Практикум по информационной безопасности: Учебно-методическое пособие, страница 33

- Должна быть разработана система, обеспечивающая головные офисы постоянной связью с водителями. Речь идет о таких вопросах, как, например, задержки грузов, связанные с пробками на дорогах и т.д. Так как подобная информация крайне важна для    планирования    маршрутов,   которое   должно    производиться   автоматически, информационные потоки должны также быть автоматизированы.

- Головные офисы должны иметь выход на различные сети с целью обмена сообщениями по электронной почте. Это позволит заказчикам высылать заказы и запрашивать информацию о местонахождении их грузов, используя электронные средства.

- Совет Директоров МТК считает, что в настоящее время головным офисам можно работать более независимо друг от друга. Это увеличивает степень их ответственности за собственные финансовые результаты.

Руководство МТК полностью отдает себе отчет в том, что в организации пока не достаточно знаний pi навыков в области ИТ для решения поставленной задачи в рамках общей структуры новых видов деятельности, связанных с информационной технологией. Поэтому необходимо прибегать к услугам внешних поставщиков в области управления запланированными проектами по внедрению различных решений (коммуникационная система, обмен сообщениями и т.д.). Привлечение внешних поставщиков но управлению организацией также рассматривается как реальная возможность.

6.2   Задание 1. Разработка модели построения системы информационной безопасности

Описание ситуации

Сделка по приобретению МТК новой компании «Time Transport» оказалась сорванной в последний момент и ТТ оказалась в руках прямого конкурента.

Руководство МТК полагает, что причиной неудачи стала утечка конфиденциальной информации относительно финансовых и других условий сделки с ТТ. Косвенно это подтверждается расследованием, проведенным службой экономической безопасности.

В ходе расследования инцидента Генеральный директор обнаружил, что на фоне относительного благополучного положения дел подразделении ИТ в МТК практически отсутствует сколько-нибудь налаженная работа по обеспечению информационной безопасности. Выясняется, что в компании нет целенаправленной политики в области ИБ. отсутствует специальное подразделение, задачей которого является обеспечение ИБ.

В   связи   с   этим   он   производит  назначение   Руководителя   по   ИБ   (CISO),   которым становится   Директор   по   финансам   и   экономической    политике   и    поручает   ему


организовать   соответствующее   подразделение   и   планомерно   заниматься   вопросами защиты информации в компании.

CISO получает задание подготовить и представить краткую презентацию по ИБ. которая должна сориентировать руководство компании:

•  в общих вопросах информационной безопасности (сферы ответственности, цели. задачи);

•  познакомить топ-менеджеров с основными понятиями и сущностями, которыми оперирует ИБ (угроза, уязвимость, риск, контрмера и пр.);

•  получить   представление   об   основных   ролевых   функционалах   создаваемого подразделения.

Один из сотрудников компании, привлеченный CISO к разработке презентации. предложил взять за основу при разработке презентации модель построения системы информационной безопасности (рис.6.1), которая отражает совокупность внешних и внутренних факторов и их влияние на состояние ИБ и па сохранность информационных активов и элементов ИТ инфраструктуры. Она соответствует нормативным документам РФ и международным стандартам: ISO/IEC 15408 «Информационная технология -методы защиты — критерии оценки информационной безопасности». ISO/IEC 17799 «Управление информационной безопасностью». Модель оказалась незаконченной автором в связи со срочной командировкой. Вам поручено достроить модель и сформулировать основные положения презентации по ИБ.

Содержание задания

1.  Достроить   начатую    предшественником    модель   (рис.6.1),    используя   список функциональных воздействий на сущности, представленные на схеме, выделив пунктиром воздействия естественного характера и управляющие воздействия.