економіка ІБ. Лабораторна робота з Економіка та організація електротехнічної служби підприємств . Робота № 525076

Перехід до торгівельного партнера Binance

економіка ІБ

Інформація про навчальний заклад

ВУЗ:

Інші

Інститут:

Не вказано

Факультет:

Управління інформацією

Кафедра:

Не вказано

Інформація про роботу

Рік:

2024

Тип роботи:

Лабораторна робота

Предмет:

Економіка та організація електротехнічної служби підприємств

Завантажити

Частина тексту файла (без зображень, графіків і формул):

8. Впровадження сімейства міжнародних стандартів ISO/IEC 27000 в організаціях України Останнім часом неможливо уявити сучасну організацію і процес управління нею без підтримки інформаційних технологій. Надійні інформаційні технології є вкрай необхідними для роботи організації. Забезпечення безпеки інформації та інших об’єктів інформатизації – важливе завдання для будь-якої організації. Кожен власник організації і призначене ним керівництво вже не може закривати очі на поточний стан інформаційних систем, вони повинні бачити і розуміти потреби організації в інформаційному забезпеченні, вирішувати існуючі інформаційні проблеми. Звичайно ж, кожна організація певним чином вже працює над забезпеченням інформаційної безпеки. Проте, цього недостатньо. В загальному розумінні інформаційна безпека в організаціях України пов’язана з обмеженням доступу третіх осіб до інформації. Насправді, це лише одна з частин загального комплексу завдань, які пов’язані з інформаційною безпекою. Передові світові організації (корпорації) вирішують набагато більший комплекс проблем, який пов’язаний з інформаційною безпекою. Їх робота над безпекою економить засоби організації як в процесі роботи, так і за рахунок нейтралізації небажаних наслідків. Позитивним моментом є відкритість і доступність міжнародних підходів до забезпечення інформаційної безпеки на високому рівні. Кращі світові практики в сфері управління інформаційною безпекою описані в міжнародному стандарті на системи менеджменту інформаційної безпеки ISO/IEC 27001. Стандарт ISO/IEC 27001 встановлює вимоги до системи менеджменту інформаційної безпеки для демонстрації здатності організації захищати свої інформаційні ресурси. Поняття «захисту інформації» трактується міжнародним стандартом як забезпечення конфіденційності, цілісності і доступності інформації. Крім конфіденційності стандарт чітко вказує на обов’язковість роботи над іншими, найчастіше більш важливими властивостями. Такими властивостями є доступність і цілісність . Рис. 1.5. Властивості інформації (інформаційних активів) Приклад. Працівник на своєму робочому місці, виконуючи функціональні обов’язки, часто пізно отримує інформацію від свого підлеглого чи сусіднього підрозділу. Як результат, це позначається на його робочому процесі. Цей інцидент ілюструє приклад порушення доступності інформації. З іншої сторони, бувають випадки, коли працівник отримує інформацію вчасно, але вона містить помилки. Ці помилки можуть бути зумовлені людським фактором, збоєм в роботі комп’ютера або іншою причиною, або множиною причин. Цей інцидент показує приклад порушення цілісності інформації. Інформаційна безпека не повинна асоціюватися з параноїдальним бажанням приховати, заблокувати і видалити конфіденційну інформацію. За такого підходу наміри щодо захисту інформації зумовлять, як мінімум, втрату доступності багатьох інформаційних ресурсів, що може зумовити набагато складніші фінансові наслідки, ніж їх втрата (витік). Завжди необхідно пам’ятати про розумну рівновагу, забезпечуючи одночасно всі три властивості – конфіденційність, цілісність, доступність. При цьому, завжди необхідно розуміти єдино правильну мету роботи організації. Ця мета не може бути розглянута в площині кращої оснащеності обладнанням або високої компетентності персоналу. Наприклад, єдиною метою фінансової організації є отримання фінансових засобів. Виняток можуть становити благодійні і схожі до них організації. Основним об’єктом стандарту ISO/IEC 27001:2005 є інформаційний актив – матеріальний або нематеріальний об’єкт, який: є інформацією або містить інформацію; слугує для оброблення, зберігання або передавання інформації; має цінність для організації. Прикладами інформаційних активів можуть бути: договори з клієнтами, фінансова звітність, персональні дані клієнтів і/або працівників, технологічна карта, журнал реєстрації листів, проекти нових засобів або послуг, ноутбук з інформацією про фінансовий стан організації, сервер з інформацією про клієнтів, архів (приміщення) з паперовими справами співробітників організації, керівник організації з планом перспективної та оперативної діяльності. Інформаційні активи мають основні властивості фінансових і матеріальних активів організації: вартість, цінність для організації, можливість накопичення, можливість трансформації в інші активи. Найчастіше цінність інформаційного активу організації перевищує цінність усіх фінансових. Прикладом такого активу є імідж організації. На цей час і фінансові, і матеріальні, інформаційні активи потребують захисту. Надійний захист інформаційних активів суттєвий аспект для роботи організації. Тому, невідповідний рівень захисту – часто недооцінений фактор ризику, який може стати загрозою для існування. Щоб досягнути рівня інформаційної безпеки, який задовольняє потреби, необхідно більше, ніж просто купити антивірусне програмне забезпечення (ПЗ), системи мережевого захисту або систему резервування даних. Необхідною є чітка і узгоджена система . Перш ніж приступати до впровадження вимог стандарту важливо розуміти переваги, які отримає організація. До них відносять : Зменшення і оптимізація вартості підтримки системи безпеки. Гроші витрачатимуться лише на ті напрями безпеки, які закриють найнебезпечніші ризики для конкретної організації. Об’єктивна оцінка зв’язку «збиток-ймовірність» надасть змогу постійно ефективно фінансувати інформаційну безпеку. Інформаційні активи стануть зрозумілими для менеджменту організації. Стандарт вимагає створення і підтримки в актуальному стані переліку інформаційних активів. Постійна ідентифікація загроз і вразливостей безпеки для функціонування організації. Ризики прораховуватимуться і рішення будуть прийматися на основі функціональних цілей організації, наприклад, фінансових цілей. Управління інформаційними активами організації у критичних ситуаціях буде ефективним завдяки розробленню, впровадженню та тестуванню планів щодо відновлення функціонування. Буде проводитися процес виконання політики безпеки (знаходити і виправляти вразливості в системі інформаційної безпеки в постійному режимі). Буде забезпечена прозорість функціонування перед чинним законодавством завдяки відповідності стандарту. З’явиться надійний захист від рейдерських атак. Підсистема інформаційної безпеки інтегрується в загальну систему менеджменту. Організація отримає міжнародне визнання і підвищиться її авторитет, як на внутрішньому ринку, так і на зовнішніх ринках. Рис. 1.6. Схема прийняття рішення про фінансування інформаційної безпеки Стандарт ISO 27001 містить перелік вимог, які досить складно виконати, враховуючи вітчизняний менталітет співробітників і керівництва організацій, історичні особливості становлення і розвитку організацій. Для побудови ефективної системи управління інформаційною безпекою необхідно виконати абсолютно всі вимоги стандарту. Зокрема, стандарт вимагає: наявності налагоджених контактів з різними інстанціями, які працюють в Україні у сфері інформаційної безпеки. Такими структурами можуть бути силові структури – МВС і СБУ, консалтингові організації, що працюють у сфері безпеки, сертифікаційні організації, форуми з інформаційної безпеки. наявності незалежного перегляду (нагляду) системи менеджменту інформаційної безпеки. Для цього можна залучити сертифікаційний орган, консалтингову організацію або представників організації-партнера. наявності актуального і повного реєстру інформаційних активів організації. Це достатньо великий обсяг робіт і багато організацій «запускають» актуалізацію реєстру. вимоги щодо інформаційної безпеки повинні застосовуватися і виконуватися при прийомі абсолютно всього персоналу на роботу. Це можуть бути вимоги про несудимість, про наявність комп’ютерних навичок, особистісні якості. під час роботи весь персонал періодично повинен проходити навчання або інструктаж з інформаційної безпеки. при звільненні співробітника повинні бути чітко перевірені за реєстром і повернуті всі інформаційні активи, які були доступні йому під час роботи. фізична безпека організації не повинна обмежуватися збереженням матеріальних активів. У рамках фізичної безпеки повинні бути вирішені проблеми з витоком або пошкодженням нематеріальних інформаційних активів. при розробленні програмного забезпечення для власних потреб необхідно розділяти середовище розроблення, тестування і експлуатації програмного забезпечення. Тобто, заборонено розробляти програмний засіб і працювати з ним на одному комп’ютері. Можливо необхідним буде придбання нових комп’ютерів для реалізації даної вимоги. повинні бути розроблені і повинні виконуватися вимоги з інформаційної безпеки для послуг третіх сторін (Інтернет-провайдер, консультанти, технічні фахівці інших організацій). будь-який пристрій, що містить інформацію, перед відправкою в ремонт, на склад, на утилізацію повинен бути оброблений з точки зору знищення всієї наявної на ньому інформації. системна документація до всього обладнання, щодо інформації повинна бути в наявності, бути доступною в потрібний момент часу і не повинна бути доступна третім особам. необхідно враховувати вимоги щодо інформаційної безпеки не лише до комп’ютерних інформаційних систем, але до простих факсів, телетайпів і телефонів. всі дії системних адміністраторів повинні фіксуватися. Це особливо складний пункт. Але його необхідність зумовлена тим, що системні адміністратори за родом своєї діяльності постійно корегують (конфігурують) налаштування інформаційних систем. Звільнення з роботи такого співробітника зумовить серйозні фінансові наслідки для організації. Наявність записів про виконані роботи допоможе новому системному адміністратору оперативно отримати управління інформаційною системою і вирішувати завдання з ремонту та налагодження системи. у всій організації повинна застосовуватися політика чистого робочого столу та екрану комп’ютера, оскільки саме таким чином відбувається велика кількість витоків інформації. всі інциденти, іншими словами всі проблеми, які пов’язані з інформацією (вихід з ладу комп’ютера, крадіжка обладнання, крадіжка інформації, збій в роботі інформаційної системи тощо) повинні фіксуватися в єдиному реєстрі інцидентів. Ця робота дасть можливість об’єктивно оцінити існуючий рівень проблем. в організації повинні бути розроблені плани з відновлення функціонування. Каменем спотикання часто є їх обов’язкове тестування. організація повинна дотримуватись вимог закону «Про авторське право і суміжні права». Тобто слідуючи стандарту організація не може використовувати неліцензійне програмне забезпечення. в організації повністю повинні бути усунені випадки нецільового використання засобів оброблення інформації. Тобто забороненими є ігри, приватні «прогулянки» у мережі Інтернет, пошук рефератів тощо. Це практично повний список складних для реалізації вимог стандарту. Інші вимоги досить прості для розуміння та реалізації .

Лабораторна робота Економіка та організація електротехнічної служби підприємств

nataha

14.11.2013 23:11-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись