Разработка политики безопасности в НОУ "ИНЭП"

Обеспечение информационной безопасности является одной из наиболее актуальных проблем современного общества. В частности, защита персональных данных касается каждого из нас. Безопасность в сфере обеспечения информационной безопасности определяется комплексом системных мероприятий. Компьютерная безопасность обладает разнообразными аспектами, среди которых значение имеют все аспекты. Невозможно отказаться от определенной меры, поскольку иначе система не будет функционировать. В отличие от информации, которая хранится и передается на бумажных носителях и защита которой связана с обеспечением физической безопасности, обеспечение безопасности информации на электронных носителях представляет сложную и масштабную задачу, включающую целый комплекс мер защиты. В связи с ростом зависимости организаций от информационных систем и сервисов происходит резкое увеличение рисков, связанных с недостаточным уровнем обеспечения безопасности получения, хранения и переработки информации. Сложность информационных систем и необходимость их интеграции в общедоступные приводит к невозможности или значительному затруднению осуществления контроля над обеспечением безопасности информации и ресурсов. Возникает острая необходимость в стандартизации систем и процессов информационной безопасности (ИБ). На сегодняшний день в НОУ «ИНЭП» отсутствует руководящий документ верхнего уровня – политика информационной безопасности, поэтому организация подвергается серьезному риску. Реализация данной политики позволит значительно снизить вероятность возникновения ситуаций по неправомерному доступу к информации ограниченного распространения организации. Методологической основой исследования являются анализ нормативно–правовых стандартов обеспечения информационной безопасности, в частности анализ требований стандарта ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования», научные труды отечественных и зарубежных ученых в области организации защиты информации ограниченного распространения. В качестве методов исследования применялись общие и частные методы, включая изучение научной литературы по теме исследования, нормативно-правовой базы, аналитический и сравнительный методы. Актуальность темы исследования связана с организацией обеспечения режима информационной безопасности соответствующего опубликованному 25 сентября 2013 года обновленному стандарту ISO/IEC 27001:2013 «Системы Менеджмента Информационной Безопасности. Требования» (Information security management systems — Requirements). Новизна темы обуславливается комплексным подходом к разработке политики информационной безопасности, соответствующей требованиям стандарта ISO/IEC 27001:2013. Теоретическая значимость темы исследования направлена на минимизацию угроз системе защиты информации, позволяющую если полностью не исключить, то свести к минимуму последствия дестабилизирующих факторов. Практическая значимость темы исследования заключается в разработке политики информационной безопасности, которая может быть применена в коммерческих или государственных учреждениях. Целью дипломного проекта является непосредственная разработка регламентирующих документов существующей системы обеспечения информационной безопасности НОУ «ИНЭП». Для достижения поставленной цели необходимо первоначально решить следующие задачи: • Анализ законодательства по вопросам защиты информации; • Анализ деятельности организации; • Анализ процессов защиты информации; • Построение модели угроз и потенциального нарушителя системы защиты информации; • Обзор существующих и планируемых средств обеспечения информационной безопасности; • Разработка комплекса мероприятий по защите информации; • Оценка рисков; • Обоснование экономической эффективности системы защиты информации. Объектом исследования является негосударственное образовательное учреждение «Институт экономики и предпринимательства» и его деятельность по обеспечению режима информационной безопасности данных сотрудников и студентов. Предметом исследования является разработка политики информационной безопасности негосударственного образовательного учреждения «Институт экономики и предпринимательства». Главной функцией разрабатываемой политики является встраивание политики информационной безопасности в существующую в организации комплексную систему информационной безопасности.

Информация является одним из наиболее критичных ресурсов НОУ «ИНЭП», необходимым для реализации задач управления, выработки и принятия управленческих решений. Система информационной безопасности – это функционирующая как единое целое совокупность мероприятий и средств, устремленная на ликвидацию внутренних и внешних угроз жизненно важным интересам субъекта безопасности, создание, поддержание и развитие состояния защищенности его информационной среды. Институт экономики и предпринимательства был образован в 1994 году и прошел все этапы становления современной России, имеет высокие рейтинги Министерства образования и науки РФ и общественных организаций, является лауреатом конкурса в номинации «Сто лучших вузов России», занял второе место в рейтинге негосударственных вузов г. Москвы по результатам конкурса, проведенного Государственной Думой. Институт является организатором Ежегодных межвузовских конференций по здоровому образу жизни, проблемам в области экономики и менеджмента. В настоящее время в институте обучается более 2500 студентов по 7 специальностям экономического и юридического профилей, 3 направлениям бакалавриата, 6 научным специальностям послевузовского профессионального образования в области экономики и юриспруденции, успешно реализуются программы дополнительного образования: подготовка к поступлению в вуз, профессиональная переподготовка и повышение квалификации по основным образовательным программам. В ходе выполнения дипломного проекта была проведена: – оценка уязвимости активов; – оценка угроз активам; – оценка существующих и планируемых средств защиты; – оценки рисков активам организации; – выполнен анализ основных задач по обеспечению безопасности информационных активов. Система защиты информации должна представлять собой комплекс программно–технических и организационных решений, обеспечивающих выполнение целевых функций. В систему защиты информации должны быть включены следующие функциональные подсистемы: – управление доступом; – регистрация и учет; – обеспечение целостности; – средства антивирусной защиты; – средства обнаружения вторжений; – средства обеспечения межсетевой безопасности; – анализ защищенности. Комплекс технологической документации по обеспечению режима информационной безопасности в НОУ «ИНЭП» включает: – Политику информационной безопасности; – Положение «О защите персональных данных»; – Инструкцию по порядку доступа пользователей в компьютерную сеть; – Инструкцию о порядке действий в нештатных ситуациях; – Инструкцию по порядку резервного копирования и архивирования информации; – Инструкцию по обеспечению работоспособности ЛBC; – Инструкцию по организации антивирусной защиты; – Инструкцию по организации парольной защиты; – Инструкцию по регламентации работы администратора и начальника отдела организации. Выполнение работниками организации требований данных инструкций позволяет избежать сбоев в обработке информации средствами вычислительной техники. Требования настоящих документов обязательны для выполнения всеми должностными лицами НОУ «ИНЭП». Рассмотрен перечень аппаратно–программных средств обеспечения безопасности информации и проведено экономическое обоснование применимости данных средств. Внедрение разработанных мер обеспечения безопасности позволит повысить общий уровень защищенности информационной системы компании и всей информации, нуждающейся в защите. Таким образом, задание на дипломную работу выполнено в полном объеме, поставленные цели достигнуты.

1. МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 27001:2013 Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Требования 2. Методы оценки несоответствия средств защиты информации / под ред. А. С. Маркова. – М.: Радио и связь, 2012. – 192 с. 3. Бузов Г.А. Защита информации ограниченного доступа от утечки по техническим каналам – М.: Радио и связь, 2014. – 594 с. 4. Бакланов В.В. Введение в информационную безопасность. Направления информационной защиты – Екатеринбург: УрФУ, 2012. – 235 с. 5. Михайлов Ю.Б. Научно-методические основы обеспечения безопасности защищаемых объектов – М.: Радио и связь, 2015. – 322 с. 6. Осмоловский С.А. Универсальная защита информации. Прецизионная теория информации – М: Издательский дом фонда «Сталинград», 2014. – 266 с. 7. Мельников Д.А. Организация и обеспечение безопасности информационно-технологических сетей и систем. Учебник – М: КДУ, 2014. – 598 с. 8. Радько Н.М., Скобелев И.О. Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа – М: РадиоСофт, 2010. – 232 с. 9. Домарев В.В. Безопасность информационных технологий. Системный подход – К.:ООО Диасофт, 2013. – 992 с. 10. Казарин О.В. Безопасность программного обеспечения компьютерных систем – М.: МГУЛ, 2013. – 212 с. 11. Шаньгин В. Информационная безопасность и защита информации – М.: ДМК Пресс, 2014. – 702 с. 12. Крайнова О. Управление предприятиями в сфере информационных технологий – М.: ДМК Пресс, 2013. – 144 с. 13. Лапонина О. Р. Межсетевое экранирование. – М.: Бином, 2012. –354 с. 14. Гришина Н. Информационная безопасность предприятия. Учебное пособие – М.: Форум, 2015. – 240 с. 15. Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. Управление рисками информационной безопасности. Учебное пособие для вузов. -2-е изд., испр. - М.: Горячая линия-Телеком, 2014. - 130 с. 16. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов – М.: Горячая линия–Телеком, 2012. – 280 с. 17. Девятин П. Модели безопасности компьютерных систем. Управление доступом и информационными потоками – М.: Горячая линия–Телеком, 2013.– 338 с. 18. Селезнева Н.Н., Ионова А.Ф. Финансовый анализ. Управление финансами: Учеб.пособие для вузов. – 2–е изд., перераб. и доп. – М.: ЮНИТИ–ДАНА, 2013. – 639 с. 19. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности – СПб: Питер, 2014.– 320 с. 20. Торокин А. А. Инженерно–техническая защита информации – М: Гелиос АРВ, 2012. – 449 c. 21. Бирюков А. В. Информационная безопасность. Защита и нападение – М.: ДМК Пресс, 2012. – 320 с. 22. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. – М.: Юниор, 2012. – 474 с. 23. Щеглов А.Ю., Защита компьютерной информации от несанкционированного доступа. – М.: Наука и техника, 2013. – 384 с. 24. Яковлев В.В., Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях банковского сектора. – М., 2014. – 327 с. 25. Ярочкин В.И. Информационная безопасность. Учебное пособие. – М.: Международные отношения, 2013. – 400 с.