Формирование политики информационной безопасности в организации

Диплом 2023 года. Оригинальность высокая.

Цель работы - формирование политики информационной безопасности транспортной компании «КИТ» города Екатеринбург.

Задачи работы:

– рассмотреть теоретические основы формирования политики информационной безопасности;

– рассмотреть нормативно-правовое обеспечение для построения политики информационной безопасности;

– рассмотреть общие подходы и принципы при разработке политики информационной безопасности;

– провести анализ самых распространённых методик при разработке политики информационной безопасности;

– провести анализ содержания политики информационной безопасности;

– провести общий анализ модели угроз информационной безопасности;

– провести анализ компании и её основных защищаемых объектов информационной системы;

– разработать политику информационной безопасности для компании.

Объектом исследования является политика информационной безопасности транспортной компании «КИТ».

Предмет исследования – разработка политики информационной безопасности для транспортной компании «КИТ».

Список сокращений 4

Введение 5

1 Теоретические основы формирования политики информационной безопасности в организации 8

1.1 Основные понятия и сущность политики информационной безопасности организации 8

1.2 Нормативно-правовое обеспечение для построения политики информационной безопасности в организации 11

1.3 Общие подходы и принципы разработки политики информационной безопасности в организации 17

2 Методические аспекты построения политики информационной безопасности организации 21

2.1 Анализ наиболее распространенных методик разработки политики информационной безопасности в организации 21

2.2 Анализ содержания политики информационной безопасности организации 27

2.3 Анализ модели угроз информационной безопасности для организаций 31

3 Практические аспекты разработки политики информационной безопасности транспортной компании 37

3.1 Описание транспортной компании «КИТ» и её основных защищаемых объектов 37

3.2 Содержание политики информационной безопасности транспортной компании «КИТ» 43

3.2.1 Система управления информационной безопасностью в компании 43

3.2.2 Объект защиты в компании 47

3.2.3 Оценка и обработка рисков в компании 48

3.2.4 Безопасность сотрудников в компании 49

3.2.5 Физическая безопасность в компании 50

3.2.6 Контроль доступа к информации в компании 51

3.2.7 Использование информационных ресурсов в компании 54

3.2.8 Приобретение и обслуживание систем в компании 59

3.2.9 Управление инцидентами информационной безопасности в компании 63

3.2.10 Управление непрерывностью бизнес-процессов в компании 64

3.2.11 Соблюдение требований законодательства РФ 65

3.2.12 Аудит информационной безопасности в компании 67

Заключение 70

Список используемых источников 71

1. Бондаренко Н. А. О корпоративной политике информационной безопасности предприятия /А. Д. Буханцов, П. Г. Лихолоб, А. В. Помельников // в сборнике: Актуальные вопросы обеспечения информационной безопасности. Белгородский университет кооперации, экономики и права. – 2015

2. Варфоломеев А.А. Основы информационной безопасности: Учеб. пособие. – М.: РУДН, 2008. – 412 с.: ил.

3. Видеодомофон ACT-T1341M [Электронный ресурс], Режим доступа: https://hi.watch/product/act_t1341m, свободный.

4. Грачева Е.А. Информационная безопасность // The Newman in Foreign Policy. 2020.

5. Грибунин В. Г. Комплексная система защиты информации на предприятии: Учеб. пособие для студентов высш. учеб. заведений / В. Г. Грибунин, В. В. Чудовский. - М.: Академия, 2009. – 416 с.

6. Информационная технология. Практические правила управления информационной безопасностью [Электронный ресурс]: ГОСТ Р ИСО/МЭК 17799-2005 – Режим доступа: https://docs.cntd.ru/document/1200044724, свободный.

7. Куприянов А.И. Основы защиты информации: учеб. Пособие для студ. высш. учеб. заведений/ А.И.Куприянов, А.В.Сахаров, В.А. Шевцов -- М.: Издательский центр «Академия», 2006.

8. Куприянов А.И. Основы защиты информации: учеб. Пособие для студ. высш. учеб. заведений/ А.И.Куприянов, А.В.Сахаров, В.А. Шевцов -- М.: Издательский центр «Академия», 2006.

9. Менеджмент инцидентов информационной безопасности [Электронный ресурс]: РС БР ИББС-2.5-2014 – Режим доступа: https://cbr.ru/Crosscut/LawActs/File/442, свободный.

10. Методика CIS Controls (ранее известная как SANS Top 20 Critical Security Controls) [Электронный ресурс], Режим доступа: https://www.cisecurity.org/controls/cis-controls-list, свободный.

11. Методика COBIT (Control Objectives for Information and Related Technologies) [Электронный ресурс], Режим доступа: https://www.itexpert.ru/rus/biblio/detail.php?ID=16161, свободный.

12. Методика NIST SP 800-53 (National Institute of Standards and Technology Special Publication 800-53) [Электронный ресурс], Режим доступа: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final, свободный.

13. Методика оценки рисков нарушения информационной безопасности [Электронный ресурс]: РС БР ИББС-2.2-2009 – Режим доступа: https://docs.cntd.ru/document/902189338, свободный.

14. Методические рекомендации по документации в области обеспечения информационной безопасности [Электронный ресурс]: РС БР ИББС-2.0-2007 – Режим доступа: https://docs.cntd.ru/document/902042886, свободный.

15. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий [Электронный ресурс]: ГОСТ Р ИСО/МЭК 18045 – Режим доступа: https://docs.cntd.ru/document/1200105309, свободный.

16. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности [Электронный ресурс]: ГОСТ Р ИСО/МЭК 27001 – Режим доступа: https://docs.cntd.ru/document/1200181890, свободный.

17. Москвитин, Г.И. Комплексная защита информации в организации / Г.И. Москвитин. - М.: Русайнс, 2017.

18. О коммерческой тайне [Электронный ресурс]: Федеральный закон от 29.07.2004 № 98-ФЗ – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_48699, свободный.

19. О персональных данных [Электронный ресурс]: Федеральный Закон от 27.07.2006 г. № 152-ФЗ – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_61801, свободный.

20. Об информации, информационных технологиях и защите информации [Электронный ресурс]: Федеральный закон от 27.07.2006 № 149-ФЗ – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_61798, свободный.

21. Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти [Электронный ресурс]: Постановление Правительства Российской Федерации от 03.11.94 № 1233 – Режим доступа: https://base.garant.ru/188429, свободный.

22. Об электронной подписи [Электронный ресурс]: Федеральный закон от 06.04.2011 № 63-ФЗ – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_112701, свободный.

23. Оюн Ч.О. Основные подходы к формированию политики безопасности /Е. В. Попантонопуло // Интерэкспо Гео-Сибирь. – 2019

24. Петренко С.А., Курбатов В.А. Политики информационной безопасности. – М.: Компания АйТи, 2006.

25. Сидельникова Н.В., Беседина Т.В. Информационная безопасность // Образование. Карьера. Общество. 2018

26. Степанов, Е.А. Информационная безопасность и защита информации: учебное пособие / Е.А. Степанов, И.К. Корнеев.

27. Филиппова Е. А. Концептуальные положения политики информационной безопасности в организации // Научный обозреватель. –2016. – № 6

28. Филиппова Е. А. Концептуальные положения политики информационной безопасности в организации // Научный обозреватель. –2016. – № 6.

29. Ярочкин В.И. Информационная безопасность: учебник для студентов вузов. – М.: Академический Проект; Гаудеамус, 2-е изд.

30. Ясенев В.Н., Дорожкин А.В., Сочков А.Л., Ясенев О.В. Информационная безопасность: учеб. Пособие, под общ. ред. В.Н. Ясенева. / Нижний Новгород: Нижегородский гос. ун-т им. Н.И. Лобачевского, 2017.

ISO/IEC 27001:2005 / ГОСТ Р ИСО/МЭК 27001-2006 [Электронный ресурс], Режим доступа: https://alfaregister.ru/spravochnik_po_standartam_iso/iso_27001/, свободный.