Комплекс информационной безопасности предприятия | StudHouse
  • ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

    Политика информационной безопасности Акционерное общество «Аэроклуб» (далее-Общество) определяет цели и задачи системы обеспечения информационной безопасности (ИБ) и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется общество в своей деятельности.

    politika_informatsionnoy_bezopasnosti

    Загрузить документ

  • Управление рисками в системах нормативного регулирования

    Управление рисками и системы регулирования. Основные функции процесса управления рисками.

    Одним из самых тревожных и парадоксальных последствий глобализации стало ее влияние на риски: несмотря на то, что глобализация имеет значительный потенциал для смягчения воздействия и уменьшения вероятности возникновения некоторых рисков – локальных и глобальных, природных и техногенных, – она способствовала распространению и усилению воздействия других рисков. Усложнение и переплетение глобальных цепочек поставок, охватывающих континенты и океаны, имело множество положительных последствий, но также, непосредственно или косвенно, привело к возникновению ряда событий, повлекших гибель людей, ухудшение состояния окружающей среды и экономические трудности.

    Ко всеобщей выгоде, глобализация также стимулировала значительный научный и технологический прогресс, результатом которого стало увеличение благосостояния общества. Подобное развитие, разумеется, влечет за собой собственные риски, но оно также предоставило человечеству возможность лучше защититься от их угроз. В то же время, освоение данного потенциала невозможно обеспечить только путем регулирования и контроля над деятельностью отдельной компании, страны или региона. Выработка международных стандартов, мер регулятивного реагирования и согласованных действий на международном, региональном, национальном и локальном уровнях является наилучшим и, возможно, единственным средством воздействия на риск, имеющий потенциально глобальные последствия. Данная задача требует срочного решения, так как количество рисков в глобальном масштабе увеличивается.

    Публикуя данный материал, Европейская экономическая комиссия Организации Объединенных Наций с удовольствием присоединяется к глобальным усилиям по снижению рисков и смягчению их потенциально разрушительных последствий в тех случаях, когда регулирование может играть решающую роль. Несмотря на то, что уже много работ написано о связи между нормативным регулированием и управлением рисками, мы считаем, что в данной публикации впервые определяется потенциальная возможность управления нормативными рисками в эффективной координации обеих сфер путем трансформации концепций управления рисками в меры регулирования. Управление рисками, по мнению авторов, должно стать центральным процессом, лежащим в основе любой деятельности по регулированию; в этот процесс необходимо вовлекать все заинтересованные стороны, а также представителей высокого уровня выработки политических решений, учитывая, что устойчивые системы нормативного регулирования должны базироваться на устойчивых процессах управления рисками. Таким образом, целью данной публикации является оказание содействия политикам, регуляторам, руководителям предприятий и прочим лицам, имеющим ключевые позиции в принятии более обоснованных решений о том, как управлять рисками, с которыми сталкиваются наши семьи, наше общество и наша планета.

    Управление-рисками-в-системах-нормативного-регулирования

    Загрузить документ

  • КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ ОБРАЗОВАТЕЛЬНЫХ ОРГАНИЗАЦИЙ: ТЕОРИЯ И ПРАКТИКА

    Безопасность в образовательных организациях.

    Основными целями проведения Всероссийской научно-практической конференции «Комплексная безопасность образовательных организаций: теория и практика», организатором которой определен Пущинский государственный естественно-научный институт, являются: совершенствование форм и методов работы по обеспечению комплексной безопасности в образовательных организациях высшего образования, а также развитие межведомственного взаимодействия по обеспечению комплексной безопасности образовательных организаций.

    Учитывая актуальность создания безопасных условий функционирования образовательных организаций в современной среде, в работе конференции приняли участие руководство Минобрнауки России, МЧС России, МВД России, Росгвардии, профильных комитетов Государственной Думы Российской Федерации, руководители и специалисты ведущих российских вузов.

    В сборник материалов вошли доклады участников Всероссийской научно-практической конференции «Комплексная безопасность образовательных организаций: теория и практика». Тематика сборника затрагивает совокупность таких систем, как террористическая безопасность, кадровая безопасность, психологическая безопасность, инженерно-техническая безопасность, безопасность жизни и здоровья. В представленных материалах участников конференции достаточно четко просматриваются основные направления: организационные и технические аспекты безопасности образовательной среды; подготовка педагогических кадров к противодействию экстремизму и терроризму; обучение как информационная основа безопасности и воспитательная деятельность в профилактике экстремизма; наполнение традиционных форм работы новым содержанием.

    КОМПЛЕКСНАЯ-БЕЗОПАСНОСТЬ-ОБРАЗОВАТЕЛЬНЫХ-ОРГАНИЗАЦИЙ

    Загрузить документ

  • Обеспечение безопасности критических инфраструктур в США

    Национальная безопасность США. Критически важные объекты. Критерии выделения КВО. Система обеспечения безопасности КВО США.

    Настоящий обзор составлен на основании директивных документов, регламентирующих деятельность органов государственного управления США различных уровней по обеспечению безопасности критически важных объектов инфраструктур, опубликованных в открытой печати. Список использованных источников приводится в конце обзора.

    В последние годы западные специалисты, признавая возможность прямой угрозы нанесения ядерных ударов по территории США, Западной Европы и Японии, уделяют особое внимание оценке воздействия по жизненно важным объектам своих стран неядерными средствами и возможных последствий этих воздействий для политической, экономической, экологической и других сфер деятельности государства. Очевидно, что в условиях современного чрезвычайно интенсивного развития инфраструктуры ведущих зарубежных стран существует множество так называемых критически важных объектов (КВО), таких, например, как крупные гидротехнические сооружения, нефте-, газо-, продуктопроводы, сети АЭС, пункты хранения стратегических запасов нефти и газа, вредные химические производства, транспортные узлы, аэродромы и т. п., выведение из строя которых может привести к непредсказуемым тяжелым и даже катастрофическим последствиям.

    В связи с этим в Соединенных Штатах, Франции, Германии, Японии и других странах были проведены обширные исследования по выявлению таких объектов как на территории США и Канады, так и в Европе, включая Россию, представляющих угрозу для нормальной жизнедеятельности рассматриваемых стран в случае воздействия по ним безъядерного высокоточного оружия или в результате террористических (диверсионных) актов. Также прорабатывались варианты техногенных катастроф или разрушительных стихийных бедствий.

    Обеспечение-безопасности-критических-инфраструктур-в-США

    Загрузить документ

  • Инженерно-техническая защита информации

    Информационная безопасность.

    Изложены вопросы инженерно-технической защиты информации как одного из основных направлений информационной безопасности. С системных позиций рассмотрены концепция, теория, технические системы и средства, организация и методология инженерно-технической защиты информации. Структура и последовательность представления учебного материала соответствуют технологии решения слабоформализуемых задач. Для обеспечения практических занятий в приложениях приведены сценарий инженерно-технической защиты информации в кабинете руководителя организации и технические характеристики средств добывания и защиты информации

    Инженерно-техническая-защита-информации

    Загрузить документ

  • ТЕОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ

    Информационная безопасность. Основные проблемы защиты информации.

    В пособии рассматриваются общие вопросы теории информационной безопасности, раскрывается сущность и основные проблемы защиты информации, перечисляются основные методы обеспечения информационной безопасности и защиты информации, освещается основной понятийный аппарат.

    Наступивший новый этап в развитии обмена информацией, который характеризуется интенсивным внедрением современных информационных технологий, широким распространением локальных, корпоративных и глобальных сетей во всех сферах жизни цивилизованного государства, создает новые возможности и качество информационного обмена. В связи с этим проблемы информационной безопасности (ИБ) приобретают первостепенное значение, актуальность и важность которых обусловлена следующими факторами:

    • высокие темпы роста парка современных средств информатизации, применяемых в разных сферах деятельности, и как следствие, резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным сетям и информационным ресурсам;
    • увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью персональной вычислительной техники и персональных электронных устройств (смартфоны, планшеты и др.);
    • бурное развитие аппаратно-программных средств и технологий, не соответствующих современным требованиям безопасности;
    • несоответствие стремительного развития средств обработки информации и проработки теории ИБ разработки международных стандартов и правовых норм, обеспечивающих необходимый уровень защиты информации (ЗИ);
    • повсеместное распространение сетевых технологий, создание единого информационно-коммуникационного мирового пространства на базе сети Интернет, которая по своей идеологии не обеспечивает достаточного уровня ИБ.

    Указанные выше факторы создают определенный спектр угроз ИБ на уровне личности, общества и государства. Средством нейтрализации таковых является формирование теории ИБ и методологии ЗИ.

    Учебное пособие содержит дополнения и исправления к предыдущему изданию [4], предназначено для изучения в рамках направлений подготовки 10.03.01 «Информационная безопасность» бакалавриата.

    Целью курса является формирование профессиональной компетентности на основе теоретических и методологических знаний, специальных умений в области ИБ и их использования в профессиональной деятельности будущего специалиста.

    В учебном пособии рассматривается основной понятийный аппарат.

    ТЕОРИЯ-ИНФОРМАЦИОННОЙ-БЕЗОПАСНОСТИ-И-МЕТОДОЛОГИЯ-ЗАЩИТЫ-ИНФОРМАЦИИ

    Загрузить документ

  • УПРАВЛЕНИЕ РИСКАМИ ОБРАБОТКИ ИНФОРМАЦИИ НА ОСНОВЕ ЭКСПЕРТНЫХ ОЦЕНОК

    Информационные риски. Управление информационными рисками. Нечеткое когнитивное моделирование. Программный комплекс поддержки принятия решений.

    Основные особенности управления информационными рисками. Управление информационными рисками на основе нечеткого когнитивного моделирования. Программный комплекс поддержки принятия решений по управлению рисками на основе экспертных оценок. Применение разработанных методик в организациях различного профиля.  

    Диссертация на соискание ученой степени кандидата технических наук.

    УПРАВЛЕНИЕ-РИСКАМИ-ОБРАБОТКИ-ИНФОРМАЦИИ

    Загрузить документ

  • Разработка комплексной системы защиты информации на предприятии ООО «Планета-Авто»

    Безопасность данных. Защита информации. Комплексная система защиты информации. Разработка комплексной системы защиты информации.

    В современном обществе информационные технологии развиваются стремительными темпами, увеличивается количество и важность обрабатываемых данных. Множество предприятий каждый день обрабатывает данные различных видов, которые несут огромную значимость для компании, однако где есть что-то ценное всегда будут те, кто хочет это украсть. Именно поэтому уделяется огромное внимание защите коммерческой тайне: издаются указы, постановления, стандарты, направленные на усиление ИБ.

    Разработка комплексной системы защиты информации и ее совершенствование позволяет избежать затрат, связанных с утечкой информации и ее распространением, обеспечить безопасность данных и их сохранность.

    Объектом выпускной квалификационной работы является предприятие ООО «Планета-Авто».

    Предметом выпускной квалификационной работы является комплексная система защиты информации в ООО «Планета-Авто».

    Целью выпускной квалификационной работы является разработка комплексной системы защиты информации.

    Для достижения поставленной цели необходимо решить следующие задачи:

    1. Провести анализ информационной системы ООО «Планета-Авто»;

    2. Провести теоретическое обоснование выбора средств защиты информации;

    3. Разработать данный проект по внедрению КСЗИ на предприятии ООО «Планета-Авто».

    Разработка-комплексной-системы-защиты-информации

    Загрузить документ

  • Политика информационной безопасности ООО «СМК РЕСО-Мед»

    Информационная безопасность. Защита информации. Объекты защиты. Автоматизированная система. Назначение, цели создания и эксплуатации АС как объекта информатизации. Уязвимость основных компонентов АС.

    Развитие и распространение информационных технологий, обострение конкурентной борьбы и криминогенной обстановки, требуют создания целостной системы информационной безопасности, взаимоувязывающей правовые, оперативные, технологические, организационные, технические и физические меры защиты информации.

    Настоящая Политика определяет систему взглядов на проблему обеспечения информационной безопасности в единой информационной телекоммуникационной системе (далее – автоматизированной системе) Общества с ограниченной ответственностью «Страховая медицинская компания РЕСО-Мед» (далее – Общество).

    Политика-информационной-безопасности

    Загрузить документ

  • Основы безопасности информационных технологий

    Информация и информационные отношения. Субъекты информационных отношений, их безопасность. Определение требований к защищенности информации. Угрозы безопасности АС. Организационные меры защиты информации в АС.

    Общеизвестно, что любое фундаментальное техническое или технологическое новшество, предоставляя возможности для решения одних социальных проблем и открывая широкие перспективы их развития, всегда вызывает обострение других или порождает новые, ранее неизвестные проблемы, становится для общества источником новых потенциальных опасностей. Если в должной мере не позаботиться о нейтрализации сопутствующих прогрессу негативных факторов, то эффект от внедрения новейших достижений науки и техники может оказаться в целом отрицательным.

    Иными словами, без должного внимания к вопросам обеспечения безопасности последствия перехода общества к новым технологиям могут быть катастрофическими для него и его граждан. Именно так обстоит дело в области атомных, химических и других экологически опасных технологий, в сфере транспорта. Аналогично обстоит дело и с информатизацией общества.

    Бурное развитие средств вычислительной техники открыло перед человечеством небывалые возможности по автоматизации умственного труда и привело к созданию большого числа разного рода автоматизированных информационных и управляющих систем, к возникновению принципиально новых, так называемых, информационных технологий.

    Неправомерное искажение или фальсификация, уничтожение или разглашение определенной части информации, равно как и дезорганизация процессов ее обработки и передачи в информационно-управляющих системах наносят серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия.

    Жизненно важные интересы этих субъектов, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их безопасности, экономических, политических и других сторон деятельности, конфиденциальная коммерческая и персональная информация, была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования или уничтожения.

    Острота проблемы обеспечения безопасности субъектов информационных отношений, защиты их законных интересов при использовании информационных и управляющих систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому есть целый ряд объективных причин.

    Прежде всего — это расширение сферы применения средств вычислительной техники и возросший уровень доверия к автоматизированным системам управления и обработки информации. Компьютерным системам доверяют самую ответственную работу, от качества выполнения которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, управляют движением самолетов и поездов, выполняют финансовые операции, обрабатывают секретную и конфиденциальную информацию.

    Изменился подход и к самому понятию «информация». Этот термин все чаще используется для обозначения особого товара, стоимость которого зачастую превосходит стоимость вычислительной системы, в рамках которой он существует. Осуществляется переход к рыночным отношениям в области создания и предоставления информационных услуг, с присущей этим отношениям конкуренцией и промышленным шпионажем.

    Проблема защиты вычислительных систем становится еще более серьезной и в связи с развитием и распространением вычислительных сетей, территориально распределенных систем и систем с удаленным доступом к совместно используемым ресурсам.

    Доступность средств вычислительной техники и, прежде всего персональных ЭВМ привела к распространению компьютерной грамотности в широких слоях населения, что закономерно, привело к увеличению числа попыток неправомерного вмешательства в работу государственных и коммерческих автоматизированных систем, как со злым умыслом, так и чисто «из спортивного интереса». К сожалению, многие из этих попыток имеют успех и наносят значительный урон всем заинтересованным субъектам информационных отношений.

    Положение усугубляется тем, что практически отсутствует законодательное (правовое) обеспечение защиты интересов субъектов информационных отношений. Отставание в области создания стройной и непротиворечивой системы законодательно-правового регулирования отношений в сфере накопления и использования информации создает условия для возникновения и распространения «компьютерного хулиганства» и «компьютерной преступности».

    Еще одним весомым аргументом в пользу усиления внимания к вопросам безопасности вычислительных систем является бурное развитие и распространение так называемых компьютерных вирусов, способных скрытно существовать в системе и совершать потенциально любые несанкционированные действия.

    Особую опасность для компьютерных систем представляют злоумышленники, специалисты — профессионалы в области вычислительной техники и программирования, досконально знающие все достоинства и слабые места вычислительных систем и располагающие подробнейшей документацией и самыми совершенными инструментальными, и технологическими средствами для анализа и взлома механизмов защиты.

    При выработке подходов к решению проблемы компьютерной, информационной безопасности следует всегда исходить из того, что защита информации и вычислительной системы не является самоцелью. Конечной целью создания системы компьютерной безопасности является защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных воздействий на информацию и системы ее обработки и передачи.

    В качестве возможных нежелательных воздействий на компьютерные системы должны рассматриваться: преднамеренные действия злоумышленников, ошибочные действия обслуживающего персонала и пользователей системы, проявления ошибок в ее программном обеспечении, сбои и отказы оборудования, аварии и стихийные бедствия.

    В качестве защищаемых объектов должны рассматриваться информация и все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом).

    Обеспечение безопасности вычислительной системы предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также для попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов системы: оборудования, программного обеспечения, данных (информации) и ее персонала.

    В этом смысле защита информации от несанкционированного доступа (НСД) является только частью общей проблемы обеспечения безопасности компьютерных систем и защиты законных интересов субъектов информационных отношений, а сам термин НСД было бы правильнее трактовать не как «несанкционированный доступ» (к информации), а шире, — как «несанкционированные (неправомерные) действия», наносящие ущерб субъектам информационных отношений.

    Важность и сложность проблемы защиты информации в автоматизированных системах обработки информации (АС) требует принятия кардинальных мер, выработки рациональных решений, для чего необходимо сконцентрировать усилия на вопросах разработки общей концепции защиты интересов всех субъектов информационных отношений с учетом особенностей тех прикладных областей, в которых функционируют различные АС.

    Исследования проблемы обеспечения безопасности компьютерных систем ведутся как в направлении раскрытия природы явления, заключающегося в нарушении целостности и конфиденциальности информации, дезорганизации работы компьютерной системы, так и в направлении разработки конкретных практических методов и средств их защиты. Серьезно изучается статистика нарушений, вызывающие их причины, личности нарушителей, суть применяемых нарушителями приемов и средств, используемые при этом недостатки систем и средств их защиты, обстоятельства, при которых было выявлено нарушение, и другие вопросы.

    Необходимость проведения настоящей работы вызвана отсутствием необходимых научно-технических и методических основ обеспечения защиты информации в современных условиях, в частности, в компьютерных банковских системах. Имеются веские основания полагать, что применяемые в настоящее время в отечественных системах обработки банковской информации организационные меры и особенно аппаратно-программные средства защиты не могут обеспечить достаточную степень безопасности субъектов, участвующих в процессе информационного взаимодействия, и не способны в необходимой степени противостоять разного рода воздействиям с целью доступа к финансовой информации и дезорганизации работы автоматизированных банковских систем.

    Ориентируясь при рассмотрении вопросов информационной безопасности в основном на банковскую специфику, авторы, тем не менее, старались достичь максимального уровня общности приводимых определений, результатов анализа и выводов везде, где это было возможно.

    Основы-безопасности-информационных-технологий

    Загрузить документ