Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Создание политики информационной безопасности предприятия авиационной отрасли

Антомони М.М.
выпускник группы ITM-11
Школа IT-менеджмента
РАНХиГС при Президенте РФ

В условиях перехода мировой экономики в постиндустриальную эпоху, все более и более весомое место, для практически любого бизнеса, занимает информация. Информация дает компаниям конкурентные преимущества по отношению к другим участникам рынка и поэтому, как никогда ранее актуально, встает проблема ее защиты.

Защита информации и средств ее обработки – это очень широкое понятие. Многие до сих пор под защитой информации понимают лишь защиту ее от непосредственной кражи. Но информационные активы подвергаются и другим рискам, которые могут нанести компании не меньший, а зачастую и намного больший ущерб. К таким рискам можно отнести нарушение целостности информации, нарушение доступности, нарушение достоверности, нарушение конфиденциальности. Эти риски таят в себе значительную угрозу успешному функционированию любой компании, чьи процессы неразрывно связаны с процессами обработки информации.

В современных реалиях все более широкое развитие получают корпоративные локально-вычислительные сети, которые имеют своей целью максимально облегчить и убыстрить процессы обработки информации. Но одновременно с этим возникает ряд проблем, которые являются обратной стороной медали. Например, чем более доступна информация в корпоративной сети, тем проще потенциальному нарушителю реализовать угрозы ее безопасности. Методики и средства защиты корпоративных сетей регулируются многочисленными документами, среди которых можно выделить руководящие документы ФСТЭК (Гостехкомиссии РФ), международные стандарты, национальные стандарты, отраслевые рекомендации и методические указания.

В соответствии с этими документами главенствующую позицию в вопросах обеспечения информационной безопасности занимает политика информационной безопасности. Политика информационной безопасности представляет собой документ высшего уровня, стратегический план, в соответствии с которым осуществляется весь процесс защиты информации в любой локально-вычислительной сети.

Целью данной работы было создание методики разработки политик информационной безопасности предприятий и ее реализация, применительно к предприятиям авиационной промышленности.

При всем многообразии информации и регламентирующей документации не существует какой-то универсальной методики создания такого документа, как политика информационной безопасности. Поэтому для выполнения данной работы был проведен анализ нормативно-правовой базы по вопросам обеспечения информационной безопасности и выработана универсальная методика разработки политики.

Эта методика основана на применении комбинированного подхода к вопросам обеспечения информационной безопасности. Данный подход состоит в том, что после проведения идентификации активов, проводится анализ высокого уровня рисков и, по его результатам, определяется некий базовый уровень безопасности, который в состоянии обеспечить надежную защиту большинства информационных активов. Для тех же активов, что по итогам анализа получили наиболее высокую оценку меры риска, и имеющие повышенную ценность для предприятия, проводится детальный анализ риска и разрабатываются дополнительные меры безопасности, позволяющие понизить уровень риска по данным активам до приемлемой величины.

При реализации выработанной методики на предприятии авиационной отрасли пришлось учитывать его специфику. Авиационная отрасль отличается полным циклом производства. В рамках одной компании происходят процессы проектирования, изготовления летных образцов, проведение летных испытаний, доработки изделия по их результатам, серийное производство, послепродажное сервисное обслуживание, обучение персонала заказчика и ряд других. В ходе данных процессов накапливается и подвергается постоянной обработке огромный массив информации, основными составляющими которого являются базы данных конструкторской документации, базы данных систем поддержки жизненного цикла изделий, базы данных и программное обеспечение систем обработки полетной информации. Эта специфика была подтверждена и результатами проведенного анализа информационных активов компании и выражена в повышенной мере риска для данных активов. Соответственно особое внимание было обращено на обеспечение безопасности именно этих систем.

При выполнении данной работы был решен следующий комплекс задач:

  • проведен анализ руководящих документов всех уровней, описывающих необходимость и процесс создания политики информационной безопасности предприятия;
  • сделан выбор оптимального сочетания методик оценки информационных активов, угроз, уязвимостей и рисков;
  • выполнено описание общей методики создания политики информационной безопасности предприятия с разбором основных стадий разработки;
  • проведен анализ активов предприятия авиационной промышленности и анализ связанных с ними угроз, уязвимостей и рисков;
  • описана организационная структура обеспечения безопасности информационных активов;
  • выполнено описание необходимых комплексов мер защиты, исходя из результатов анализа информационных активов.

Реализация описанной в данной работе политики информационной безопасности позволит привести процесс защиты информационных активов в соответствие с требованиями руководящей документации в этой области и обеспечить надежную защиту систем ИТ на уровне, обеспечивающем снижение рисков возникновения инцидентов до уровня приемлемых для компании значений.

 

Рубрика: 
Информационная безопасность
Голосов пока нет
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009