Разработка и реализация технических политик безопасности в сетевой инфраструктуре коммерческого предприятия
Введение
Появление новых информационных технологий и развитие компьютерных систем хранения и обработки данных повысили требования к быстродействию защиты информации и определили необходимость разработки эффективных механизмов защиты информации, оптимизированных под современную архитектуру хранилища данных. Таким образом, экономическая защита постепенно становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; приводится Федеральный закон о защите информации, в котором рассматриваются вопросы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.
Содержание
Введение 11
1 Нормативные ссылки 14
2 Термины и определения 16
3 Сокращения 17
4 Обоснование необходимости реализации политик информационной безопасности 18
4.1 Сведения об объекте 18
4.2 Основания для разработки 19
5 Содержание политики 26
5.1 Реализация политики мониторинга и аудита системы 26
5.2 Реализация парольной политики 29
5.3 Реализация политики безопасного удаленного доступа 37
5.4 Политика управления журналами 42
5.5 Реализация политики управления изменениями 48
5.6 Реализация политики безопасности серверов 64
5.7 Реализация политики управления учетной записью 75
5.8 Реализация политики безопасности электронной почты 85
5.9 Реализация политики физического доступа 87
5.10 Реализация политики антивирусной защиты 97
5.11 Реализация политики межсетевого экранирования 109
6 Ответственность 125
7 Контроль и пересмотр 126
8 Технико-экономическое обоснование 127
8.1 Расчет расходов на содержание и обслуживание ЭВМ 127
8.2 Расчет заработной платы 130
8.3 Экономическая целесообразность проекта 133
8.4 Выводы по разделу 134
9 Безопасность и экологичность 135
9.1 Значение и задачи безопасности жизнедеятельности 135
9.2 Анализ условий труда и мероприятия по защите от воздействия вредных производственных факторов 136
9.3 Обеспечение электробезопасности 138
9.4 Пожарная безопасность 140
9.5 Безопасность жизнедеятельности в чрезвычайных ситуациях 142
9.6 Охрана окружающей среды 143
9.7 Выводы по разделу 144
Заключение 145
Список использованных источников 147
Приложение А. Настройка роли VPN на сервере 151
Приложение Б. Настройка политики управления журналами 162
Список использованных источников
1 ГОСТ Р 50922-2006 Национальный стандарт РФ «Защита информации. Основные термины и определения».
2 ГОСТ РИСО/МЭК 17799—2005 Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» Безопасность: теория, парадигма, концепция, культура. Словарьсправочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. И перераб. — М.: ПЕР СЭ-Пресс, 2005.
3 Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.
4 ГОСТ Р ИСО/МЭК 13335-1 — 2006 Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».
5 Р 50.1.053-2005 Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации».
6 Р 50.1.056-2005 Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения».
7 ГОСТ Р 51898-2002 Государственный стандарт РФ «Аспекты безопасности. Правила включения в стандарты».
8 Бабаш А.В. История криптографии. Ч. 1 / А. В. Бабаш, Г. Н. Шанкин. - М.: Гелиос АРВ, 2012. - 240 с.
9 Панкратов Ф.Г. Коммерческая деятельность: учеб.для вузов / Ф.Г. Панкратов. - Изд. 8-е, перераб. и доп. - М.: Дашков и Ко, 2015. - 502 с.
10 Расторгуев С.П. Основы информационной безопасности: учеб.пособие для вузов / С. П. Расторгуев. - М.:Academia, 2010. - 186 с.
11 Хаулет, Т. Защитные средства с открытыми исходными текстами= OPEN SOURCE SECURITY TOOL: практ. рук. по защитным приложениям: учеб. пособие / Т. Хаулет ; пер. с англ. В. Галатенко и О. Труфанова под ред В.
12 Галатенко. - М.: Интернет-Ун-т Информ. Технологий: БИНОМ.лаб. знаний, 2013. - 607 с.
13 Мельников В.П. Информационная безопасность и защита информации: учеб.пособие для вузов / В. П. Мельников, С. А. Клейменов, А. М. Петраков ; под ред. С. А. Клейменова. - 2-е изд., стер. - М.:Academia, 2014. - 330 с.
14 Саак, А.Э. Информационные технологии управления: учеб.для вузов / А. Э. Саак, Е. В. Пахомов, В. Н. Тюшняков. - 2-е изд. - М. [и др.]: Питер, 2013. - 318 с. + 1 электрон. опт. диск (CD-ROM);
15 Куприянов, А.И. Основы защиты информации: учеб.пособие/ А.И. Куприянов, А. В. Сахаров, В. А. Шевцов. - 3-е изд., стер. - М.:Academia, 2008. - 256 с.
16 Краковский, Ю.М. Информационная безопасность и защита информации: учеб.пособие/ Ю. М. Краковский. - М.; Ростов н/Д : МарТ, 2008. - 287 с.
17 Баричев С.Г, Серов Р.Е. Основы современной криптографии: Учебное пособие. - М.: Горячая линия - Телеком, 2008.
18 Адигеев М.Г. Введение в криптографию. Часть 1. Основные понятия, задачи и методы криптографии. - Ростов-на-Дону: Изд-во РГУ, 2002. - 35 с.
19 БудкоВ.Н. Информационная безопасность и защита информации: Конспект лекций. - Воронеж: Изд-во ВГУ, 2013. - 86 с. 73
20 Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы защиты информации: Учебное пособие. - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.
21 ГрушоА.А., Тимонина Е.Е. Теоретические основы защиты информации. - М.: Изд-во "Яхтсмен", 1996. - 187 с.
22 Железняк В.К. Защита информации от утечки по техническим каналам: Учебное пособие. - СПб.: ГУАП, 2006. - 188 с.
23 Зубов А.Ю. Совершенные шифры. - М.: Гелиос АРВ, 2003. - 160 с.,
24 Казарин О.В. Безопасность программного обеспечения компьютерных систем. - М.: МГУЛ, 2013. - 212 с.
25 Мордвинов В.А., Фомина А.Б. Защита информации и информационная безопасность. - М.: МГДД(Ю)Т, МИРЭА, ГНИИ ИТТ "Информика", 2010. - 69 с.
26 Пазизин С.В. Основы защиты информации в компьютерных системах (учебное пособие). - М.: ТВП/ОПиПМ, 2003. - 178 с.
27 Статья Программно - аппаратный комплекс -https://ru.wikipedia.org/wiki/Программно-аппаратный_комплекс [Электронный ресурс]
28 Политика информационной безопасности (финансовые организации).
29 Информационная безопасность в ГУП ОЦ «Московский дом книги».
30 Павлова Тема 11 Современные технологии защиты информации.
31 Выбор и обоснование методики расчёта экономической эффективности.
32 СанПиН 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы: Санитарно-эпидемиологические правила и нормативы. – М.: Федеральный центр Госсанэпиднадзора Минздрава России;
33 Малюк А.А. «Информационная безопасность: концептуальные и методологические основы защиты информации» М.: Вега 2018 г.
34 Федеральный закон N 426-ФЗ от 28.12.2013 «О специальной оценке условий труда».
35 Р.2.2.2006-05. «Руководство по гигиенической оценке факторов рабочей среды и трудового процесса. Критерии и классификация условий труда».
Процесс заключается в составлении графика изменений на основе подбора сотрудников с учетом их профессиональных компетенций, загрузки в других проектах и пр. параметрам. Наряду с этим использование специального календаря загрузки позволит избежать пересечения работ над одной КЕ, комплексно отслеживать занятость сотрудников, а также визуализировать все временные работы и их последовательность при помощи диаграммы Ганта.
Выполнение
Этап направлен на декомпозицию изменений по этапам (разработка, тестирование и внедрение) и по отдельным задачам с консолидацией всех выполненных действий в карточке производимого изменения.
Закрытие и обзор
Проверка выполненного изменения по критериям успешности, определенным на этапе оценки, отслеживание трендинга внедренного изменения на каком-либо отрезке времени, аналитика.