Конференция: ОБЕСПЕЧЕНИЕ, ФОРМИРОВАНИЯ ЭФФЕКТИВНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Преподавателя общепрофессиональных дисциплин и профессиональных модулей
Специальность «Экономика и бухгалтерский учет»
Областного государственного бюджетного профессионального образовательного учреждения
«Ульяновский строительный колледж»
Конференция на тему: ОБЕСПЕЧЕНИЕ, ФОРМИРОВАНИЯ ЭФФЕКТИВНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЙ НА ПРИМЕРЕ:
ООО «Ульяновск мебельная фабрика»
28829001365250015367013589000
Выполнила:
Кривошеева Е.Н
Ульяновск, 2016
11874564516000ОБЕСПЕЧЕНИЕ, ФОРМИРОВАНИЯ ЭФФЕКТИВНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЙ НА ПРИМЕРЕ: ООО «Ульяновск мебельная фабрика»
1071245169418000 Сегодня многие российские промышленный предприятия решат задачи создания системы информационной безопасности, которая соответствовала бы «лучшим практикам» и стандартам в области информационной безопасности (ИБ) и отвечала современным требованиям защиты информации, но параметрам конфиденциальности, целостности и доступности.
58420102997000 ООО «Ульяновск мебель» - одно из крупнейших и динамично развивающихся предприятий в Поволжье. Более чем 90-летний опыт производства мебели, а также многочисленные награды, полученные на престижных международных и региональных выставках, гарантируют высокое качество продукции. ООО «Ульяновск мебель» занимается как производством, так и оптовым и розничным продажами своей продукции.
Этап Диагностическое обследование/аудит системы ИБ.
Для построения эффективной системы информационной безопасности, выбор и внедрение адекватных технических средств защиты должен предваряться анализом угроз, уязвимостей информационной системы и на их -5969028448000основе – анализом рисков информационной безопасности. Построение системы ИБ компании целесообразно начинать с комплексного диагностического обследования основных бизнес- процессов и информационной системы компании, а также существующих средств контроля ИБ. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно –технологических ресурсов обеспечиваются ли необходимые параметры конфиденциальность, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводиться анализ рисков. Существует несколько видов обследования:
предпроектное диагностическое обследование обследовать, которое выполняется при модернизации или построении системы ИБ;
аудит системы ИБ( или системы управление ИБ) на соответствие требованиям внутрикорпоративно стандартам или международным/национальным стандартам. Примерно может служить сертификационный аудит системы управления ИБ по ISO27001;
специальные виды обследования, например, при расследовании компьютерных инцидентов.
В процессе обследование и анализ системы информационной безопасности также идентифицируются «владельцы» информационных активов (включая автоматизированные системы и корпоративные данные) и лица, ответственные за целостность этих ресурсов. Устанавливаются требования к системе разделение прав доступа (пароли, разрешение), включая все правила доступа к информационной системе промышленного предприятия. Информационные активы классифицируются по степени важности /критичности.Проверяются все процедуры безопасности, в том числе поддержка системы ИБ, процесс расследования нарушений ИБ, организация системы резервного копирования, разграничения прав пользователей, процедуры удаленного доступа, защиты учетных записей и др. Определяются лица, ответственные за развитие и поддержку системы ИБ.В ходе анализа и моделирования возможных сценариев атак на систему ИБ выявляются ситуации, которые могут привести к нарушению нормального «течения» бизнес- процессов.
Если обследование выполняется сторонней организацией, то на всех стадиях проекта необходимо привлечение к работам персонала компании – заказчика. Это гарантирует учет основных требований, специфики и интересов обследуемого предприятия.
Существенным преимуществом привлечения к аудиту внешнего исполнителя (компании- интегратора) является возможность использования накопленного консультантом опыта при анализе каждого компонента системы ИБ на соответствие требованием но обеспечению информационной безопасности, в том числе и позиции «лучшей практики»для конкретной индустрии. Однако в таком случае о системе защиты, применяемых мерах и средствах, слабых и сильных сторонах становиться известно третьей стороне.
Это уже является существенным недостатком .По завершении обследования руководителям и заинтересованным менеджерам представляется детальный отчет с рекомендациями по изменению или дополнению существующей инфраструктуры системы ИБ.
2. этап Проектирование системы ИБ. в «Ульяновскмебель»Следующим этапом построение системы ИБ является ее проектирование, включая систему ИБ
-7175537592000Задача проектирования системы ИБ тесно связаны с понятием архитектуры системы ИБ. Построение архитектуры системы ИБ, как интегрированного решения, соблюдения баланса между уровнем защиты инвестициями в систему ИБ обеспечивает ряд преимуществ: интеграция под систем позволяет снизить совокупность стоимость владения, повысить коэффициент возврата инвестиции при внедрении и улучшает управляемость системы ИБ, а, следовательно, возможности отслеживания событий, связанных с ИБ.
Архитектура системы ИБ включает в себя систему управления информационной безопасности.
В целом, процесс управления безопасности отвечает за планирование, исполнение, контроль и технические обслуживание всей инфраструктуры безопасности. Организация этого процесса усложняется тем обстоятельством, что обеспечение информационной безопасности промышленного предприятия связано не только с защитой информационных систем и бизнес-процессами, которые поддерживаются этими информационными системами. У предприятия часто существует бизнес-процесса, не связанные с ИТ, но попадающие в сферу обеспечения ИБ, например, процессы кадровой службы по найму персонала.
Этапы работ по проектированию системы ИБ:
Разработка политики обеспечение информационной безопасности.
Создание/развитие политики ИБ.
Построение модели системы управления ИБ.
Подготовка технического задания на создание системы информационной безопасности.
Создание модели системы ИБ.
Разработка техническо-рабочего проекта создания системы ИБ.
Тестирование спроектированной системы ИБ.
Разработка организационно-распорядительных документов системы управления ИБ (процедуры, регламенты и др.).
Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.
3) этап Внедрение системы ИБ в «Ульяновск мебель».
47625698500После проведения полного тестирования спроектированной системы ИБ, можно приступать к ее внедрению. Работы по внедрению системы включают выполнение следующих задач:
-поставку программных и технических средств защиты информации;
-инсталляцию программных компонентов;
-настройку всех компонентов и подсистем;
-проведение приёмо-сдаточных испытаний;
-внедрение системы управления ИБ;
-обучение пользователей;
-ввод системы ИБ в промышленную эксплуатацию.
Для эффективной дальнейшей эксплуатации системы необходимо обеспечить ее поддержку и сопровождение (собственными силами предприятия или силами привлекаемых специалистов).
4) этап Сопровождения и обслуживание. В «Ульяновск мебель»
0254000При проведении работ по созданию или модернизации системы информационной безопасности промышленного предприятия часто обращаются за помощью к внешним консультантами. Однако вопрос аутсорсинга работ по созданию и сопровождению системы ИБ неоднозначный. Отдавать на аутсорсинг процессы обеспечения безопасности целесообразно только в том случае, если эта функция не является базовым компонентом основного бизнеса. Аспекты информационной безопасности (особенно касательно противодействия внутренним угрозам) настолько интимны, что, однажды доверив сторонней компании исполнение определенных процессов, можно доверив сторонней компании исполнение определенных процессов, можно стать её заложником, потому что сменить аутсорсера будет мешать особая ценность предоставляемой ему информации.
В то же время серьезным аргументом в пользу привлечения аутсорсера служит его объективность. Можно быть более или менее уверенным, что он будет непредвзято отслеживать нарушителей и сообщать обо всех действиях, невзирая на их статус внутри предприятия.
Библиографический список
Акофф Р. Планирование будущего корпорации: пер. с англ. – М.: Сирин, 2002.
Ансофф И. Новая корпоративная стратегия. – СПб.: Питер Ком, 1999.
Друкер П. Эффективное управление. Экономические задачи и оптимальные решения: пер. с анг. М.: ФАИР-ПРЕСС,1998.
Евстигнеева Т.В. Маркетинговое консультирование: учебное пособие/ Т.В. Евстигнеев, С.А. Рыбченко. – Ульяновск: УлГТУ, 2007.- 173 с.
Елиферов В.Г., Репин В.В. Бизнес – процессы: Регламентация и управление: Учебник.-М.: ИНФРА-М, 2005. – 319 с. – (Учебник для программы МВА).