Дипломная работа на тему: Стратегия обеспечения информационной безопасности предприятия

Введение

Деятельность любой организации в наше время связана с получением и передачей информации [1]. Информация является сейчас стратегически важным товаром. Потеря информационных ресурсов или завладение секретной информацией конкурентами, как правило, наносит предприятию значительный ущерб и даже может привести к банкротству [1].

За последние 20 лет информационные технологии (ИТ) проникли во все сферы управления и ведения бизнеса [3]. Сам же бизнес из реального мира, давно переходит в мир виртуальный, а поэтому весьма зависим от вирусных, хакерских и прочих атак. По данным Института Компьютерной Безопасности общий ущерб, который нанесли компьютерные вирусы за последние 5 лет, оценивается как минимум в 54 млрд. долларов, а по данным сайта SecurityLab.ru только за последние десять дней февраля (2004 год) вирусы "съели" астрономическую сумму - около 50 миллиардов долларов. После начала эпидемии MyDoom Министерство национальной безопасности США вообще прировняла вирусные эпидемии к терроризму. Разработчики ПО быстро реагируют на атаки, но постфактум, а не заранее. Пока не существует средств защиты от глобальных эпидемий вирусов.

Первые преступления с использованием компьютерной техники появились в России в 1991 г., когда были похищены 125,5 тыс. долларов США во Внешэкономбанке СССР. В 2003 году в России было возбуждено 1602 уголовных дела по ст.272 ("Неправомерный доступ к компьютерной информации") и 165 ("Причинение имущественного ущерба путем обмана и злоупотребления доверием") УК РФ [8].

С 1999 года появилась ещё одна проблема информационной безопасности (ИБ) - Спам. Это анонимная массовая непрошеная рассылка. Сейчас около 30% всех электронных писем являются спамом. Наводнение спама приводит к ежегодным убыткам, оцененным до 20 миллиардов долларов. Спам в пределах одной компании, приводит к убыткам от 600 до 1000 долларов ежегодно, из расчета на одного пользователя.[2] "Спам - это архиважная проблема, грозящая свести на нет большую часть преимуществ электронной почты", - пишет Билл Гейтс в одном из своих регулярных е-mail-обращений к заказчикам.

Также широко распространяется сейчас промышленный шпионаж - устройство стоимостью всего 10$, в случае его удачного размещения, может привести фирму к банкротству. В последнее время участились взломы компьютерных сетей (например несанкционированный доступ (НСД) к информации, обрабатываемой на ПЭВМ) [1].

В наше время злоумышленники могут получить доступ не только к открытой информации, но и к информации, содержащей государственную (в 2003 году ФСБ пресечено более 900 попыток проникновения в информационные ресурсы органов государственной власти России [5]) и коммерческую тайну.

Из всего вышесказанного можно сделать вывод, что в сегодняшней ситуации предприятия должны иметь стратегию ИБ, которая должна основываться на комплексном подходе, осуществлять контроль всех параметров ИБ и иметь подготовку к будущему.

Цель данной работы рассмотреть стратегию ИБ предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности.

Задачи - определить факторы эффективности ПБ, описать схему разработки и внедрения ПБ, описать жизненный цикл ПБ, раскрыть вопрос создания благоприятной среды, в которой будет внедрятся ПБ.

Оглавление

- Введение

- Что такое информационная безопасность и её цели

- Разработка и внедрение эффективных политик информационной безопасности

- Факторы, определяющие эффективность политики безопасности

- Оценка риска

- Рекомендации по разработке и внедрению эффективных политик

- Создание благоприятной среды

- Жизненный цикл политики безопасности

- Пример неудачной политики

- Пример управленческой политики организации

- Заключение

- Литература

Заключение

Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации. Для того чтобы ПБ оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах ИБ и обучать их выполнению правил, предписываемых ПБ. Регулярный пересмотр и корректировка правил ПБ необходимы для поддержания ее в актуальном состоянии.

Разработка и внедрение ПБ в организации - процесс коллективного творчества, в котором должны участвовать представители всех подразделений, затрагиваемых производимыми изменениями. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, включающего в себя проведение аудита безопасности, разработку, согласование, внедрение, обучение, контроль исполнения, пересмотр и корректировку ПБ.

Для разработки эффективной ПБ, помимо профессионального опыта, знания нормативной базы в области ИБ и писательского таланта, необходимо также учитывать основные факторы, влияющие на эффективность ПБ, и следовать основным принципам разработки ПБ, к числу которых относятся: минимизация влияния на производительность труда, непрерывность обучения, контроль и реагирование на нарушения безопасности, поддержка руководства организации и постоянное совершенствование ПБ [6].

Список литературы

1. Кирсанов К.А., Малявина А.В., Попов Н.В. "Информационная безопасность: Учебное пособие". - М.:МАЭП, ИИК "Калита", 2000.

5. http://www.bezpeka.com/ - Украинский Информационный Центр Безопасности

8. http://www.crime-research.ru/ - Центр исследования проблем компьютерной преступности

9. Зайцев Л.Г., Соколова М.И. Стратегический менеджмент: Учебник. - М.: Юристъ, 2002.