Разработка комплексной системы защиты информации для компании ОАО «Квант»". Дипломная работа 2014 г.

Оглавление
Введение 2
I Аналитическая часть 4
1.1. Технико-экономическая характеристика предметной области и предприятия 4
1.1.1. Общая характеристика предметной области 4
1.1.2. Организационно-функциональная структура предприятия. 7
1.2. Анализ рисков информационной безопасности 13
1.2.1 Идентификация и оценка информационных активов 13
1.2.2. Оценка уязвимостей активов 18
1.2.3. Оценка угроз активам 20
1.2.4. Оценка существующих и планируемых средств защиты 24
1.2.5. Оценка рисков 31
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 34
1.3.1. Выбор комплекса задач обеспечения информационной безопасности 34
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 36
1.4. Выбор защитных мер 41
1.4.1. Выбор организационных мер 41
1.4.2. Выбор инженерно-технических мер 44
II Проектная часть 49
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 49
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 49
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 67
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 70
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 70
2.2.3. Контрольный пример реализации проекта и его описание 89
III Обоснование экономической эффективности проекта 95
3.1 Выбор и обоснование методики расчёта экономической эффективности 95
3.2 Расчёт показателей экономической эффективности проекта 99
Список литературы 110
118
Введение
Актуальность. В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.
Рассматривая информацию как товар, можно сказать, что нанесение ущерба информации в целом приводит к материальным затратам. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.
Таким образом, можно констатировать, что обеспечение безопасности автоматизированных информационных систем должно являться одной из важнейших задач любого учреждения, использующего ее в своей работе.
Актуальность проблемы защиты информации сегодня не вызывает сомнений. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности.
По экспертным оценкам, за последние три года число только официально зарегистрированных компьютерных преступлений возросло в 3 раза. Методы атак на информационные и коммуникационные системы постоянно совершенствуются. Ситуация осложняется тем, что бизнес в целом становится все более зависимым от информационных технологий, от стабильной и защищенной работы систем IP-телефонии, электронной коммерции, электронной почты, ERP-систем и т.д. Таким образом, политика в области информационной безопасности должна носить комплексный и превентивный характер.
Реализуя собственные программы и стратегии обеспечения информационной безопасности, выполняя требования регулирующих органов, организации решают задачу создания системы информационной безопасности, позволяющей адекватно реагировать на постоянно расширяющийся спектр угроз и предотвращать события, наносящие ущерб основной деятельности предприятия.
Стоит отметить, что на данном этапе развития информационных технологий существует ряд стандартов, предписанных для построения эффективной системы информационной безопасности, но также есть и некоторые рекомендации к обеспечению информационной безопасности от самих создателей определенных программных продуктов, одним из представителей которых является часто используемая в бизнес-структурах серия продуктов Siemens.
Цель работы: создать комплексную автоматизированную систему безопасности здания
В качестве аппаратной базы мы выбрали продукцию компании Siemens, как отвечающую всем необходимым стандартам, надежную и технически современную, сертифицированную на территории РФ.
Для реализации поставленной цели мы решим ряд задач:
1.1 Проанализируем технико-экономическая характеристика предметной области и предприятия.
1.2 Рассмотрим и систематизируем структуру угроз и риском компании.
1.3 Разработаем комплекс задач по создания автоматизированной системы защиты информации.
1.4 Оценим экономическую эффективность внедряемого комплекса.
Работа выполнена на базе информации ООО «Доринжприбор.»
Заключение
Опыт организаций занимающихся защитой информации показывает, что для достижения удачных решений по защите информации необходимо сочетание правовых, организационных и технических мер. Это сочетание определяется конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. В общем случае технические меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности.
Работы по созданию системы защиты информации (СЗИ) включают в себя следующие этапы:
- анализ состава и содержания конфиденциальной информации циркулирующей на конкретном объекте защиты;
- анализ ценности информации для предприятия (организации) с позиций возможного ущерба от ее получения конкурентами;
- оценка уязвимости информации, доступности ее для средств злоумышленника;
- исследование действующей системы защиты информации на предприятии;
- оценка затрат на разработку новой (или совершенствование действующей) системы;
- организация мер защиты информации;
- закрепление персональной ответственности за защиту информации;
- реализация новой технологии защиты информации;
-создание обстановки сознательного отношения к защите информации;
- контроль результатов разработки и прием в эксплуатацию новой
системы защиты.
Изложенные этапы дипломной работы можно считать типовыми для процесса разработки систем защиты, так как они в значительной мере охватывают практически весь объем работ на организационном уровне.
Самым начальным, исходным шагом, направленным на развертывание работ по созданию или совершенствованию СЗИ, является разработка приказа руководителя организации (предприятия) на проведение работ с указанием конкретного должностного лица, ответственного за создание СЗИ в целом. В приказе излагаются цели и задачи создания СЗИ в данной организации, определяются этапы и сроки их выполнения, назначаются конкретные должностные лица, ответственные за отдельные этапы, отдельные виды работ. В приказе определяется подразделение или временный творческий (научно-технический) коллектив, который будет вести работы по созданию (совершенствованию) системы.
Если к работе по созданию СЗИ будут привлекаться сторонние организации, в приказе оговаривается способ взаимодействия с ними, а также даются необходимые поручения по его обеспечению.
В соответствии со сложившейся практикой разработки сложных систем устанавливаются следующие стадии:
- предпроектирование работ (обследование и разработка технического задания);
- проектирование (разработка технического, рабочего или техно-рабочего проектов);
- ввод СЗИ в эксплуатацию.
Окончательное решение о стадийности проектирования разработки СЗИ определяется на стадии предпроектных работ при разработке ТЗ исходя из производственно-технических условий, экономических возможностей, особенностей СЗИ и используемых технических средств.
Независимо от того, насколько хорошо разработаны технические и организационные меры безопасности, они, в конце концов, основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Если отдельный сотрудник обманет доверие, то никакая система безопасности и секретности не сможет предотвратить неправомерное овладение информацией.
Для обеспечения уверенности в том, что данная организация успешно поддерживает функционирование системы безопасности, применяются различные методы проверки. Это регулярные независимые инспекции и ревизии, а также проверочные комиссии, включающие представителей всех участвующих в работе с конфиденциальной информацией.
Так как ни одна из форм не является идеальной, то общий контроль за деятельностью системы защиты и ее функционированием должен осуществлять высший орган руководства организации (предприятия через специальные подразделения обеспечения безопасности).
Оценка эффективности защиты должна осуществляться в соответствии с принципом комплексности.
Особое внимание при оценке эффективности системы защиты техническими средствами необходимо обратить на их надежность и безотказность. При их эксплуатации имеют место поломки, сбои, отказы, вследствие чего они не обеспечивают выполнение задачи защиты. Отсюда задача обеспечения надлежащей надежности технических средств обретает значительную важность, так как уровень, качество и безопасность защиты находятся в прямой зависимости от надежности технических средств.

Список литературы
1. Абалмазов Э. И. Концепция безопасности: тактика высокоэффективной защиты. Стоимость стратегии, стратегические ресурсы, тактика защиты, сопоставимость тактических решений. // Системы безопасности. – 1995 – № 4.
2. Абалмазов Э. И. Пределы возможностей средств информационного поиска и защиты. // Системы безопасности. – 1996. – № 1.
3. Абрамов A. M., Никулин О. Ю., Петрушин А. Н. Системы управления доступом. – М.: Оберег-РБ, 1998. – 192 с.
4. Автоматизация зданий. Каталог продукции 2008-2012 гг. – SIEMENS. – 460 с.
5. Автоматизация зданий. Обзор и сравнение технологий. – Корпорация Echelon, USA. Пер. АРМО. – 11 с.
6. Адрианов В. И., Бордин В. А., Соколов А. В. «Шпионские штучки» и устройства защиты объектов и информации. / Под общей редакцией Золотарева С. А. – СПб., Лань, 1996. – 272 с.
7. Алаухов С. Ф, Коцеруба В. Я. Вопросы создания систем физической защиты для крупных промышленных объектов. // Системы безопасности. – 2001. – № 41. – С. 93.
8. Алексеенко В. Н. Специальная защита. // Материалы международной конференции «Информатизация правоохранительных систем». – М.: Международная академия информатизации, 1994. – С. 182-186.
9. Алешин А. П. Техническое обеспечение безопасности бизнеса. – М.: Дашков и Ко, 2008. – 160 с.
10. Андреев С. П. ИК-пассивные датчики охранной сигнализации. // Специальная техника. – 1998. – № 1. – С. 23-28.
11. Андреев А. И., Зорин А. С., Сапожников Г. П. Маскировка и скрытая установка аппаратуры охранной сигнализации. // Техника охраны. –1994. – № 1. – С. 85-88.
12. Антоненко А. А. Техническая эксплуатация средств охраны и безопасности объектов: Учебно-методическое пособие. – М.: НОУ «Такир», 2002. – 48 с.
13. Барсуков B. C., Марущенко В. В., Шигин В. А. Интегральная безопасность. – М.: АО «Газпром», 1994. – 170 с.
14. Барсуков B. C. Технические средства обнаружения угроз. // Мир безопасности. – 1997. – № 8(48). – С.38-42.
15. Батанов A. M. Объемный охранный ИК-извещатель «Фотон-4″. // Техника охраны. – 1994. – N 1. – С. 64-66.
16. Борисов В. А., Гончаров Н. Д. Разноволновые устройства охранной сигнализации. Обзорная информация. Вып. 2. – М.: ВНИИПО МВД СССР, 1992. – 50 с.
17. Ботнев В. Н. Радиолучевые сигнализаторы. // Системы безопасности. –1995. – № 4. – С. 17.
18. Василевский И. В. От комплекса к системе информационной безопасности. // Системы безопасности. – 1996. – № 4.
19. Вихирев А. А. Методическое пособие по оценке пожароопасности помещений. – М.: НОУ «Такир», 1998. – 44 с.
20. Владимиров Н. И. Акустические поля: средства нападения и защиты. Модель нападения. Стетоскопы. Генераторы шума. // Системы безопасности. – 1995. – № 2.
21. Волхонский В. В. Телевизионные системы наблюдения. – СПб.: Экополис и культура. – 1997.
22. Выбор и применение современных технических средств охранно-пожарной сигнализации на объектах народного хозяйства. Рекомендации. – М.: ВНИИПО МВД СССР, 1991. – 222 с.
23. Гавриш В. А. Практическое пособие по защите коммерческой тайны. – Симферополь: Таврида, 1994. – 112 с.
24. Гамблицкий В. Я. Инфракрасные датчики. // Системы безопасности. –1995. – № 4. – С. 15.
25. Гасанов Р. Шпионаж и бизнес. – М.: Мысль, 1993.
26. Гик Л. Д. Измерение вибраций. – Новосибирск: «Наука», 1972. – 291с.
27. ГОСТ 27990-88 (1991). Средства охранной, пожарной и охранно-пожарной сигнализации. Общие технические требования.
28. ГОСТ Р 50009-92 (ГОСТ 30379-95). Совместимость технических средств охранной, пожарной и охранно-пожарной сигнализации электромагнитная. Требования, нормы и методы испытаний на помехоустойчивость и индустриальные радиопомехи.
29. ГОСТ Р 50658-94 (1995) Системы тревожной сигнализации. Часть 2. Требования к системам охранной сигнализации. Раздел 4. Ультразвуковые доплеровские извещатели для закрытых помещений.
30. ГОСТ Р 50659-94 Системы тревожной сигнализации. Часть 2. Требования к системам охранной сигнализации. Часть 5. Радиоволновые доплеровские извещатели для закрытых помещений.
31. ГОСТ Р 50775-95 (МЭК 839-1-1-88) (1996) Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 1. Общие положения.
32. ГОСТ Р 50777-95 (МЭК 839-2-6-90) Системы тревожной сигнализации. Часть 2. Требования к системам охранной сигнализации. Раздел 6. Пассивные оптикоэлектронные инфракрасные извещатели для закрытых помещений.
33. ГОСТ Р 51186-98 (1999) Извещатели охранные звуковые пассивные для блокировки остекленных конструкций в закрытых помещениях. Общие технические требования и методы испытаний.
34. ГОСТ Р 51241-98 (2000) Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.
35. ГОСТ Р 51558-2000 (2001) Системы охранные телевизионные. Общие технические требования и методы испытаний.
36. Груздев С. Л. Электронные ключи. // Мир ПК. – 1993. – № 9. – С.29-31.
37. Груздев С. Л. 16 вариантов русской защиты. // Компьютер Пресс. –1992. – №10.
38. Демин Ю. И., Петраков А. В. Современные автоматизированные охранные системы. Тезисы докладов на НТК МТУСИ. – 1993. – С. 9-10.
39. Детекторы, системы видеонаблюдения, системы управления, контроль доступа, модульные контроллеры, пожарная сигнализация, энергосбережение. – Обзоры, брошюры, технические описания, каталоги продукции фирмы SIEMENS. – 2008 г.
40. Дуда Р., Харт П. Распознавание образов и анализ сцен. / Пер. с англ.; под ред. В.Л. Стефанюка. – М.: Мир, 1976.
41. Иванов И. В. Охрана периметров. – М.: Радио и связь, 1997. – 98 с.
42. Иткис О. Департамент «Автоматизация и безопасность зданий» ООО «Сименс». – SIEMENS Building Technologies, 2008. – 35 с.
43. Казанский Д. О. Оптимальная организация комплекса безопасности. // Системы безопасности связи и телекоммуникаций. – 1997. – № 4. – С.22-23.
44. Каталоги и рекламные проспекты изделий фирм: «Ново», «Маском», «Дивекон», Радиотехнической компании «КиС Э», НПК «Союзспецавтоматика», ИКМЦ-Г, «Элерон», «Тротек», AUDIOTEL, SSS, PK Electronics, Texнише Бератунг Шиттко Гмбх., Micro and Securety Electronic KG, CCS (STG), Knowlege Express, «Оникс», «Формула безопасности – сервис», SMIRAB ELECTRONICS, «Интрако», «Дивекон», С&К Systems, Pyronix, PARADOX, SIPORT OS M, РАС International и др. – 1994-2008 гг.
45. Каталог фирмы Octagon systems, Micro PC, 1994.
46. Киреев A.M. Телевизионная аппаратура на пироконах. // Техника кино и телевидения. – 1988. – № 1.
47. Кирюхина Т. Г., Дубинина В. А. Приемно-контрольные приборы охранно-пожарной сигнализации: обзорная информация. – М.: ВНИИПО, 1992.
48. Киселев А., Чаплыгин В., Шейкин М. Секреты коммерческой безопасности. Практические советы предпринимателю. – М.: Инфоарт, 1993. – 128 с.
49. Конеев И. Р., Беляев А. В. Информационная безопасность предприятия. – СПб.: БХВ – Петербург, 2003. – 752 с.
50. Крысин А. В. Безопасность предпринимательской деятельности. – М.: Финансы и статистика, 1996. – 380 с.
51. Лысов А. В., Остапенко А. Н. Промышленный шпионаж в России: методы и средства. – АОЗТ «Лаборатория Противодействия Промышленному Шпионажу», 1994.
52. Магауенов Р. Г. Основные задачи и способы обеспечения безопасности автоматизированных систем обработки информации. – М.: Издательский дом «Мир безопасности», 1997. – 112 с.
53. Магауенов Р. Г. Системы охранной сигнализации: основы теории и принципы построения: Учебное пособие. – М.: Горячая линия –Телеком, 2004. – 367 с.
54. Мироничев С. Ю. Коммерческая разведка и контрразведка или Промышленный шпионаж в России и методы борьбы с ним. – М.: Дружок, 1995. – 223 с.
55. Мирошников М. М. Теоретические основы оптико-электронных приборов. – Л.: Машиностроение, 1983. – 696 с.
56. Мишин Е. Т. Индустрия безопасности: новые задачи – новая стратегия. // Системы безопасности связи и телекоммуникаций. – 1999. – № 24. – С. 40-42.
57. Мур А., Хиарлен К. Руководство по безопасности бизнеса. – М.: Издат. дом «Филинъ», 1998. – 328 с.
58. Никулин О. Ю., Петрушин А. Н. Системы телевизионного наблюдения. – М.: Оберег-РБ, 1997. – 176 с.
59. Нилов В. А., Членов А. Н., Шакиров Ф. А. Технические средства охранно-пожарной сигнализации. – М.: НОУ «Такир», 1998. – 147 с.
60. Оборудование безопасности. Каталог. – М.: Элике, 1999.
61. Омельянчук A. M. Применение видеотехники в охране. – М.: ТВ «Безопасность», 1995. – 72 с.
62. Организация и современные методы защиты информации. – М.: Концерн «Банковский Деловой Центр», 1998. – 472 с.
63. Патрик Э. Основы теории распознавания образов. / Перевод с англ. под ред. Левина Б. Р. – М.: Сов. радио, 1971.
64. Пастухов Н. А., Членов А. Н. Состояние и перспективы развития извещателей для охраны помещений. // Техника охраны. – 1994. – № 1. – С. 42-46.
65. Перечень технических средств охранной, охранно-пожарной сигнализации, разрешенных к применению с 1993 г. на охраняемых объектах различной формы собственности и квартирах или подлежащих передаче под охрану подразделениям вневедомственной охраны при ОВД на территории России. // Техника охраны. – М.: НИЦ «Охрана» ВНИИПО МВД РФ. – 1994. – № 1. – С. 50-61.
66. Петраков А. В. Техническая защита информации. – М.: МТУСИ. – 1995. – 60 с.
67. Петраков А. В. Защита и охрана личности, собственности, информации. Справочное пособие. – М.: «Радио и связь», 1997. – 320 с.
68. Петраков А. В., Дорошенко П. С., Савлуков Н. В. Охрана и защита современного предприятия. – М.: Энергоатомиздат, 1999. – 568 с.
69. Поздняков Е. Н. Защита объектов. – М.: Концерн «Банковский Деловой Центр», 1997. – 224 с.
70. Проектирование систем видеонаблюдения и видеоконтроля. – СПб.: Ультра-Стар, 1996.
71. Рольф М. Основы построения систем охранной сигнализации. / Пер. с англ. № Н-10736. – М.: ВЦП, 1984. – 71 с.
72. Руководство по обеспечению безопасности личности и предпринимательства. Практическое пособие. – Институт безопасности предпринимательства при содействии Совета по безопасности предпринимательства России. – М.: Виком, 1996. – 118 с.
73. Русанов Ю. А. Кабельные системы сигнализации. // Системы безопасности. – 1995. – № 4. – С.29.
74. Свирский Ю. К. Охранная сигнализация: средства обнаружения, коммуникации, управление. // Системы безопасности. – 1995. – № 4. – С.10-16.
75. Свирский Ю. К. ИК-датчики: методы повышения помехоустойчивости. // Системы безопасности связи и телекоммуникаций. – 1997. – № 3. –С.12-16.
76. Синилов В. Г. Системы охранной, пожарной и охранно-пожарной сигнализации: Учебник для нач. проф. образования; Учеб. пособие для сред. проф. образования. / 2-е изд., стер. – М.: Изд. центр «Академия», 2004. – 352 с.
77. Системы охранной сигнализации фирмы SIEMENS. – Каталог, 2008. – 51 с.
78. Системы охранной сигнализации. Часть 1. // Серия «Индустрия безопасности». – М.: Фирма «Ново», НПО «Рокса». – 1993. – 88 с.
79. Системы охранного телевизионного наблюдения. — М.: НИЦ ТВ «Охрана». – 1997.
80. Системы и устройства охранной и пожарной сигнализации. Средства защиты информации. // Каталог «Изделия промышленности средств связи». Серия 5. – М.: АО «Экос». – 1993. – 122 с.
81. CCTV: Библия охранного телевидения – М.: ООО «ИСС», 2002. – 352 с.
82. Стандарты надежности и система безопасности NetWare 4. По материалам ф. Novell. // Деловой Мир. Мир информации. – 1995. – № 6 (12).
83. Техническая безопасность объектов предпринимательства, I том. / Сост. Дворский М. Н., Палатченко С. Н. – К.: А-ДЕПТ, 2006. – 304 с.
84. Техническая безопасность объектов предпринимательства, II том. / Сост. Дворский М. Н., Палатченко С. Н. – К.: А-ДЕПТ, 2006. – 256 с.
85. Топольский Н. Г. Концепция создания интегрированных систем безопасности и жизнеобеспечения. // Материалы III Международной конференции «Информатизация систем безопасности ИСБ-94». – М.: Научный совет по проблемам общественной безопасности АЕН РФ. – 1994. – С. 12-14.
86. Филип Х. Уокер. Электронные системы охраны. Наилучшие способы предотвращения преступлений. / Пер. с англ. – М.: За и против, 1991. – 289 с.
87. Харский К. В. Благонадежность и лояльность персонала. – СПб.: Издат. дом «Питер», 2003. – 496 с.
88. Членов А. Н., Климов А. В. Зарубежные акустические извещатели разрушения стекла. // Техника охраны. – 1995. – № 1. – С.41-43.
89. Что такое LON. Краткий обзор технологии LonWorks. / Фальков А. И., Сузан Д. В. и др. – М.: Учебный центр АРМО, 2006. – 60 с.
90. Шакиров Ф. А., Ковалев М. С. Системы охранного телевидения. – М.: НОУ «Такир», 2002. – 119 с.
91. Шакиров Ф. А. Системы телевизионного наблюдения. – М.: НОУ «Такир», 1998. – 56 с.
92. Шепитько Г. Е. Методика расчета среднего периода ложных срабатываний охранных извещателей. – М.: ИЦ НИЦ «Охрана» ВНИИПО МВД СССР, 1990. – 12 с.
93. Шепитько Г. Е., Булахов Э. А. Методика оценки норм и показателей помехозащищенности средств охранной сигнализации. – М.: НИЦ «Охрана» ВНИИПО МВД РФ, 1992. – 30 с.
94. Шепитько Г. Е. Проблемы охранной безопасности объектов. – М.: Русское право, 1995. – 352 с.
95. Шеленцов Б. Н. Комбинированный извещатель Сокол-Г. // Техника охраны. – М.: НИЦ «Охрана» ВНИИПО МВД РФ. – 1994. – № 1. – С. 67-68.
96. Ярочкин В. И. Служба безопасности коммерческого предприятия. – М.: Ось-89, 1995. – 144 с.

Приложения

Приложение 1.
Разработка политики ИБ и выбор решений по обеспечению политики ИБ
В основе организационных мер защиты информации лежит политика безопасности, от эффективности которой в наибольшей степени зависит успешность мероприятий по обеспечению информационной безопасности.
Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации.
Политика безопасности строится на основе анализа рисков. С учетом рисков, выявленных в организации, политика информационной безопасности для организации должна содержать семь разделов:
-«Введение». Необходимость появления политики безопасности на основании выявленных недостатков в информационной безопасности ООО «Стиль»;
-«Цель политики». В этом разделе документа для ООО «Стиль» необходимо отразить цели создания данного документа (в частности, для парольной политики – «установление стандартов для создания «сильных» паролей, их защиты и регулярной смены»);
-«Область применения». В данном разделе необходимо описать объекты или субъекты ООО «Стиль», которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»);
-«Политика». В данном разделе необходимо описать сами требования к информационной безопасности (например, парольная политика должна содержать пять подразделов: «Создание паролей», «Изменение паролей», «Защита паролей», «Использование паролей при разработке приложений», «Использование паролей при удаленном доступе»);
-«Ответственность». Описывает наказание за нарушение указанных в предыдущем разделе требований;
-«История изменений данной политики». Дает возможность отследить все вносимые в документ изменения (дата, автор, краткая суть изменения).
Такая структура позволит лаконично описать все основные моменты, связанные с предметом политики безопасности организации, не «привязываясь» к конкретным техническим решениям, продуктам и производителям. Иначе изменение политической ситуации в компании и т. п. приведет к необходимости изменения концепции ИБ, а этого происходить не должно.
Кроме того, в политике безопасности организации должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика