<< В библиотеку

РОЗРОБКА ПОЛІТИКИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЛЯ АУДИТОРСЬКОЇ ФІРМИ

Зудикова Ю.В., Губенко Н.Е.

Донецкий национальный технический университет

Источник: Зудикова Ю.В., Губенко Н.Е. Розробка політики інформаційної безпеки для аудиторської фірми / Ю.В. Зудикова, Н.Е. Губенко // Студентська наукова конференція з прикладної математики та інформатики (СНКПМІ-2010) / Тези доповідей Львівського фестивалю науки - 22-23 квітня 2010р., Львів, ЛНУ. - 2010. - с. 166-176

Інформація, процеси, що її підтримують, інформаційні системи та сітьова інфраструктура, які є істотними активами сучасних фірм, підприємств та організацій, все частіше зштовхуються із різними загрозами безпеки, такими як комп’ютерне шахрайство, шпіонаж, шкідництво, вандалізм. Тому актуальною є задача інформаційного захисту підприємств. Наявність політики інформаційної безпеки свідчить про зрілість та компетентність підприємства у питаннях забезпечення інформаційної безпеки.

В роботі розглядається вирішення задачі розробки політики інформаційної безпеки аудиторської фірми, яка б регламентувала та регулювала процеси доступу, зберігання та обробки інформації на підприємстві.

Політика інформаційної безпеки виступає як документ або багаторівнева система документів, які визначають вимоги безпеки, систему заходів або порядок дій, відповідальність співробітників та механізми контролю задля забезпечення інформаційної безпеки підприємства. У документ політики безпеки рекомендовано вносити наступні розділи [1]:

  1. Вступний розділ, що підтверджує стурбованість керівництва проблемами інформаційної безпеки.
  2. Організаційний розділ, що описує підрозділи, комісії, групи осіб, відповідальні за роботи в області інформаційної безпеки.
  3. Класифікаційний розділ, що описує матеріальні та інформаційні ресурси підприємства та необхідний рівень їх захисту.
  4. Штатний розділ, що характеризує заходи безпеки щодо персоналу.
  5. Розділ, що висвітлює питання фізичного захисту інформації.
  6. Розділ управління, що описує підхід до управління комп'ютерами та комп'ютерними мережами пересилання даних.
  7. Розділ, що зазначає правила розмежування доступу до інформації.
  8. Розділ, що описує заходи, спрямовані на забезпечення безперервної роботи підприємства (доступності інформації).

Ефективна політика інформаційної безпеки визначає необхідний та достатній набір вимог безпеки. Вона мінімально впливає на продуктивність праці, враховує особливості бізнес-процесів підприємства, підтримується керівництвом, позитивно сприймається й виконується співробітниками підприємства.

В роботі розроблена політика інформаційної безпеки аудиторської фірми згідно з існуючою методологією [2].

Інформаційними ресурсами, що підлягають захисту, для аудиторської фірми є: стандарти фірми, електронні бази даних (у тому числі їх архіви) фірми та її клієнтів, договори та рахунки з клієнтами та робочі документи.

Розглянуті наступні категорії загроз безпеки інформаційної системи:

Для кожної загрози проведено обчислення ризику по двом факторам: імовірності здійснення загрози та розміру шкоди. Встановлено загальний та припустимий ризик для інформаційної системи.

У рамках управління ризиками запропоновані організаційні та технічні заходи. Політика інформаційної безпеки розроблена таким чином, щоб досягти заданого рівня ризику інформаційної безпеки.

У рамках політики інформаційної безпеки створена система документів, як зазначено на рисунку.

Політика інформаційної безпеки аудиторської фірми
Рисунок – Політика інформаційної безпеки аудиторської фірми

Успішне досягнення цілей політики інформаційної безпеки можливе лише при умові виконання положень окремих політик безпеки.

Литература:
  1. 1. Гордейчик С.В. Политика информационной безопасности предприятия // Экономический лабиринт [Электронный ресурс]. – 2001. – №09(38). – Режим доступа: http://www.economer.khv.ru/content/n038/45it
  2. 2. Игнатьев В.А. Информационная безопасность современного коммерческого предприятия. – Старый Оскол: ООО «ТНТ», 2005. – 448 с.

© Зудикова Юлия Владимировна, ДонНТУ, 2010