Разработка политики информационной безопасности для ПАО «ТГК-2»

Содержание

Введение 5

1 Аналитическая часть 8

1.1 Техническая характеристика предметной области 8

1.2 Документы по информационной безопасности реализованные на территории компании 9

1.3 Анализ и оценка защиты данных 10

1.4 Политика информационной безопасности 11

1.5 Структура политики информационной безопасности 15

1.6 Международный опыт в сфере информационной безопасности 17

1.7 Вывод по первой главе 19

2 Проектная часть 20

2.1 Меры по обеспечению информационной безопасности 20

2.2 Цели и задачи информационной безопасности 23

2.3 Критическая информационная инфраструктура 24

2.4 Защита персональных данных 27

2.5 Модель угроз и модель нарушителей 32

2.6 Вывод по второй главе 39

3 Внедрение политики информационной безопасности 40

3.1 План внедрения Политики 40

3.2 Аудит внедрения Политики 43

3.3 Инструкция по обучению персонала 44

3.3 Изменения в должностных инструкциях после внедрения Политики 46

3.4 Вывод по третьей главе 47

Список литературы 50

Список литературы

1. Сайт компании // ПАО "Территориальная генерирующая компания №2" URL: https://tgc-2.ru/ [Электронный ресурс/дата обращения – 10.04.2023]

2. Международный стандарт "МЕЖДУНАРОДНЫЙ ISO/IEC СТАНДАРТ 27000" от 01.12.2013 № ОКС 35.030 // Официальный интернет-портал правовой информации. - с изм. и допол. в ред. от 30.11.2021.

3. Список угроз // Банк данных угроз безопасности информации URL: https://bdu.fstec.ru/threat [Электронный ресурс/дата обращения – 17.04.2023]

4. Организационное и правовое обеспечение информационной безопасности // Учебные материалы для студентов URL: https://studme.org/78413/pravo/zarubezhnyy_opyt_pravovogo_obespecheniya_informatsionnoy_bezopasnosti [Электронный ресурс/дата обращения – 12.04.2023]

5. Меры по обеспечению информационной безопасности // Информационная безопасность предприятий URL: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/osnovnye-aspekty-informatsionnoj-bezopasnosti/osnovnye-printsipy-obespecheniya-informatsionnoj-bezopasnosti/mery-po-obespecheniyu-informatsionnoj-bezopasnosti/ [Электронный ресурс/дата обращения – 19.04.2023]

6. Классификация угроз и уязвимостей информационной безопасности в корпоративных системах // Научная электронная библиотека «КиберЛенинка» URL: https://cyberleninka.ru/article/n/klassifikatsiya-ugroz-i-uyazvimostey-informatsionnoy-bezopasnosti-v-korporativnyh-sistemah/viewer [Электронный ресурс/дата обращения – 5.04.2023]

7. Угрозы информационной безопасности // Региональные системы URL: https://www.ec-rs.ru/blog/informacionnaja-bezopasnost/ugrozy-bezopasnosti-informatsii/ [Электронный ресурс/дата обращения – 7.04.2023]

8. Цели и задачи информационной безопасности // Информационная безопасность предприятий URL: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/osnovnye-aspekty-informatsionnoj-bezopasnosti/tseli-i-zadachi-informatsionnoj-bezopasnosti/ [Электронный ресурс/дата обращения – 21.04.2023]

9. Разработка политики информационной безопасности // Информационная безопасность предприятий URL: https://searchinform.ru/products/kib/politiki-informatsionnoj-bezopasnosti/razrabotka-politiki-informacionnoj-bezopasnosti/ [Электронный ресурс/дата обращения – 1.04.2023]

10. Политики информационной безопасности компании // Информационная безопасность предприятий URL: https://searchinform.ru/products/kib/politiki-informatsionnoj-bezopasnosti/ [Электронный ресурс/дата обращения – 3.04.2023]

11. Постановление Правительства Российской Федерации "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" № 127 // Официальный интернет-портал правовой информации. - с изм. и допол. в ред. от 20.12.2022.

12. Меры защиты конфиденциальной 

Правильно разработанная политика информационной безопасности является сложной системой, которая включает в себя несколько уровней документации и отношений. Каждый документ нижнего уровня обязательно вытекает из документа верхнего уровня и предназначен для решения своих задач, чтобы обеспечить максимальную защищенность информации.

Разработка нормативно-правового акта сама по себе не решает задачи защиты информации - необходимо внедрить систему и опробовать ее на практике. При этом процесс должен включать аудит качества выполнения задач информационной безопасности, а при необходимости - доработку.

Стандартно система документации в области политики информационной безопасности делится на три уровня: 

- верхний. Утверждается на уровне Совета директоров компании;

- основной. Разрабатываются документы для регламентации защиты информации;

- технический. Определение способов информирования сотрудников об их обязанностях в сфере защиты информации.

Общий объем подготовленной документации может составить сотни страниц, но это необходимо для обеспечения максимальной защиты информации. Защищаемая информация представляет собой серьезный актив, и за обладание ею будут бороться многие силы. Поэтому, акцентирование серьезного внимания на политике информационной безопасности может сыграть большую роль в защите ценных данных и создать дополнительный уровень доверия и ценности информации для клиентов и партнеров.

Документ верхнего уровня политики информационной безопасности становится визитной карточкой предприятия, особенно в ситуациях, когда оно вступает в бизнес-отношения с новыми партнерами