На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


дипломная работа Система обеспечения информационной безопасности в государственном учреждении

Информация:

Тип работы: дипломная работа. Добавлен: 24.10.2012. Сдан: 2012. Страниц: 22. Уникальность по antiplagiat.ru: < 30%

Описание (план):


Федеральное агентство  по образованию
ГОУ ВПО «ПОМОРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
 имени М. В.  ЛОМОНОСОВА» 

Факультет профессиональной переподготовки 

Кафедра государственного и муниципального управления 
 
 

ДИПЛОМНЫЙ  ПРОЕКТ  

Тема: Система обеспечения  информационной безопасности в  государственном  учреждении (на примере 3-го Центра Испытания  и Применения Космических Средств (3 ЦИП КС) Государственного Испытательного Космодрома «Плесецк») 

Специальность: 080504 «государственное и муниципальное  управление» 

Выполнил: студент  VI курса 
факультета профессиональной переподготовки
Евстратов Игорь  Валерьевич 

Научный        руководитель:         
доцент кафедры  информатики,
кандидат физико-математических наук Крылов Александр Сергеевич 

Рецензент:
Начальник отдела связи  и информатизации ФГУ «Беломорканал»
Курносов Александр  Павлович 

Допустить к защите в ГАК
Зав. кафедрой ГиМУ
Булатов Владимир Николаевич
___________________________ 
«____»____________2007 г. 
 
 

АРХАНГЕЛЬСК
2007 

Тема:  Система обеспечения информационной безопасности в  государственном учреждении (на примере вычислительного комплекса
3-го Центра Испытания  и Применения Космических Средств  (3 ЦИП КС) Государственного Испытательного  Космодрома «Плесецк ») 

ОГЛАВЛЕНИЕ
Введение……………………………………………………………………….. 5
1. Основа информационной  безопасности………………………………… 8
1.1. Термины и определения………………………………………………... 8
1.2.  Цели и задачи информационной безопасности………………………. 10
1.3  Основные принципы обеспечения информационной безопасности... 11
1.4.  Законодательство и регулирование отрасли информационной
безопасности……………………………………………………………. 17
2. Создание системы  информационной безопасности…………………... 26
2.1.  Диагностическое обследование (аудит) системы информационной
безопасности……………………………………………………………. 29
2.2.  Проектирование системы информационной безопасности…………. 31
2.3.  Внедрение системы информационной безопасности……………….. 35
2.4. Выбор исполнителя работ…………………………………………….. 36
3. Политика информационной  безопасности……………………………. 37
3.1. Основные положения политики информационной безопасности…. 39
3.2.  Документ о политике информационной безопасности……………... 45
4. Угрозы информационной  безопасности………………………………. 46
4.1. Классификация угроз информационной безопасности……………... 46
4.2.  Источники угроз информационной безопасности…………………... 49
4.3.  Последствия негативного воздействия угроз………………………... 51
4.4. Угроза информационной безопасности войск………………………. 54
5. Практические рекомендации  по обеспечению требуемого уровня
защищенности информационных ресурсов 3 ЦИП КС космодрома
«Плесецк»…………………………………………………………………. 61
5.1. Организационные  меры защиты……………………………………….. 61
5.1.1. Система информационного  мониторинга………………………….. 62
5.1.2. Распределение  ответственности за обеспечение  информационной
безопасности…………………………………………………………. 63
5.1.3. Регламентация  процессов ввода в эксплуатацию  и реконфигурации
информационной системы…………………………………………... 63
5.2. Управление ресурсами  (инвентаризация и классификация  ресурсов)… 64
5.3. Кадровая политика  и управление персоналом…………………………. 65
5.3.1. Безопасность  при выборе персонала и работа  с ним……………… 65
5.3.2. Подготовка и  переподготовка пользователей и  специалистов
по защите информации……………………………………………… 66
5.3.3. Реагирование  на нарушения информационной  безопасности……. 66
5.4. Физическая безопасность………………………………………………… 67
5.4.1. Контроль физического  доступа к оборудованию, на
контролируемую территорию и в помещения……………………… 68
5.4.2. Обеспечение  безопасности кабельной системы…………………… 70
5.4.3. Безопасное уничтожение  отработавшего оборудования и
носителей информации……………………………………………… 72
5.4.4. Безопасность  рабочего места………………………………………… 72
5.5. Инструкции по  информационной безопасности………………………… 74
5.5.1. Контроль изменений  среды функционирования…………………… 75
5.5.2. Процедуры реагирования  на инциденты безопасности…………… 76
5.5.3. Разграничение  ответственности…………………………………….. 77
5.5.4. Разделение ресурсов…………………………………………………. 78
5.6. Организация управления  доступом к информации…………………….. 79
5.6.1. Политика управления  доступом…………………………………….. 79
5.6.2. Управление доступом  пользователей………………………………. 80
5.6.3. Регистрация  пользователей………………………………………….. 80
5.6.4. Управление правами  пользователей………………………………… 81
5.6.5. Управление паролями  пользователей………………………………. 82
5.6.6. Проверка прав  пользователей………………………………………. 82
5.6.7. Обязанности  пользователей при использовании  защитных
механизмов…………………………………………………………… 83
5.6.8. Обязанности  при использовании паролей………………………….. 83
5.6.9. Обязанности  при обеспечении безопасности  оборудования……… 84
5.6.10. Контроль и  управление удаленным сетевым  доступом………….. 84
5.6.11. Управление доступом  к операционной системе………………….. 85
5.6.12. Процедура входа  в систему………………………………………… 86
5.6.13. Система управления  паролями…………………………………….. 87
5.6.14. Использование  системных утилит…………………………………. 87
5.6.15. Контроль и  управление доступом к приложениям……………….. 88
5.6.16. Мониторинг доступа  и использования систем……………………. 89
5.6.17. Мониторинг использования  системы……………………………… 89
5.6.18. Управление доступом  мобильных пользователей………………… 90
Заключение……………………………………………………………………. 92
Список использованной литературы……………………………………… 94
Приложение № 1……………………………………………………………… 98
Приложение № 2……………………………………………………………… 99 

Введение 

В современном мире информационные отношения затрагивают  все сферы человеческой деятельности, а результаты этой деятельности все  больше зависят от целостности, достоверности, своевременности и, в ряде случаев, конфиденциальности информации. Угрозы информационным ресур-сам по размеру  наносимого ущерба становятся сравнимы с террористическими. Естественно, что вопросы информационной безопасности находятся сегодня в сфере государственных интересов. Обязательному регулированию подвергается деятельность по защите информации, а также, в той или иной мере, практически все виды информационных отношений. [31]
В Российской Федерации  позиция государства отражена в  документе «Доктрина информационной безопасности Российской Федерации», утвер-жденном президентом 9 сентября 2000 года. Согласно тексту доктрины, она развивает концепцию национальной безопасности применительно к информа-ционной сфере и служит основой для трех направлений: формирования госу-дарственной политики в области обеспечения информационной безопасности РФ; подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ; и разработки целевых программ обеспечения информационной безопасности РФ, а также в числе прочего предусматривает обеспечение безопасности «систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием...».
Необходимость проведения исследований по проблеме информационной безопасности в государственном  учреждении (на примере 3-го Центра испытания  и применения космических средств  космодрома «Плесецк»), поиск методов  и средств её обеспечения и  постоянного совершенствования  определяется:
- важностью системы сбора, обработки и передачи информации кос-модрома в информационной системе Космических войск и Вооружённых Сил России в целом, являющейся важнейшим элементом укрепления обороны и безопасности страны;
- уязвимостью конфиденциальной информации Космических войск при её сборе, обработке, хранении и передаче по каналам связи;
- возможностью искаженной информации вызвать воздействия общегосударственного стратегического характера, влияющих не только на интересы Вооруженных Сил России, других силовых структур, но и большинства министерств и ведомств, экономики и социальной сферы страны;
- масштабностью последствий при нарушении информационной без-опасности, так как космическая отрасль является одной из немногих, где Россия не утратила своего преимущественного положения в мире, и является одним из важнейших факторов политической, военной и экономической безопасности государства.
В настоящее время  уже около 30 стран ведут работы в области создания информационного  оружия, которое позволит нападающей стороне выигрывать малые войны  и разрешать военные конфликты  без потерь в живой силе до начала полномасштабных боевых действий.
Целью дипломного проекта  является  разработка практических предложений по совершенствованию  системы обеспечения безопасности информации  в 3-м центре испытания  и применения космических средств  космодрома «Плесецк»(3 ЦИП КС), которые  опираются на  результаты анализа  современного подхода к проблеме  обеспечения информационной безопасности.
Данная цель предполагает решение следующих задач:
-  дать определение понятия «информационная безопасность»;
-  определить цели и задачи информационной безопасности в целом;
-  сформулировать и обосновать основные принципы построения системы обеспечения информационной безопасности;
-  проанализировать существующую систему обеспечения информационной безопасности 3 ЦИП КС космодрома «Плесецк» и выработать практические рекомендации по ее совершенствованию.
Система безопасности является методологической основой:
- формирования и проведения государственной политики в области обеспечения информационной безопасности;
- разработки стратегии обеспечения информационной безопасности;
- формирования программ и мероприятий по реализации информационной безопасности;
- разработки предложений по совершенствованию правового, нормативно-методического, научно-технического и организационного обеспечения информационной безопасности;
- экономической оценки эффективности предлагаемых и проводимых мероприятий по обеспечению информационной безопасности.
Работа выполнена  с учетом положений основных руководящих  документов по информационной безопасности Российской Федерации, международного опыта и состояния информатизации и информационной безопасности 3-го центра испытания и применения космических  средств космодрома «Плесецк». 
 
 
 
 
 
 
 
 
 
 

1. Основа информационной  безопасности 

1.1. Термины и определения 

Перед дальнейшим изложением материала обозначим некоторые  термины и определения, которые  будут использоваться в дипломном  проекте.
Информация - сведения (сообщения, данные) независимо от формы  их представления;
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения  информации и способы осуществления  таких процессов и методов;
Информационная система - совокупность содержащейся в базах  данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
Информационно-телекоммуникационная сеть - технологическая си-стема, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
Обладатель информации - лицо, самостоятельно создавшее информа-цию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
Доступ к информации - возможность получения информации и ее ис-пользования;
Конфиденциальность  информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам  без согласия ее обладателя;
Предоставление информации - действия, направленные на получение  информации определенным кругом лиц  или передачу информации определенному  кругу лиц;
Распространение информации - действия, направленные на получение  информации неопределенным кругом лиц  или передачу информации неопределенному  кругу лиц;
Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных  законодательством Российской Федерации  случаях ее материальный носитель;
Оператор информационной системы - гражданин или юридическое  лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
[2, ст.2]
 Информационная  безопасность – сохранение конфиденциальности, целостности и доступности информации.
Конфиденциальность  – обеспечение доступа к информации только для авторизованных пользователей, имеющих право на доступ к ней.
Целостность – защита точности и полноты информации и  методов ее обработки.
Доступность – обеспечение  доступности информации и связанных  с ней ресурсов авторизованным пользователям  при необходимости.
Оценка рисков –  оценка угроз для информации и  средств ее обработки, возможного ущерба для них в случае нарушения  безопасности, их уязвимостей а также возможности их возникновения.
Управление рисками  – процесс определения, контроля и уменьшения или полного устранения (с приемлемыми затратами) рисков для информационной безопасности, которые  могут повлиять на информационные системы. [9] 
 

1.2.  Цели и задачи информационной безопасности. 

В государственном  учреждении обеспечение информационной безопас-ности проводится в целях:
- предупреждения утечки, хищения, утраты, искажения и подделки инфор-мации;
- предотвращения угроз безопасности структур и несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, а также других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечения правового режима документированной информации как объекта собственности;
- обеспечения организаций, населения и органов управления полной и до-стоверной информацией, необходимой для принятия решения и успешного функционирования всех структур  в повседневной деятельности и в условиях чрезвычайных ситуаций;
- предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности информации.
Цели информационной безопасности могут уточняться в  зависимости от содержания информационных технологий, периода жизненного цикла  объекта информационной безопасности или изменившейся обстановки.
К основным задачам  информационной безопасности следует  отнести:
- выявление, оценка и прогнозирование источников угроз информационной безопасности, технических систем и средств разведки, способах и средствах несанкционированного доступа к информации;
- разработка обоснованных моделей возможных негативных воздействий на информацию;
- выработка критериев и методов количественной оценки негативного воз-действия на информацию;
- оценка опасности информации, ее искажения, уничтожения, подделки, блокирование в системах и средствах информации и связи, эффективно-сти ее защиты;
- разработка средств и способов предотвращения, парирования и нейтрализации угроз информационной безопасности;
- совершенствование организации, способов, технологий и технических средств, образующих систему информационной безопасности. 

1.3 Основные принципы  обеспечения информационной безопасности. 

Прежде чем анализировать  понятие информационной безопасности, необходимо разобраться с двумя  ключевыми категориями: информация и безопасность. Закон РФ "О  безопасности" определяет безопасность как состояние защищенности жизненно важных интересов личности, общества, государства от внутренних и внешних  угроз. К жизненно важным интересам  относится совокупность потребностей, удовлетворение которых надежно  обеспечивает существование и возможности  прогрессивного развития личности, общества и государства. Таким образом, безопасность представляет собой состояние защищенности.
Не всегда "состояние  защищенности" подразумевало также  безопасность информационную - необходимость  в этом назрела только тогда, когда  средства коммуникаций стали играть ключевую роль в обеспечении превосходства  одной стороны над другой.
Можно с уверенностью говорить о том, что сеть Интернет появилась как попытка обеспечить информационную безопасность США в то время, когда Советский Союз запустил в 1957 году первый искусственный спутник Земли. Американские военные, пораженные возможностями противника и обеспокоенные тем, что подобные "Спутнику" баллистические ракеты могут вывести из строя сети коммуникаций в случае войны и тем самым предопределить ее исход, озадачились тем, как сделать эти коммуникационные сети более устойчивыми. Нужно было создать такую инфраструктуру, которая не имела централизованного управления и была невосприимчива к повреждениям значительной ее части. В результате была создана сеть ARPAnet, в основе которой принцип коммутации пакетов, а не каналов (как в случае с телефонной связью).
В настоящее время  проблема информационной безопасности стоит еще более остро, поскольку  значительно возросла роль накопления, обработки и распространения  информации, в частности, в принятии стратегических реше-ний, увеличилось количество субъектов информационных отношений и потребителей информации. Информация играет все большую роль в процессе жизнедеятельности человека. Об этом свидетельствует хотя бы тот факт, что средства массовой информации часто называют четвертой властью (наряду с законодательной, исполнительной и судебной).
Формально информационная безопасность - это состояние защищенности основных сфер жизнедеятельности по отношению к опасным информационным воздействиям.
Если предельно  упростить ситуацию с опасными информационными  воздействиями, то можно привести пример с так называемым "25-м кадром" в телевизионных передачах и  фильмах: такой кадр человек не видит, однако мозг этот сигнал воспринимает, обрабатывает и дает соответствующие  команды. На поверку возможности  технологии 25-го кадра оказываются  несколько преувеличенными, и публикации в прессе походят во многом на "утку". Одна газета даже писала о компьютерном вирусе, действующем на основе принципа 25-го кадра, который убивает пользователя. Но не стоит также сбрасывать со счетов изобретательность человеческого  разума, который создал однажды атомную  бомбу. В Японии в конце 90-х годов  сразу несколько сотен детей  были госпитализированы с сильными го-ловными болями, предположительно вызванными просмотром популярного мультипликационного фильма: в нескольких его кадрах использовалось определенное цветовое сочетание, сопровождавшееся яркими вспышками.
Часто самые опасные  информационные воздействия называют информационным оружием.
Информационное оружие - средства уничтожения или хищения  информационных массивов, добывания  из них необходимой информации после  преодоления системы защиты, ограничения  или воспрещения доступа к  ним законных пользователей, дезорганизация работы технических средств, вывода из строя телекоммуникационных сетей, компьютерных систем, всех средств  высокотехнологического обеспечения  жизни общества и функционирования государства.
Информационная безопасность предполагает не только защиту от информационного  оружия, но и обеспечение конституционных  прав граждан на свободу сбора, распространения  и получения информации (естественно, с определенными ограничениями), на тайну корреспонденции и т.п. Это и многое другое должно быть урегулировано законодательством  о коммерческой, служебной и профессиональной тайне, об информации персонального  характера и др.
Основополагающим  нормативным актом об информационной безопасности является утвержденная Президентом 9 сентября 2000 года Доктрина информационной безопасности Российской Федерации. В  преамбуле отмечается, что доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления  обеспечения информационной безопасности Российской Федерации. Доктрина развивает  и детализирует Концепцию национальной безопасности России применительно  к информационной сфере.
Вышеприведенное определение  информационной безопасности можно  сопоставить с данным в Доктрине. Под информационной безопасностью Рос-сийской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Таким образом, информационная безопасность предполагает определенный баланс интересов личности, общества и государства. Такой баланс возможен только в случае, когда конкретный индивид и общество в целом ограждены от опасного информационного воздействия со стороны государства. Государство, в свою очередь, имеет право
К основным принципам  обеспечения информационной безопасности можно отнести:
- законность;
- соблюдение баланса интересов личности, общества, государства и их взаимная ответственность за обеспечение безопасности информации;
- взаимосвязь национальной и международной информационной безопасности;
- системность;
- обоснованность;
- комплексность;
- достаточность;
- своевременность;
- экономическая эффективность.
Законность реализуется  разработкой и внедрением совокупности организационных решений, законов, нормативов и правил, регламентирующих информационные отношения в обществе и общую направленность работ  по обеспечению информационной безопасности. Юридическую базу обеспечения информационной безопасности составляет система нормативных  и правовых документов, к которым  относятся:
- законодательные акты, регламентирующие информационную безопас-ность;
- нормативные акты, регламентирующие меры материальной и уголовной ответственности за нарушение требований обеспечения информационной безопасности;
- решения, относящиеся к технико-математическим аспектам защиты ин-формации;
- процессуальные нормы и правила практической реализации законов и других нормативных правовых актов в области информационной безопасности.
Соблюдение баланса  интересов личности, общества и государства  основывается на оценках нанесенного  ущерба в случае скрытия (засекречивания) информации или несанкционированного ее распространения. Соблюдение этого  баланса обеспечивается выбранной  стратегией и научно-обоснованной методикой  защиты.
Взаимная ответственность  личности, общества и государства  за со-хранность информации предусматривает ограничение прав собственности предприятий, организаций и граждан на информацию в связи с ее засекречиванием и компенсацию ущерба, наносимого собственнику информации. Реализуется четким выполнением нормативно-технических требований, прав и обязанностей по защите информации и контролем их выполнения.
Взаимосвязь национальной и международной информационной безопасности включает соблюдение международных  договоров и соглашений по обеспечению  информационной безопасности, заключенных  или признанных Российской Федерацией.
Системность требует  рассматривать проблему информационной без-опасности как подсистему национальной безопасности, с учетом возможных каналов утечки информации и несанкционированного доступа к ней, а также комплексного применения правовых, организационных и технических меро-приятий обеспечения информационной безопасности.
Обоснованность предполагает необходимость глубокого научного обоснования принимаемых решений  и проводимых мероприятий по обеспечению  информационной безопасности, всесторонней оценки их реали-зуемости.
Комплексность предусматривает  обеспечение информационной без-опасности от:
- нарушения физической целостности (искажения или уничтожения дан-ных);
- нарушения логической целостности (искажения или уничтожения связей между элементами данных);
- несанкционированной модификации (изменения содержания) информа-ции;
- несанкционированного получения информации (шпионажа);
- несанкционированного размножения (присваивания права собственности) информации.
Достаточность означает необходимость поиска эффективных  и надеж-ных мер обеспечения информационной безопасности без излишних затрат. Обеспечивается применением надежных методов и средств защиты. Способ-ствуют соблюдению баланса интересов государства и отдельных организаций (предприятий), граждан.
Своевременность предполагает заблаговременную, до начала проведения секретных работ, разработку мер  защиты и контроля. Несвоевременное  проведение мероприятий по обеспечению  информационной безопасности могут  не только снизить ее эффективность, но и привести к дополнительному  раскрытию защищаемой информации.
Экономическая эффективность  достигается минимизацией затрат для  обеспечения информационной безопасности с учетом ее целесообразности ис-ходя из ценности защищаемой информации. 
 
 
 
 
 

1.4. Законодательство  и регулирование отрасли
информационной безопасности 

В 2005-2006 годах правительство  плотно взялось за создание и совершенствование  законодательства в сфере информационных технологий и информационной безопасности.
Наряду с повышенным вниманием, уделяемым вопросам национальной безопасности, наблюдается медленная, но уверенная тенденция либерализации  отношений с Западом.
Не первый год  эксперты говорят о росте комплексности  на рынке информационной безопасности. Продукты информационной безопасности усложняются функционально и  врастают в интегрированные решения, сами разработчики и поставщики ИБ постепенно переходят к системной  интеграции, естественным путем, при  этом вытесняя с рынка более слабые компании. Крупные игроки успешно  растут, приводя на рынок зарубежных поставщиков и беря на себя все  больше направлений. Продолжают работать давнишние и опытные поставщики отечественных решений, разнокалиберные  дистрибьюторы западных фирм и др. На все эти процессы естественного  рыночного отбора влияет, так или  иначе, «высшая сила» российского  рынка информационной безопасности — государство.
Обязательным выводом  множества отчетов конца 2005 —  начала 2006 года о состоянии рынка  информационных технологий в России было подчеркивание роли госсектора и его динамично увеличивающихся  расходов на информатизацию, в составе  которых в некотором количестве присутствуют и затраты на защиту данных в информационных системах.
Доля госзаказов на рынке информационных технологий, по оценкам аналитиков, составляет около 20%, в сфере информационной безопасности она превышает 50%. [33]
Оснащение информационными  технологиями российского госсектора в 2005-2006 годах стало во многом политическим вопросом. Уже реализуется немало масштабных государственных проектов, среди которых перевооружение информационными  технологиями силовых ведомств, Федерального казначейства, ФТС и ФНС; проект создания электронных «биопаспортов» и госпрограммы ГАС «Правосудие», ГАС «Выборы» и  многое другое.
Согласно проекту  «Электронное правительство» («Концепции использования информационных технологий в деятельности федеральных органов  государственной власти») к 2010 году системы электронного документооборота будут внедрены во всех федеральных  органах власти, электронными станут более 70% всех документов, автоматизацией аналитики и операций с ними займутся корпоративно-ведомственные порталы, а ведомственные информационные системы обретут всеобщую совместимость.
Роль информационной безопасности во всем этом очевидна: разграничение  многоуровневого доступа разнообразных  пользователей, аутентификация и сохранение целостности данных с помощью  электронной цифровой подписи, защита центральных хранилищ данных и каналов  межведомственной связи и т.д. —  и все это, разумеется, с помощью  сертифицированных средств защиты, что является обязательным для любых  государственных учреждений.
Построение «электронного  правительства» должно быть обеспечено правовой основой. Отчасти на это  повлияло и стремление России в ближайшее  время вступить в ВТО с его  уровнем информационного развития — то есть войти в общее поле с другими государствами, в котором  на нас будут распространяться некоторые  общие нормы информационного  обмена и безопасности информации.
Переданные в сентябре 2005 в Госдуму проекты ФЗ «О ратификации  конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»  и «О персональных данных» вызвали  полемику не только среди экспертов, но и среди известных правозащитников  и общественных организаций, а также  Русской Право-славной церкви. И это еще одна особенность последнего времени. Можно сказать, что впервые проблемами информационной безопасности озаботилось все общество, потому что они коснулись и еще больше могут коснуться всех и каждого в самом ближайшем будущем.
Проблема использования  персональных данных и ограничения  доступа к ним стала темой  публицистики не только специальных, но и «народных» СМИ: об урезании свободы  интернета, персонификации при предоставлении ранее анонимных интернет-услуг  и услуг связи, негласном просмотре  личной информации и переписки госорганами  или, напротив, криминальными структурами, незаконном раскрытии баз данных государственных организаций и  учреждений — и, в целом, нарушении  неприкосновенности частной жизни. Закон «О персональных данных» для решения этой проблемы, с одной стороны, и для всей отрасли информационной безопасности с другой стал неким поворотным моментом.
С 1 января 2007 года в  России вступил в силу ГОСТ Р ИСО/МЭК 17799 «Информационные технологии. Методы безопасности. Руководство по управлению безопасностью информации» (основа — ISO 17799) и ожидается принятие ГОСТ Р ИСО/МЭК 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования» (основа — ISO 27001, ранее BS 7799:2). О необходимости принятия этих стандартов официальные регулирующие органы РФ заговорили еще в 2004 году, отмеченном общей либерализацией рынка информационной безопасности и принятием российских «Общих критериев».
Интерес к получению  сертификатов соответствия этим международным  стандартам уже демонстрируют российские компании — прежде всего банки, кредитно-финансовые организации и предприятия, активно  работающие на зарубежных рынках. Ряд  ведущих компаний начали работу по построению систем управления информационной безопасностью в соответствии с ISO 17799 и принятию корпоративных стандартов на его базе. Для участников рынка  информационной безопасности появление  новых требований к организации  безопасных информационных систем также  выгодно: появятся заказы на системы, соответствующие  стандартам, и на услуги аудита существующих систем. Опыт внедрения таких проектов можно будет использовать в рекламе  так же, как сейчас используются упоминания об имеющихся лицензиях  и сертификатах ФСБ и ФСТЭКа.
В ближайшей перспективе  — пополнение информационного права  РФ новыми законами «Об электронной  подписи», «Об электронном документе», «О доступе к информации». Закон  «Об электронной цифровой подписи» существует с 2002 года, и сейчас обсуждается  уже 3-я его редакция. Этот нормативный  акт должен был создать правовую базу для повсеместного использования  электронной подписи при обмене информацией в электронном виде, но применение его на практике никак  не достигнет совершенства. Так, 2-я  редакция закона оставила открытыми  юридические проблемы работы Удостоверяющих Центров(УЦ) и использования сертификатов открытых ключей, нет процедур проверки электронной цифровой подписи при судебных разбирательствах спорных случаев. Однако за время существования закона появились «корневой» и ряд простых государственных УЦ, а многочисленные корпоративные УЦ успешно работают во внутренних системах электронного документооборота компаний.
В своей 3-й редакции закон «Об электронной подписи» вобрал в себя регулирование использования  любых аналогов собственноручной подписи (не только цифровых) и предусматривает  разнообразные виды самой электронной  подписи — в порядке усложнения и надежности: подпись для простого указания личности подписавшего, подпись  для подтверждения целостности  документа, подпись с сертификатом аккредитованного УЦ. Новый закон  по-прежнему относится к гражданско-правовым отношениям и не касается государственных  систем обмена данными (налоговой и  бухгалтерской отчетности, государственной  регистрации и нотариальных операций).
Сертификация и  лицензирование на российском рынке  информационной безопасности по-прежнему обеспечивает жесткие условия существования  его участникам со стороны государства.
ФСБ занимается лицензированием  деятельности, связанной со средства-ми шифрования (проектированием, производством, распространением и обслуживанием шифровальных средств или защищенных с их помощью информационных и телекоммуникационных систем и комплексов) и их сертификацией для использования государственными предприятиями или для защиты информации высокой степени конфиденциальности.
Некоторые эксперты отмечают рост влияния ФСБ как  основного регулирующего органа в сфере информационной безопасности. Вобрав в себя ФАПСИ в ходе административной реформы, ФСБ унаследовала все полномочия этой организации в плане лицензирования и сертификации на рынке средств криптографии. Кроме того, национальную значимость прочат системе сертификации, которую ФСБ создает в рамках проекта Федеральной миграционной службы.
ФСТЭК ведает лицензированием  деятельности по защите информации и  сертификацией средств защиты информации вообще (в том числе средств  аутентификации, межсетевых экранов  и т.д.). Одно из подразделений ФСТЭК  отвечает за лицензирование ввоза/вывоза средств шифрования в Россию или  из нее.
Компании, постоянно  работающие в области информационной безопас-ности с российскими силовыми ведомствами, лицензирует также Министерст-во Обороны РФ.
Сертификация в  ФСБ и ФСТЭКе проводится с предоставлением  исход-ных кодов программных продуктов  на предмет проверки корректности реализации методов защиты и отсутствия различных уязвимостей, а также отсутствия недокументированных закладок.
ФСТЭК занимает позицию  сравнительной лояльности к международным  стандартам и к заграничным продуктам  информационной безопасности: его усилиями в России введен в действие ГОСТ ИСО\МЭК 15408-2002, и хотя еще нет взаимного  признания сертификатов по этому  стандарту, уже сделаны подвижки в сторону упрощения сертификации и лицензирования импортируемых  средств информационной безопасности.
Попытка еще более  ужесточить внутреннюю политику России в области информационной безопасности была сделана в ходе принятия закона «Об ин-формации, информационных технологиях и защите информации». В ноябре 2005 года Государственная Дума приняла законопроект в первом чтении — как обновленный вариант существовавшего ранее закона «Об информации, информатизации и защите информации», более согласованный внутренне и приведенный в соответствие с современным развитием информационных технологий и актуальными проблемами информационной безопасности, а также тенденциями законодательств в области информационных технологий в странах Евросоюза и США. А в марте 2006 года ко второму чтению закона были внесены радикальные поправки Гудкова-Хинштейна: смысл их заключался в том, чтобы в стратегических отраслях и на особо опасных (важных) объектах Российской Федерации не допускалось использование зарубежных программно-технических средств, в которых могут быть недокументированные функции, — это касается и программ с закрытыми исходными кодами, и оборудования, построенного на зарубежной элементной базе. Аргументация — угроза военной несостоятельности России и выведения из строя ее программно-аппаратных средств в случае международных конфликтов.
История вопроса  восходит к «Доктрине информационной безопасно-сти» 2000 года, где закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи была предусмотрена в списке потенциальных угроз, и избежать ее предлагалось переходом на отечественные аналоги, если они не уступают по характеристикам зарубежным образцам. В полном соответствии с доктриной, силовые ведомства России уже внедряют систему управления и связи нового поколения отечественной разработки, проект этот впечатляюще финансируется из бюджета Минобороны и должен завершиться к 2015 году.
Теоретический смысл  поправок Гудкова-Хинштейна в приложении к сфере информационной безопасности сводился к резкому отделению  отече-ственного рынка информационной безопасности, работающего с госструктурами, от посягательств на него со стороны внешних поставщиков решений информационной безопасности, ставя во главу угла разработчиков и производителей отечественных средств. Большой вес государственного потребления в области информационной безопасности делает число потребителей этого рынка не маленьким. Кроме того, к нему нужно прибавить все смежные с государственными структуры, которые правительство сочло бы стратегическими или важными — ВПК и ведомства безопасности, энергетические отрасли, транспортная система, финансовая система расчетов с государством во главе с Центробанком, и т.д. Плюс, сюда же отойдут все косвенно зависимые от государства предприятия, которые осуществляют с госорганизациями информационный обмен, а также многие, кто исторически или по опыту склонны считать государственные требования в информационной безопасности самыми правильными и принимать государственные сертификаты на средства защиты информации, как гарантию их качества и безопасности.
С другой стороны, наложение  теории на практику вызвало массу  сомнений и критики у экспертов, утверждавших, что создание отечественных  систем, столь же сложных, как используемые сегодня западные аналоги, требует  нереальных для страны денег и  времени, аналогичных затраченным  на это мировыми гигантами индустрии  информационных технологий, при этом эффективность и защищенность отечественных  систем должна быть реализована на таком же высоком уровне.
28 июня 2006 года законопроект  «Об информации, информационных  технологиях и о защите информации»  был принят Государственной Думой  во втором чтении, при этом  поправки Гудкова-Хинштейна были  отклонены. В частности, глава  Мининформсвязи РФ заявил, что  в критических системах оборонного  комплекса России применяются  только те программно-технические  средства, которые прошли доскональную  проверку в уполномоченных органах. 
28 января 2002 г. постановлением  Правительства Российской Федера-ции № 65 утверждена федеральная целевая программа "Электронная Россия (2002 - 2010 годы)".
Особенно важно, что  целью указанной программы является создание условий для развития демократии, повышение эффективности функционирования экономики, государственного управления и местного самоуправления за счет внедрения и массового распространения  информационных и коммуникационных технологий, обеспечения прав на свободный  поиск, получение, передачу, производство и распространение информации, расширения подготовки специалистов по информационным и коммуникационным технологиям  и квалифицированных пользователей.
На первом этапе  реализации указанной программы  основным направлением является совершенствование  правового регулирования отношений  в области развития современных  информационно-телекоммуникационных технологий. Это предполагает проведение анализа нормативной правовой базы с целью выявления ключевых проблем, препятствующих широкому внедрению  информационных и коммуникационных технологий, изучение уровня информатизации эко-номики, проведение полного учета государственных информационных ресурсов.
На втором (2003 - 2004 годы) и третьем (2005 - 2010 годы) этапах реализации программы будет сформирована единая информационная и телекоммуникационная инфраструктура для органов государственной  власти и органов местного самоуправления, бюджетных и некоммерческих организаций, общественных пунктов подключения  к общедоступным информационным системам.
В течение 2002 - 2010 годов  программой предусмотрена реализация опытного проекта по созданию на базе Федерального регистра нормативных правовых актов субъектов Российской Федерации единого регистра нормативных правовых актов Российской Федерации, а также обеспечение представления информации федеральных органов исполнительной власти в сети Интернет.
Реализация предусмотренных  программой мероприятий должна обеспечить распространение информационно-телекоммуникационных технологий в России, и выполнение указанных задач требует приоритетного  решения вопросов совершенствования  информационного законодательства.  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

2. Создание системы  информационной безопасности 

Сегодня многие российские организации решают задачи создания системы информационной безопасности, которая соответствовала бы «лучшим  практикам» и стандартам в области  информационной безопасности и отвечала современным требованиям защиты информации по параметрам конфиденциальности, целостности и доступности. Причем, этот вопрос важен не только для  «молодых» организаций, развивающих  свою работу с использованием современных  информационных технологий управления. Не менее, а скорее и более важной эта проблема является для предприятий  и организаций, существующих достаточно давно, которые приходят к необходимости  либо модернизировать существующую у них систему информационной безопасности, либо создавать систему  вновь.
С одной стороны, необходимость повышения эффективности  системы информационной безопасности связана с обострением проблем  защиты информации. Здесь можно упомянуть, во-первых, растущую потребность обеспечения  конфиденциальности данных. Российские организации, вслед за своими западными  коллегами, приходят к необходимости  учитывать так называемые репутационные  риски, ответственность по обеспечению  конфиденциальности данных своих клиентов, субподрядчиков, партнеров. Вместе с  тем, в большинстве российских организаций  организационная составляющая системы  информационной безопасности проработана  слабо. Например, данные как таковые  зачастую не классифицированы, то есть организация не имеет четкого  представления о том, какие у  нее есть типы данных с позиций  их конфиденциальности, критичности  для успешной работы. А это влечет за собой целый ряд проблем, начиная  от сложностей в обосновании адекватности мероприятий по защите информации и  заканчивая невозможностью при возникновении  инцидента использовать правовые методы их расследования.
Еще одна острая проблема в сфере защиты данных связана  с обеспечением непрерывности функционирования информационных систем. Для многих современных организаций бесперебойная  работа информационных систем, поддерживающих основной бизнес, и доступность данных становятся критичным вопросом. Сбои в работе систем ведут к прерыванию рабочих процессов и, соответственно, к недовольству клиентов, штрафам и другим потерям. А в обеспечении доступности данных немаловажную роль играют системы защиты, предотвращающие злонамеренные атаки на информационную систему (атаки типа «отказ в обслуживании» и др.).
С другой стороны, в  большинстве крупных организаций  имеет место унаследованная «лоскутная»  автоматизация. Развитие корпоративной  информационной системы (ИС) осуществляется довольно хаотично; немногие организации  опираются на продуманную стратегию  информационных технологий или планы  развития ИС. Обычно используется политика «латания дыр», новые сервисы информационных технологий добавляются без привязки к уже существующим и без учета их взаимосвязи. И точно так же отсутствует продуманная архитектура системы информационной безопасности, мало кто до настоящего времени определял, насколько система информационной безопасности полная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно – система информационной безопасности редко бывает обос-нованной экономически.
Построение эффективной  системы информационной безопасности должно опираться на анализ рисков (в том числе анализ возможного ущерба), который является основой  при выборе технических подсистем, их экономическом обосновании. Плюс комплекс организационных мер и  создание системы управления информационной безопасностью (системы управления информационными рисками). И, наконец, соблюдение выверенных на практике принципов  построения системы информационной безопасности, например, принципа «многоэшелонированной» защиты.
Таким образом, при  построении (модернизации) системы  информационной безопасности целесообразно  реализовывать цикл работ (рис. 1), включающий обязательный этап диагностического обследования с оценкой уязвимостей информационной системы и угроз, на основе которого производится проектирование системы  и ее внедрение.
 
Рис. 1. Полный цикл работ  по обеспечению информационной безопасности [34] 
 
 

2.1 Диагностическое  обследование(аудит) системы информационной
безопасности. 

Для построения эффективной  системы информационной безопасно-сти(ИБ), выбор и внедрение адекватных технических средств защиты должен предваряться анализом угроз, уязвимостей информационной системы и на их основе - анализом рисков информационной безопасности. Выбор программно-аппаратного обеспечения защиты и проектирование систем информационной безопасности основывается на результатах такого анализа с учетом экономической оценки соотношения «стоимость контрмер по снижению рисков / возможные потери компании от инцидентов информационной безопасности».
Таким образом, построение системы информационной безопасности организации целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы организации, а также  существующих средств контроля информационной безопасности. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует  ли уровень безопасности информационно-технологических  ресурсов организации выдвигаемым  требованиям, то есть, обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и  воздействия на информацию иногда целесообразно  выполнять тесты на про-никновение.
Существует несколько  видов обследования:
- предпроектное диагностическое обследование, которое выполняется при модернизации или построении системы информационной безопасности;
- аудит системы информационной безопасности (или системы управления информационной безопасностью) на соответствие требованиям внутренним стандартам организации или международным (национальным) стандартам.
При проведении диагностического обследования (аудита) системы ин-формационной безопасности последовательно выполняются следующие этапы работы:
-  Сбор данных и описание текущего состояния системы ИБ. Выработка (определение) критериев защищенности информационной системы;
-  Анализ соответствия системы ИБ выработанным критериям;
- Отчет о проведенном обследовании с рекомендациями по устранению вы-явленных недостатков. [34]
Каждый этап работ  имеет реальные, контролируемые результаты, что позволяет обеспечить эффективный  контроль проекта на всем его протяжении.
В процессе обследования и анализа системы информационной безопасности также идентифицируются «владельцы» ресурсов информационных технологий(включая автоматизированные системы и корпоративные данные) и лица, ответственные за целостность этих ресурсов. Устанавливаются требования к системе разделения прав доступа (пароли, разрешения), включая все правила доступа к информационной системе организации. Ресурсы информационных технологий классифицируются по степени важности/критичности.
Проверяются все  процедуры безопасности, в том  числе поддержка системы информационной безопасности, процесс расследования  нарушений информационной безопасности, организация системы резервного копирования, разграничение прав пользователей, процедуры удаленного доступа, защиты учетных записей и др. Определяются лица, ответственные за развитие и  поддержку системы информационной безопасности.
В ходе анализа и  моделирования возможных сценариев  атак на систему ИБ выявляются ситуации, которые могут привести к нарушению  нормального «течения» бизнес-процессов. Определяются возможные последствия  несоответствия системы информационной безопасности политике безопасности организации.
Если обследование выполняется сторонней организацией, то на всех стадиях проекта необходимо привлечение к работам персонала  организации-заказчика. Это гарантирует  учет основных требований, специфики  и интересов обследуемой организации.
Существенным преимуществом  привлечения к аудиту внешнего испол-нителя (компании-интегратора) является возможность использования накоп-ленного консультантом опыта при анализе каждого компонента системы ин-формационной безопасности на соответствие требованиям по обеспечению информационной безопасности, в том числе и с позиции «лучшей практики» для конкретной индустрии.
В результате руководителям  и заинтересованным менеджерам предоставляется детальный отчет с рекомендациями по изменению или дополнению существующей инфраструктуры системы информационной безопасности. Составляется список необходимых мероприятий по обеспечению информационной безопасности в соответствии с требованиями международных (ISO 17799, ISO 13335) или национальных стандартов (Стандарт ЦБ РФ, СТР-К, NIST SP800-14, BSI и др.), техническими требованиями поставщиков решений в области информационной безопасности (CISCO, Check Point и др.), рекомендациями NSA (National Security Agency). 

2.2. Проектирование  системы информационной безопасности 

Следующим этапом построения системы информационной безопасности является ее проектирование, включая  систему управления информационной безопасностью.
Задача проектирования системы информационной безопасности тесно связана с понятием архитектуры  системы. Построение архитектуры системы  информационной безопасности, как интегрированного решения, соблюдение баланса между  уровнем защиты и инвестициями в  систему обеспечивают ряд преимуществ: интеграция подсистем позволяет  снизить совокупную стои-мость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость  системы информационной безопасности, а следовательно, возможности отслеживания событий, связанных с информационной безопасностью.
Интегрированная архитектура  системы информационной безопасности
Высокая эффективность  системы информационной безопасности может быть достигнута, если все  ее компоненты представлены качественными  реше-ниями, функционируют как единый комплекс и имеют централизованное управление. Система безопасности должна строиться на основе анализа рисков, и стоимость ее внедрения и поддержки должна быть адекватной существующим угрозам, то есть экономически обоснованной.
Интегрированная архитектура  систем информационной безопасности включает в себя набор следующих подсистем:
- подсистему защиты периметра сети и межсетевых взаимодействий (межсетевые экраны и т.п.);
- подсистему защиты серверов сети;
- средства защиты рабочих станций;
- подсистему мониторинга и аудита безопасности;
- средства обнаружения атак и автоматического реагирования;
- подсистему комплексной антивирусной защиты;
- средства анализа защищенности и управления политикой безопасности;
- средства контроля целостности данных;
- средства криптографической защиты информации;
- инфраструктуру открытых ключей;
- подсистему резервного копирования и восстановления данных;
- автоматизированную систему установки обновлений программного обес-печения;
- средства управления безопасности;
- подсистему аутентификации и идентификации.
Необходимо еще  раз подчеркнуть, что архитектура  системы информационной безопасности включает в себя систему управления (процессы и процедуры по обеспечению  информационной безопасности) информационной безопасностью (СУИБ). Задачами СУИБ являются систематизация процессов обеспечения  информационной безопасности, расстановка  приоритетов компании в области  информационной безопасности, достижение адекватности системы информационной безопасности существующим рискам, достижение ее «прозрачности». Последнее особенно важно, так как позволяет четко  определить, как взаимосвязаны процессы и подсистемы информационной безопасности, кто за них отвечает, какие финансовые и людские ресурсы необходимы для их обеспечения и т.д. Создание СУИБ позволяет также обеспечить отслеживание изменений, вносимых в  систему информационной безопасности, отслеживать процессы выполнения политики безопасности, эффективно управлять  системой в критичных ситуациях.
В целом, процесс  управления безопасностью (Security Management) отвечает за планирование, исполнение, контроль и техническое обслуживание всей инфраструктуры безопасности. Организация  этого процесса усложняется тем  обстоятельством, что обеспечение  информационной безопасности компании связано не только с защитой информационных систем и бизнес-процессами, которые  поддерживаются этими информационными  системами. В организациях часто  существуют бизнес-процессы, не связанные  с информационными технологиями, но попадающие в сферу обеспечения  информационной безопасности, например, процессы кадровой службы по найму  персонала. 
 

Этапы работ по проектированию системы информационной безопасности
1. Разработка Концепции  обеспечения информационной безопасности. Определяются основные цели, задачи  и требования, а также общая  стратегия построения системы  информационной безопасности. Идентифицируются  кри-тичные информационные ресурсы. Вырабатываются требования к системе информационной безопасности и определяются базовые подходы к их реализации.
2. Создание / развитие  политики информационной безопасности.
3. Построение модели  системы управления информационной  безопасностью (на основе процессно-ролевой  модели).
4. Подготовка технического  задания на создание системы  информационной безопасности.
5. Создание модели  системы информационной безопасности.
6. Разработка техническо-рабочего  проекта (ТРП) создания системы  информационной безопасности и  архитектуры системы информационной  без-опасности. ТРП по созданию системы информационной безопасности включает следующие документы.
- Пояснительную записку, содержащую описание основных технических решений по созданию системы информационной безопасности и организационных мероприятий по подготовке системы информационной безопасности к эксплуатации.
- Обоснование выбранных компонентов системы информационной безопасности и определение мест их размещения. Описание разработанных профилей защиты.
- Спецификацию на комплекс технических средств системы информацион-ной безопасности.
- Спецификацию на комплекс программных средств системы информационной безопасности.
- Определение настроек и режима функционирования компонентов системы информационной безопасности.
7. Тестирование на  стенде спроектированной системы  информационной безопасности.
8. Разработка организационно-распорядительных  документов системы управления  информационной безопасностью (политик  по обеспечению информационной  безопасности, процедур, регламентов  и др.).
9. Разработка рабочего  проекта (включая документацию  на используе-мые средства защиты и порядок администрирования, план ввода системы информационной безопасности  в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы. 

2.3. Внедрение системы  информационной безопасности 

После проведения полного  тестирования спроектированной системы  информационной безопасности, можно  приступать к ее внедрению. Работы по внедрению системы включают выполнение следующих задач:
- поставку программных и технических средств защиты информации;
- инсталляцию программных компонентов;
- настройку всех компонентов и подсистем;
- проведение приемо-сдаточных испытаний;
- внедрение системы управления информационной безопасностью;
- обучение пользователей;
- ввод системы информационной эксплуатации в промышленную эксплуатацию.
Для эффективной  дальнейшей эксплуатации системы необходимо обес-печить ее поддержку и сопровождение (собственными силами организации или силами привлекаемых специалистов). 

2.4. Выбор исполнителя  работ 

При проведении работ  по созданию или модернизации системы  инфор-мационной безопасности организация часто обращается за помощью к внеш-ним консультантам. Как выбрать надежного партнера, которому можно было бы доверить одну из самых критичных областей функционирования организации?
В первую очередь, компания-консультант  должна иметь хорошую репутацию  на рынке. Во-вторых, необходимо убедиться  в обширном опыте работы в сфере  информационной безопасности как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для построения тестовых стендов, проведения работ по проектированию и моделированию системы информационной безопасности. Кроме того, дополнительные выгоды принесет наличие у исполнителя высоких партнерских статусов с поставщиками программно-аппаратных комплексов (это также является определенной гарантией опыта компании-консультанта). И, главное, - необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме. Услуги службы технической поддержки исполнителя могут включать и аутсорсинг, и удален-ный мониторинг состояния средств защиты информации, и обслуживание поддерживаемых средств. Исполнители могут выполнять работы по сопровождению продуктов - плановой замене их версий, консультированию пользователей и др. То есть обеспечивается технологическая основа для того, чтобы система информационной безопасности «жила» и развивалась. 
 
 
 
 
 
 
 

3. Политика информационной  безопасности 

Под политикой информационной безопасности понимается совокуп-ность документированных управленческих решений, определяющих и ограничивающих виды деятельности объектов и участников, системы информационной безопасности, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации. Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности.
Администратор безопасности - должностное лицо, устанавливающее  политику безопасности и идентифицирующее объекты и участников, к кото-рым применяется эта политика.
Домен безопасности - совокупность объектов и участников информационного процесса, подчиняющихся  единой политике безопасности и единой администрации безопасности.
Различают следующие  аспекты политик информационной безопасно-сти:
Идентификационная политика безопасности - политика безопасно-сти, основанная на идентифицирующих свойствах и/или атрибутах:
- пользователей или объектов, действующих от имени пользователей;
- ресурсов/объектов, к которым осуществляется доступ.
Инструкционная политика безопасности - политика безопасности, основанная на общих правилах, обязательных для всех пользователей. Обычно эти  правила основываются на сравнении  чувствительности ресурсов, к которым  требуется доступ, и наличии соответствующих  атрибутов у пользователей или  объектов, выступающих от имени пользователей.
Корпоративная политика безопасности - совокупность законов, пра-вил и мероприятий, регулирующих управление, защиту и распределение информационных ресурсов в пользовательской среде.
Системная политика безопасности - совокупность законов, правил и практических методов, регулирующих порядок управления, защиты и распределения  чувствительной информации и других ресурсов в конкретной автоматизированной системе.
Техническая политика безопасности - совокупность законов, правил и практических методов, регулирующих:
- обработку чувствительной  информации;
- использование ресурсов  аппаратным и программным обеспечением  информационной системы.
Политика информационной безопасности является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд  ведомственных стандартов и международные  стандарты в этой области (ISO 17799).
В России к нормативным  документам, определяющим содержание политики информационной безопасности, относится ряд руководящих документов  Гостехкомиссии. В отечественных  и международных стандартах используются сходная методология, однако ряд  вопросов в отечественных руководящих  документах не рассмотрен или рассмотрен менее подробно. Таким образом, при  разработке политики информационной безопасности целесообразно использовать передовые  зарубежные стандарты, позволяющие  разработать более качественные документы, полностью соответствующие  отечественным руководящим документам.
Основные этапы  разработки политики информационной безопасности:
- Разработка концепции политики информационной безопасности и ее увя-зывание с общей концепцией безопасности учреждения:
- Описание границ системы и построение модели информационной системы с позиции безопасности:
- Анализ рисков: формализация системы приоритетов организации в области информационной безопасности, выявление существующих рис-ков и оценка их параметров
3.1. Основные положения  политики информационной безопасности
Стандарт ISO 17799 является обобщением опыта обеспечения информационной безопасности зарубежными предприятиями  и организациями по стандартизации. В нем нет детализированных требований по информационной безопасности, однако описан общий подход к организационным  и техническим аспектам защиты информации, которые позволяют сформировать адекватную политику информационной безопасности. Реализация рекомендаций по организационным  вопросам защиты информации позволяет  сделать политику информационной безопасности комплексной, что в сочетании  с решением технических вопросов защиты информации в соответствии с  Российскими нормативно-руководящими документами, обеспечивает относительно высокий уровень безопасности.
В стандарте ISO 17799 даны рекомендации по классификации объектов защиты и указаны аспекты информационной безопасности, которые должны быть определены в политике безопасности, разрабатываемой для конкретной организации:
- определение информационной безопасности и перечень составляющих ее элементов, положение о целях управления и принципах информационной безопасности
- разъяснение основных положений политики информационной безопасно-сти, принципов ее построения и стандартов в области защиты информации, соответствие политики безопасности требованиям российского и международного законодательства:
- порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе
- организация защиты от компьютерных вирусов и других разрушающих программ средств
- обеспечение непрерывности функционирования информационной систе-мы
- последствия нарушения политики информационной безопасности
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.