Активное внедрение цифровых технологий на различных уровнях (от глобального – мировая экономика, до субъективного – жизнь отдельного гражданина) актуализирует роль защиты информации и трансформирует методы обеспечения информационной безопасности. Навыки управления информационной безопасностью играют ключевую роль в формировании компетенций специалистов по информационной безопасности автоматизированных систем.
Студенту в начале изучения дисциплины «Управление информационной безопасностью» предлагается выбрать предметную область, для которой будет реализована система управления ИБ.
В ходе контрольной работы проводится исследование процесса комплексного обеспечения информационной безопасности, реализуемое путем разработки политики информационной безопасности предприятия.
Задания контрольной работы выполняется для выбранного варианта.
Примерный список вариантов предметных областей для разработки СУИБ приведен ниже.
Студент может предложить свой вариант предметной области для разработки СУИБ.
Примерные варианты предметных областей для выполнения контрольной работы:
– Нотариальная контора.
– Виртуальное предприятие электронной торговли.
– Техническое обслуживание торгового оборудования.
– Грузовые перевозки.
– Учет телефонных переговоров.
– Учет внутриофисных расходов.
– Библиотека.
– Прокат автомобилей.
– Интернет-магазин.
– Предприятие по научно-исследовательской деятельности.
Контрольная работа состоит из разделов имеющих определённую структуру.
Пример контрольной работы
КОНТРОЛЬНАЯ РАБОТА
по дисциплине «Управление информационной безопасностью»
Разработка системы защиты информации
частного охранного предприятия «Щит»
Для выполнения контрольной работы в качестве предметной области выбрано вымышленное несуществующее предприятие сферы частной охранной деятельности – ЧОП «Щит».
Разрабатывая политику ИБ для ЧОП «Щит», следует обращать внимание на защищенность информации и всей организации от преднамеренных или случайных действий, приводящих к нанесению значительного ущерба ее владельцам или пользователям. Обеспечение информационной безопасности должно быть направлено прежде всего на предотвращение рисков, а не на ликвидацию их последствий. Именно принятие предупредительных мер по обеспечению конфиденциальности, целостности, а также доступности информации и является наиболее правильным подходом в создании системы информационной безопасности.
В наше время широкого распространения информационных технологий особенно остро ставится вопрос создания систем защиты информации от всего многообразия источников угроз.
Источники угроз бывают внешними, когда конфиденциальную информацию организации стремятся заполучить конкуренты или криминальные элементы, с целью получения прибыли, а также внутренними – сотрудники, допускающие ошибки, которые могут привести к утратам ценной информации или завербованные специалисты для промышленного шпионажа, имеющие возможность устроить серьезную диверсию и полностью нарушить нормальное функционирование информационной системы организации, нанося ей серьезный ущерб.
Для обеспечения информационной безопасности от внешнего нарушителя применяются средства защиты от несанкционированного доступа (СЗИ от НСД), средства криптографической защиты (СКЗИ), средства антивирусной защиты (САВ), межсетевые экраны (МЭ) и средства предотвращения вторжений (СОВ). Применение данных средств регламентируется специализированными федеральными органами и является обязательным для получения аттестата соответствия, позволяющего обрабатывать конфиденциальную информацию.
Цель данный работы заключается в разработке политики информационной безопасности ЧОП «Щит».
Для достижения поставленной цели требуется решить ряд задач:
– Анализ объекта защиты и потоков защищаемой информации, циркулирующей в системе;
– Изучение нормативных документов по защите информации;
– Выявление источников угроз информационной безопасности;
– Определение требований к разработке политики информационной безопасности на предприятии.
1 Теоретические сведения об информационной безопасности
1.1 Актуальность информационной безопасности
В век стремительного развития информационных технологий предприятия все больше внедряют информационные технологии в процесс работы и напрямую зависят от информационных технологий. Это обуславливает высокую степень важности обеспечения информационной безопасности предприятий.
Информационная безопасность является основополагающей для экономической безопасности предприятия, так как нарушение работоспособности может привести к критическому ущербу, поэтому очень серьезное внимание уделяется её обеспечению, чтобы компания могла вести успешную предпринимательскую деятельность в условиях агрессивной рыночной экономики.
С каждым годом растет количество преступлений, совершаемых с использованием информационных и телекоммуникационных технологий. В наши дни в Интернете совершается огромное количество денежных операций, а также массовый переход от бумажного делопроизводства к обработке данных с применением автоматизированных систем. Если раньше необходимо было выносить из помещения для обработки информации целые пачки бумажных носителей, то теперь огромные массивы данных могут быть похищены с помощью малогабаритного flash-накопителя.
Также нужно уделять внимание большому количеству вирусов, которое с каждым днем увеличивается, к ним относятся руткиты, трояны, бэкдоры, кейлоггеры и т. д.
Таким образом, система безопасности предприятия должна быть основана на базе современных средств защиты информации, чтобы быть способной противодействовать постоянно совершенствующимся технологиям атак злоумышленников, стремящихся заполучить информацию. Но в тоже время она должна предоставлять уполномоченным сотрудникам беспрепятственный доступ к ней.
Это достигается четкими инструкция для системных администраторов и сотрудников предприятия, разработкой четких регламентов действий в случае инцидентов информационной безопасности, постоянными тренировками специалистов, обеспечивающих информационную безопасность, тестированием на проникновение из вне, постоянным контролем за состоянием системы и её совершенствованием по мере развития предприятия. По этим причинам важно, чтобы разрабатываемая система защиты информации была гибкой и расширяемой.
Вопрос обеспечения информационной безопасности становится весьма актуальным для предприятий, в интересах которых минимизировать последствия от инцидентов, связанных с информационной безопасностью.
1.2 Основы информационной безопасности
