МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ ”ЛЬВІВСЬКА ПОЛІТЕХНІКА” ІКТА кафедра захисту інформації
ЗВІТ до лабораторної роботи № 4 з курсу «Комплексні системи санкціонованого доступу» на тему «Вибір політики інформаційної безпеки організації» Львів – 2013 МЕТА РОБОТИ: Оцінити загрози інформації, дати аналіз та оцінити ризики та аргументовано вибрати ту чи іншу політику безпеки для побудови захищеної інформаційної системи. ПОРЯДОК ВИКОНАННЯ РОБОТИ: Визначення переліку об’єктів, які підлягають захисту. Визначення джерел дестабілізуючих факторів. Визначення типів дестабілізуючих факторів. Побудова матриці загроз. ХІД РОБОТИ: Об'єктом захисту є сервісний центр оператора зв'язку (далі - підприємство). Політика інформаційної безпеки організації 2.1.1. Визначення політики інформаційної безпеки організації Необхідність у політиці безпеки на сьогоднішній день є очевидним фактом для будь-якого, навіть достатньо невеликого підприємства. Політика безпеки в цілому — це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку. Крім свого прямого призначення, політика безпеки має ще один корисний ефект: у результаті аналізу інформаційних потоків, інвентаризації інформаційних ресурсів та ранжирування інформації, яка оброблюється, передається або зберігається, за мірою її цінності керівництво підприємства одержує цілісну картину одного з найбільш складних об'єктів — інформаційної системи, що позитивно впливає на якість керування бізнесом у цілому, і, як наслідок, покращує його прибутковість і ефективність. Політику з інформаційної безпеки організації можна визначити як сукупність вимог та правил з інформаційної безпеки організації для об'єкта інформаційної безпеки, вироблених з метою протидії заданій множині загроз інформаційній безпеці організації із урахуванням цінності інформаційної сфери, що підлягає захисту та вартості системи забезпечення інформаційної безпеки. Об'єкт інформаційної безпеки організації — це об'єкт (об'єкти) організації, вплив порушника інформаційної безпеки на який (які) може призвести до реалізації загрози інформаційній безпеці організації. Управління об'єктом відповідно до заданої політики інформаційної безпеки організації по відношенню до специфічних дій, що відносяться до інформаційної безпеки організації, здійснюється єдиним керівним органом (адміністратором) системи забезпечення інформаційної безпеки організації. Система забезпечення інформаційної безпеки організації (СЗІБ) представляє сукупність правових норм, організаційних та технічних заходів, служб інформаційної безпеки та механізмів захисту, органів управління та виконавців, спрямованих на протидію заданій множині загроз інформаційній безпеці організації з метою звести до мінімуму можливі збитки користувачу або оператору зв'язку організації. Адміністратором (керівним органом) системи забезпечення інформаційної безпеки організації може бути фізична або юридична особа, яка є відповідальною за реалізацію політики забезпечення інформаційної безпеки організації. Під час розробки політики безпеки повинні бути враховані технологія зберігання, обробки та передавання інформації, моделі порушників і загроз, особливості апаратно-програмних засобів, фізичного середовища та інші чинники. У організації може бути реалізовано декілька різних політик безпеки, які істотно відрізняються. Як складові частини загальної політики безпеки у організації мають існувати політики забезпечення конфіденційності, цілісності, доступності оброблюваної інформації. Політика безпеки повинна стосуватись: інформації (рівня критичності ресурсів організації), взаємодії об'єктів (правил, відповідальності за захист інформації, гарантій захисту), області застосування (яких складових компонентів організації політика безпеки стосується, а яких — ні). Політика безпеки має бути ро...