Дипломная работа по теме политики информационной безопасности обычно рассматривает некую существующую политику конкретного предприятия. Цель работы - её модернизация, принятие обоснованных решений по улучшению её организационных, правовых, программных и инженерно-технических составляющих. Расчёт экономических показателей внедрения новых правил.
Для исполнения поставленной цели работы необходимо решить ряд обязательных задач:
- анализ деятельности предприятия, информационных систем предприятия, потоков информации между подразделениями;
- выбор задач, требующих решения для повышения эффективности работы системы безопасности;
- обоснование необходимости модернизации существующей на предприятии системы безопасности и принятия, связанных с этим мер;
- обоснованный выбор инженерно-технических и программных мер для защиты информационных систем и потоков;
- обоснованный выбор методики расчёта экономических показателей.
Обязательно должна быть презентация к работе и доклад для комиссии на защите диплома.
Существующие политики модернизируются за счёт разработки дополнительных организационных мер и документов, конкретизирующих меры безопасности по каждому отдельному вопросу или угрозе.
Для системы управления безопасности информации самым важным документом является политика информационной безопасности, она является ключевым механизмом обеспечения должного уровня информационной безопасности.
В соответствии со стандартом ISO 27001, от политики безопасности требуется заявление руководства о своей приверженности и установление подходов к управлению безопасностью. В ней определяется само понятие безопасности информации, область действия, цель, механизм контроля, со структурой оценки и управления возможными рисками, многие другие параметры.
Стандарт ISO 27001 заявляет о том, что все положения политики информационной безопасности входят в виде подмножества в ещё более общий документ: политика СУИБ, в который входит описание основных положений, определяющих цели СУИБ, установление общих направлений и принципов деятельности, затрагивающих информационную безопасность. Необходимо при этом учитывать требование деловых процессов, законодательства, норм и правил, конкретных обязательств и так далее.