В этом разделе следует отметить, какая при существующей технологии решения имеется политика безопасности в компании, а также программные и аппаратные средства ИБ и ЗИ, если эти методы и средства используются, то каким образом. При анализе системы и имеющихся в ней методов и средств ИБ и ЗИ необходимо отразить:
- данные о подразделении (должностных лицах), на которых возложены задачи по защите информации: организационную структуру подразделения и функционал. Информация должна детализировать данные п.1.1.2. с точки зрения обеспечения информационной безопасности.
- результаты анализа существующей в компании политики безопасности (нормативно-правовые и организационно-распорядительные документы, регламенты, процедуры, должностные инструкции и т.д.), рекомендуется указать основные положения политики безопасности (регламенты использования сети Internet, электронной почты, доступа к служебной информации, доступа к информации, составляющей коммерческую тайну, установки и использования программного обеспечения);
- анализ существующих программных и аппаратных средств ИБ и ЗИ, их использование в организации (привести перечень используемых средств, отразив их назначение, параметры и возможности);
- порядок реализации системы обеспечения ИБ и ЗИ (кто этим занимается, кто отвечает, структура);
- как обеспечивается ИБ и ЗИ на различных уровнях: программный, аппаратный, организационный (права доступа, права пользователя системы, парольная защита, доступ к базе, программные средства защиты, встроенные средства защиты, ведение логов и так далее);
- как для Internet систем (web портал, электронный магазин и так далее) используются средства защиты от внешних угроз (взлом сайта, нарушение его работы и так далее);
- какие используются средства защиты от инсайдерских угроз (хищение и порча данных сотрудниками организации, ошибки при пользовании программным и аппаратным обеспечением и так далее).
- результаты оценки действующей системы безопасности информации, отражающие, насколько полно выполняются однотипные объективные функции при решении задач обеспечения защиты информации. Если некоторые задачи решаются не в полном объеме, следует указать, как предусмотренные мероприятия выполняются в действительности. Результаты обследования внести в Таблицу 11.
Таблица 11
Анализ выполнения основных задач
по обеспечению информационной безопасности
| Основные задачи по обеспечению информационной безопасности | Степень выполнения |
| обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной; | |
| организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны; | |
| организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; | |
| предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; | |
| выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях; | |
| обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; | |
| обеспечение охраны территории, зданий помещений, с защищаемой информацией. |
1.3.2. Выбор комплекса задач обеспечения информационной безопасности.
Кроме общих угроз информационной безопасности особенности деятельности предприятия накладывают и специфические угрозы. Отсюда, при общем анализе возможных угроз предприятию необходимо провести глубокий анализ специфических рисков (например, в финансово-экономической сфере, в сфере государственной на режимном предприятии и т.д.). Следует выбрать те основные задачи или совокупность задач, для которых будет в дальнейшем разрабатываться дипломный проект и провести обоснование, используя для этого информацию из п.1.3.1.
К таким задачам, например, может относиться:
· актуализация политики безопасности
· модернизация программной архитектуры
· модернизация технической архитектуры
· реализация защищенных протоколов обмена данными
· организация безопасного удаленного доступа сотрудников к корпоративным ресурсам предприятия
· организация безопасной работы облачных сервисов предприятия
· организация безопасного доступа к информационным ресурсам предприятия с помощью мобильных устройств
· развертывание и обеспечение безопасной работы беспроводной локальной сети
· развертывание и обеспечение безопасной работы VPN
· модернизация системы защиты от:
Ø спама,
Ø проникновения вредоносного программного кода
Ø хакерских атак
Ø инсайдерских угроз
Ø и так далее