Политики безопасности компании при работе в Интернет
Шрифт:
1.5. Возможные постановки задачи
1.5.1. Металлургическая компания
Задача: разработка политики информационной безопасности металлургической компании (далее – «компания»), см. рис. 1.17.
Основание: пункт «Разработка и реализация мероприятий по обеспечению информационной безопасности объектов информатизации компании» перечня мероприятий целевой программы компании «Информационная безопасность– 2005».
Сроки выполнения: начало работ по договору – после заключения договора по результатам конкурса. Окончание работ по договору – 1 декабря 2005
Основные требования к составу работ. Разработка политики информационной безопасности объектов информатизации компании является первым этапом реализации мероприятия «Разработка и реализация мероприятий по обеспечению информационной безопасности объектов информатизации компании» раздела «Система обеспечения информационной безопасности компании».
Рис. 1.17. Структура объекта информатизации металлургической компании
При разработке политики информационной безопасности объектов информатизации необходимо обеспечить:
• универсальность решений и полноту требований по информационной безопасности компании для мультипротокольных реализаций действующих информационных и коммуникационных систем объектов информатизации компании в соответствии с законодательными и нормативными актами Российской Федерации;
• формирование системы взглядов, требований и решений, обеспечивающих единство, интегрированность и совместимость реализации мероприятий раздела «Система обеспечения информационной безопасности компании» («Создание и развитие удостоверяющего центра, выдающего сертификаты ключей ЭЦП», «Разработка концепции программно-аппаратного комплекса мониторинга и защиты информационных ресурсов объектов информатизации компании от внешних и внутренних угроз информационной безопасности», «Создание и развитие защищенного центра резервного хранения данных информационных ресурсов компании»);
• формирование системы взглядов, требований и решений по информационной безопасности компании, необходимых для реализации проектов в области защиты информации.
При разработке политики информационной безопасности необходимо:
• разработать требования по обеспечению безопасности информационных ресурсов и систем компании;
• обследовать проекты, защищаемые объекты информатизации;
• разработать проект Технического задания на создание единой системы информационной безопасности компании;
• определить перечень первоочередных работ по защите программными и аппаратными способами информационных ресурсов и систем компании от несанкционированного доступа, искажения или потери;
• подготовить испытательный стенд для отработки типовых решений в области защиты информации;
• разработать технико-экономическое обоснование реализации базовых технологий по обеспечению информационной безопасности в рамках проектов планируемого года;
• подготовить и выпустить комплект необходимой документации, представить ее на экспертизу.
Решения, полученные в результате разработки политики информационной безопасности объектов информатизации компании, должны обеспечивать:
• возможность создания единой системы информационной безопасности компании;
• единство принципов и интеграцию технологическихТребования к политике безопасности. Разработка политики информационной безопасности компании должна быть осуществлена с учетом:
• существующих общих проблем и тенденций обеспечения информационной безопасности информационно-коммуникационных технологий на основе мирового и отечественного опыта;
• законодательной и нормативной основы обеспечения информационной безопасности информационно-коммуникационных технологий;
• особенностей обеспечения информационной безопасности объектов информатизации компании.В результате разработки политики информационной безопасности компании должны быть рассмотрены:
• потенциальные угрозы информационным ресурсам и системам, возможные последствия их реализации;
• требования и методы противодействия угрозам информационной безопасности;
• технологии обеспечения информационной безопасности защищаемых ресурсов и систем;
• функциональные подсистемы и организационные процедуры обеспечения информационной безопасности ресурсов и систем объектов информатизации компании;
• органы и процедуры управления деятельностью по обеспечению информационной безопасности;
• вопросы мониторинга и анализа состояния дел в сфере информационной безопасности.В результате обследования должны быть оценены решения и разработаны типовые требования по обеспечению информационной безопасности компании.
Документирование проекта. Отчетная документация оформляется в соответствии с общими требованиями к текстовым документам по ГОСТ 2.105-79.
В процессе выполнения работ Исполнителем разрабатывается следующая документация:
• Политика информационной безопасности компании;
• Итоговый научно-технический отчет;
• Предложения по реализации Концепции информационной безопасности компании на период 2005–2007 годов (по результатам обследования);
• Проект Технического задания на создание комплексной системы информационной безопасности объектов информатизации компании;
• Требования по обеспечению информационной безопасности объектов информатизации компании;
• Технико-экономическое обоснование реализации базовых технологий по обеспечению информационной безопасности компании.Отчетные материалы оформляются на бумажном носителе формата А4 и магнитном носителе (CD-R) в двух экземплярах каждого вида и передаются Заказчику. Работы по объекту конкурса выполняются в один этап.
1.5.2. Коммерческий банк
Общее описание объекта информатизации (рис. 1.18):
1. Документы, заказываемые Исполнителю, а именно проект концепции и эскизный проект по обеспечению информационной безопасности, согласованные и принятые Заказчиком, разрабатываются в целях обеспечения информационной безопасности объекта информатизации, которым является АС коммерческого банка (далее – «компания»),
2. Компания действует на основании Устава и предоставляет физическим и юридическим лицам банковские услуги.
3. Организационная структура компании имеет три основных уровня: центральное отделение банка, расположенное в г. Санкт-Петербурге; резервный центр обработки данных в г. Москве; отделения банка (около 100), расположенные в городах и других населенных пунктах районного значения на всей территории РФ.
4. Общая численность персонала компании составляет около 5 тыс. сотрудников.