Отправная точка для внедрения информационной безопасности

ВВЕДЕНИЕ

 

    Для достижения соответствия качества подготовки специалистов

современному уровню науки и техники необходимо обеспечить

хорошую подготовку выпускников не только в теоретических вопросах,

но и в практической сфере.

    Для реализации этой задачи государственными образовательными

стандартами высшего профессионального образования предусмотрено

проведение производственных практик. Производственная практика

студентов является составной частью образовательной программы

высшего профессионального образования.

    Данная программа производственной практики проводятся на

предприятии, учреждениях и в организациях.

    В соответствии с договорами предприятия, учреждения и

организации обязаны предоставлять места для прохождения

производственной практики, как для групп студентов, так и

индивидуальные места на одного студента.

    Во время прохождения производственной практики для

активизации познавательной деятельности студента производится

функционально-направленная индивидуальная подготовка студентов,

обеспечивающая ориентацию их подготовки как будущих специалистов

по защите информации на работу по профессии.

 

 

ЦЕЛИ ПРОИЗВОДСТВЕННОЙ ПРАКТИКИ.

 

    Закрепление и углубление теоретических знаний, полученные при изучении дисциплин общепрофессионального цикла и дисциплин специализации.

    Приобретение и развитие необходимых практических умений и навыков в соответствии с требованиями к уровню подготовки выпускников.

изучение обязанностей должностных лиц предприятия, обеспечивающих решение проблем защиты информации.

    Формирование общего представления об информационной безопасности объекта защиты, методов и средств её обеспечения.

    Изучение комплексного применения методов и средств обеспечения информационной безопасности объекта защиты.

    Изучение источников информации и системы оценок эффективности применяемы мер обеспечения защиты информации на производстве

 

 

НОРМАТИВНО-ПРАВОВАЯ ОСНОВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ.

 

Введение в действие требований информационной безопасности поддерживается комплексом нормативных документов и процедур по защите информации. В этих документах содержится более подробная информация о конкретных процессах и процедурах, предназначенных для защиты информации Общества.

Данная политика разработана в соответствии с требованиями следующих документов:

    Федерального закона от 01.01.2001 «О коммерческой тайне».

    Федерального закона от 01.01.2001 «Об информации, информационных технологиях и защите информации».

     Гражданского кодекса Российской Федерации (Раздел VII).

    Национального стандарта РФ ГОСТ ИСО/МЭК 17799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью».

    «Перечень сведений, составляющих конфиденциальную информацию» (необходимо включить в перечень и персональные данные подлежащие защите согласно требованиям закона РФ).

    «Положение об организации работы по обеспечению защиты конфиденциальной информации».

    «Положение о постоянной действующей комиссии по вопросам защиты конфиденциальной информации».

    «Положение о постоянной экспертной комиссии».

    «Положение о пропускном и внутриобъектовом режиме».

     «Положение об организации документооборота».

    «Положение об организации электронного документооборота».

    «Инструкции по резервному копированию информационных массивов».

    «Инструкция по антивирусной и парольной защите».

    Трудовой договор, различного рода обязательства не противоречащие Российскому законодательству.

    «Положение о проведении дисциплинарного расследования».

 

 

 

МЕТОДЫ И СТРЕДСТВА ЗИЩИТЫ ИНФОРМАЦИИ.

 

    Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами предприятия конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

    Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.

    При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами.

    Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.

Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников.Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.

    Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.

 

ОТПРАВНАЯ ТОЧКА ДЛЯ ВНЕДРЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

 

    Ключевыми мерами контроля с точки зрения законодательства являются:

    Обеспечение конфиденциальности персональных данных.

    Защита учетных данных организации.

    Права на интеллектуальную собственность.

Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:

Наличие документа, описывающего политику информационной безопасности.

    Распределение обязанностей по обеспечению информационной безопасности.

    Обучение вопросам информационной безопасности.

Информирование об инцидентах, связанных с информационной безопасностью.

    Управление непрерывностью бизнеса.