, насколько  она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После  этого предлагается разработать  и внедрить процедуру маркировки при обработке информации. Для  каждого уровня классификации следует  определять процедуры маркировки для  того, чтобы учесть следующие типы обработки информации:
    копирование;
    хранение;
    передачу по почте, факсом и электронной почтой;
    передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
    уничтожение.
Следующий раздел рассматривает вопросы безопасности, связанные с персоналом. Стандартом определяется, чтобы обязанности  по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры и  проводился их мониторинг в течение  всего периода работы сотрудника. В частности, при приеме в постоянный штат, рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность  сотрудников, нарушивших политику и  процедуры безопасности организации. Там, где необходимо, эта ответственность  должна сохраняться и в течение  определенного срока после увольнения с работы.
Пользователей необходимо обучать процедурам безопасности и правильному использованию  средств обработки информации, чтобы  минимизировать возможные риски. Кроме  того, должен быть определен порядок  информирования о нарушениях информационной безопасности, с которым необходимо ознакомить персонал. Аналогичная процедура  должна задействоваться в случаях  сбоев программного обеспечения. Подобные инциденты требуется регистрировать и проводить их анализ для выявления  повторяющихся проблем.
Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что "средства обработки  критичной или важной служебной  информации необходимо размещать в  зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами  и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения  и воздействия". Кроме организации  контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа  посетителей. Необходимо также обеспечивать безопасность оборудования (включая  и то, что используется вне организации), чтобы уменьшить риск неавторизованного  доступа к данным и защитить их от потери или повреждения. К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.
С целью минимизации  риска неавторизованного доступа  или повреждения бумажных документов, носителей данных и средств обработки  информации, рекомендуется внедрить политику "чистого стола" в  отношении бумажных документов и  сменных носителей данных, а также  политику "чистого экрана" в  отношении средств обработки  информации. Оборудование, информацию или программное обеспечение  можно выносить из помещений организации  только на основании соответствующего разрешения.
Название очередного раздела стандарта - "Управление передачей данных и операционной деятельностью". В нем требуется, чтобы были установлены обязанности  и процедуры, связанные с функционированием  всех средств обработки информации. Например, должны контролироваться изменения  конфигурации в средствах и системах обработки информации. Требуется  реализовать принцип разграничения  обязанностей в отношении функций  управления, выполнения определенных задач и областей.
Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения (ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.
Дополнительные  риски возникают при привлечении  сторонних подрядчиков для управления средствами обработки информации. Такие  риски должны быть идентифицированы заранее, а соответствующие мероприятия  по управлению информационной безопасностью  согласованы с подрядчиком и  включены в контракт.
Для обеспечения  необходимых мощностей по обработке  и хранению информации необходим  анализ текущих требований к производительности, а также прогноз будущих. Эти  прогнозы должны учитывать новые  функциональные и системные требования, а также текущие и перспективные  планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы.
Необходимо принимать  меры предотвращения и обнаружения  внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые "черви", "троянские  кони" и логические бомбы. Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.
Должен быть определен порядок проведения вспомогательных  операций, к которым относится  резервное копирование программного обеспечения и данных1) , регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.
Для обеспечения  безопасности информации в сетях  и защиты поддерживающей инфраструктуры, требуется внедрение средств  контроля безопасности и защита подключенных сервисов от неавторизованного доступа.
Особое внимание уделяется вопросам безопасности носителей  информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок  использования сменных носителей  компьютерной информации (порядок контроля содержимого, хранения, уничтожения  и т.д.). Как уже отмечалось выше, носители информации по окончании использования  следует надежно и безопасно  утилизировать.
С целью обеспечения  защиты информации от неавторизованного  раскрытия или неправильного  использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования  информации, и действовать в отношении  документов, вычислительных систем, сетей, переносных компьютеров, мобильных  средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов. Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться.
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.