Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Описание системы информационной безопасности фирмыСодержание книги
Похожие статьи вашей тематики
Поиск на нашем сайте
Рассмотрим основные направления деятельности подразделений Службы корпоративной защиты ОАО "Газпром": - разработка целевых программ по развитию систем и комплексов инженерно-технических средств охраны (ИТСО), систем обеспечения информационной безопасности (ИБ) ОАО "Газпром" и его дочерних обществ и организаций, участие в формировании инвестиционной программы, направленной на обеспечение информационно-технической безопасности; - реализация полномочий заказчика работ по развитию систем обеспечения ИБ, а также систем и комплексов ИТСО; - рассмотрение и согласование бюджетных заявок и бюджетов на осуществление мероприятий по развитию систем обеспечения ИБ, систем и комплексов ИТСО, а также на создание ИТ в части систем защиты информации; - рассмотрение и согласование проектной и предпроектной документации по развитию систем обеспечения ИБ, систем и комплексов ИТСО, а также технических заданий на создание (модернизацию) информационных систем, систем связи и телекоммуникаций в части требований по обеспечению информационной безопасности; - организация работ по оценке соответствия систем и комплексов ИТСО, систем обеспечения И Б (а также работ и услуг по их созданию) установленным требованиям; - координация и контроль выполнения работ по технической защите информации. В "Газпроме" создана система, обеспечивающая защиту персональных данных. Однако принятие федеральными органами исполнительной власти ряда нормативных правовых актов в развитие действующих законов и постановлений правительства обуславливает необходимость совершенствования действующей системы защиты ПД. В интересах решения указанной задачи в рамках научно-исследовательских работ разработан и проходит согласование целый ряд документов. Прежде всего, это проекты стандартов организации Развития Газпром: - "Методика проведения классификации информационных систем персональных данных ОАО "Газпром", его дочерних обществ и организаций"; - "Модель угроз персональным данным при их обработке в информационных системах персональных данных ОАО "Газпром", его дочерних обществ и организаций". Данные документы разработаны с учетом требований Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" применительно к классу специальных систем, к которым относится большая часть ИСПДн ОАО "Газпром". Кроме того, в настоящее время ведется разработка "Положения по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных ОАО "Газпром", его дочерних обществ и организаций". Следует отметить, что в рамках системы стандартизации ОАО «Газпром» разработаны стандарты системы обеспечения информационной безопасности, которые также позволят решать задачи защиты ПД, обрабатываемых в информационных системах ОАО «Газпром». Семь стандартов, относящихся к системе обеспечения информационной безопасности, утверждены и вводятся в действие в текущем году. В стандартах определены основные требования по построению систем обеспечения информационной безопасности ОАО «Газпром» и его дочерних организаций. Результаты проделанной работы позволят более рационально использовать материальные, финансовые и интеллектуальные ресурсы, сформировать необходимое нормативно-методическое обеспечение, внедрить эффективные средства защиты и, как следствие, обеспечить защищенность персональных данных, обрабатываемых в информационных системах ОАО «Газпром». В результате проведения анализа информационной безопасности ОАО «Газпром» были выявлены следующие недостатки в обеспечении безопасности информации: - в организации отсутствует единый документ, регулирующий комплексную политику безопасности; - учитывая размеры сети и количество пользователей (более 100), следует отметить, что системным администрированием, обеспечением информационной безопасности и технической поддержки занимается один человек; - отсутствует классификация информационных активов по степени важности; - роли и обязанности по информационной безопасности не включены в должностные инструкции; - в заключаемом с сотрудником трудовом договоре отсутствует пункт об обязанностях по информационной безопасности как трудоустраивающихся, так и самой организации; - обучение персонала в области защиты информации не проводится; - с точки зрения защиты от внешних угроз: не разработано типичных процедур поведения для восстановления данных после несчастных случаев, произошедших в результате внешних и экологических угроз; - серверная не является отдельным помещением, за помещением закреплен статус двух отделов (в серверную, кроме системного администратора, имеет доступ еще один человек); - не проводится техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям; - несмотря на то, что вход осуществляется по электронным пропускам и вся информация поступает в специальную базу данных, ее анализ не проводится; - не ведутся записи о предполагаемых и фактических сбоях оборудования; - с точки зрения защиты от вредоносных программ: отсутствует формальная политика по защите от рисков, связанных с получением файлов как из внешних сетей или посредством них, так и содержащихся на сменных носителях; - с точки зрения защиты от вредоносных программ: отсутствуют руководящие процедуры по защите локальной сети от вредоносного кода; - отсутствует контроль трафика, имеется доступ к почтовым серверам внешних сетей; - все резервные копии хранятся в серверной; - используются небезопасные, легко запоминающиеся пароли; - получение паролей пользователями никак не подтверждается; - пароли в открытом виде хранятся у администратора; - пароли не меняются; -не существует порядка сообщения о событиях информационной безопасности. Таким образом, на основании этих недостатков, был разработан набор регламентов в отношении политики информационной безопасности, включающий: - политику в отношении приема на работу (увольнению) и наделению (лишению) сотрудников необходимыми полномочиями по доступу к ресурсам системы; - политику в отношении работы пользователей сети в процессе её эксплуатации; - политику по организации парольной защиты; - политику по организации физической защиты; - политику по работе с сетью Интернет; - а также административные меры по обеспечению безопасности. Документы, содержащие указанные регламенты, находятся на стадии рассмотрения руководством организации.
|
||||
Последнее изменение этой страницы: 2016-12-27; просмотров: 2322; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.191.26.149 (0.011 с.) |