Разработка политики информационной безопасности в коммерческой организации (на примере ООО «Север Континент»)

Любую отечественную компанию можно сравнить с небольшим государством. И если в каждом государстве существует законодательство, регламентирующее деятельность граждан, то в компании роль законов выполняют политики безопасности. За нарушение законов государства граждане несут ответственность, нарушение политик безопасности сотрудниками компании также влечет за собой ответственность.
Политики информационной безопасности определяют стратегию и тактику построения корпоративной системы защиты информации. На практике принято создавать единый документ, включающий в себя стратегию и тактику. Политика информационной безопасности компании является основой для разработки целого ряда документов по обеспечению информационной безопасности: стандартов, инструкций, руководств, процедур, практик, регламентов, должностных инструкций и т.д.
В настоящей дипломной работе исследован вопрос разработки Политики информационной безопасности в коммерческой организации. Актуальность разработки Политики информационной безопасности для отечественных компаний объясняется необходимостью формирования основ планирования информационной безопасности и управления ею на современном этапе. Для разработки Политики информационной безопасности компании использовался разработанный ФСТЭК РФ ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» вступивший в силу с января 2007 года.
Изучению проблем разработки систем информационной безопасности предприятий посвятили свои работы отечественные и зарубежные ученые: Галатенко В.А., Игнатьев В.А., Кузнецов И.Н., Садердинов А.А., Семкин С.Н. и др. Ими исследованы и решены многие теоретические и практические проблемы информационной безопасности предприятий.
Несмотря на то, что существует множество научных трудов по проблемам информационной безопасности, следует подчеркнуть тот факт, что их содержание носит с одной стороны дискуссионный характер, а с другой — политика ее обеспечения представляется во...

Цель мероприятий при разработке Политики информационной безопасности - защитить интересы компании в сфере информационных отношений. Интересы эти многообразны, но все они концентрируются вокруг трех основных аспектов:
доступность;
целостность;
конфиденциальность.
В дипломной работе под политикой информационной безопасности подразумевается совокупность организационных, административных, юридических и физических мер; программных и аппаратных средств; методов, средств, правил и инструкций, четко регламентирующих все аспекты деятельности организации и обеспечивающих её информационную безопасность. Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере информационной безопасности. Она обеспечивает планирование всей программы информационной безопасности так же, как спецификация определяет номенклатуру выпускаемой продукции.
Законодательные уровень разработки Политики информационной безопасности основывается на действующей отечественной нормативной базе и международных стандартах в области информационной безопасности.
В дипломной работе подробно описаны все этапы разработки политики информационной безопасности в коммерческой организации, а именно:
1. Проведение аудита существующей в компании системы информационной безопасности и анализ рисков информационной безопасности.
На этом этапе был проведен анализ соответствия существующей системы информационной безопасности на соответствие федеральным законам России и государственным и международным стандартам в области информационной безопасности. Так же было использовано специальное программное обеспечение для аудита информационной безопасности – Система Кондор и Microsoft Security Assessment Tool.
2. Разработка локальных нормативных актов, закрепляющих политику информационной безопасности.
На данном этапе были разработаны следующие нормативные акты:
- Политика информационной безопасности;
- Положение о коммерческой тайне;
- Положение о Постоянно...