Дипломная работа на тему "Разработка комплексной системы защиты информации для ООО Вокс-Линк"
Работа Синергии на тему: Разработка комплексной системы защиты информации для ООО «Вокс-Линк». Год сдачи: 2020. Оценка: Хорошо. Оригинальность работы на момент публикации 50+% на антиплагиат.ру. Ниже прилагаю все данные для покупки.
Количество страниц: 82
Демо работы
Описание работы
ЗАДАНИЕ
на работу обучающегося
Тема работы: Разработка комплексной системы защиты информации для ООО «Вокс-Линк»
Структура .
Глава 1. Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия
1.1.1. Характеристика предприятия и его деятельности
1.1.2 Организационная структура управления предприятием
1.1.3 Программная и техническая архитектура ИС предприятия
1.2 Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов
1.2.2 Оценка уязвимостей активов
1.2.3 Оценка угроз активам
1.2.4 Оценка рисков
1.3 Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1 Анализ системы обеспечения информационной безопасности и защиты информации
1.3.2 Выбор комплекса задач обеспечения информационной безопасности
1.3.3 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации
Глава 2. Проектная часть
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации
2.1.1 Правовое обеспечение системы информационной безопасности и защиты информации
2.1.2 Организационное обеспечение системы информационной безопасности и защиты информации. Политика информационной безопасности
2.1.3 Стратегия обеспечения информационной безопасности и защиты информации
2.2 Техническое обеспечение информационной безопасности и защиты информации
2.2.1.?Анализ технических средств обеспечения информационной безопасности и защиты информации
2.2.2 Обоснование выбора технических средств обеспечения информационной безопасности и защиты информации
2.2.3 Технология установки или замены технических средств обеспечения информационной безопасности и защиты информации
2.3 Программное обеспечение информационной безопасности и защиты информации
2.3.1 Анализ программных средств обеспечения информационной безопасности и защиты информации
2.3.2 Обоснование выбора программных средств обеспечения информационной безопасности и защиты информации
2.3.3 Технология установки или замены программных средств обеспечения информационной безопасности и защиты информации
2.4 Внедрение и оценка комплекса программно-аппаратных средств обеспечения информационной безопасности
2.4.1 Программно-аппаратный комплекс информационной безопасности и защиты информации предприятия
2.4.2 Внутренний аудит системы информационной безопасности и защиты информации
2.4.3 Анализ результатов внутреннего аудита
Глава 3. Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта Заключение
Список использованных источников Приложение
3. Основные вопросы, подлежащие разработке. Введение
Во «Введении» необходимо обосновать актуальность выбранной темы работы, сформулировать ее цель. Исходя из цели, обозначить задачи, решение которых, позволит достичь поставленную цель.
В главе 1 необходимо представить обоснование актуальности выбора автоматизируемой задачи, проектных решений по информационному, программному и аппаратному обеспечению, дать ее развернутое описание, отразить взаимосвязь с другими задачами, изложить используемую стратегию автоматизации и способ приобретения информационной системы.
В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание, рисунки программной и технической архитектуры, а также их описание.
В разделе 1.2. результат оценивания риска может быть представлен как в форме количественного показателя (тыс. рублей), так и виде качественного: приемлемый риск или неприемлемый риск Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации. Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации. Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией. Какое бы решение не приняла организация, важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации. Перед непосредственным п.п.1.2.1.- 1.2.5.выполнением пунктов данного раздела следует дать обоснование необходимости анализа рисков.
В разделе 1.3. В этом разделе следует отметить, какая при существующей технологии решения имеется политика безопасности в компании, а также программные и аппаратные средства ИБ и ЗИ, если эти методы и средства используются, то каким образом.
В главе 2 Проектная часть работы является описанием решений, принятых по всей вертикали проектирования. Глава должна быть основана на информации, представленной в аналитической части, и содержать описание реализации проектных решений комплекса задач, сформулированных в первой главе. Поэтому недопустимо, если при проектировании используются данные об объекте управления, не описанная в первой главе.
В разделе 2.1 Раздел подразумевает выбор нормативных актов отечественного и международного права, в качестве основы для формирования организационной системы обеспечения информационной безопасности и защиты информации предприятия. Отечественные и международные нормативные правовые акты1, во-первых — это совокупность специальных принципов и норм, регулирующих права и обязанности субъектов права в процессе использования и защиты информации, во-вторых, комплекс отечественных и международных стандартов в конкретной сфере реализации информационной безопасности и защиты информации.
Раздел 2.2 Вначале данного раздела следует дать определение этого вида обеспечения и его структуру.
Далее следует перечислить технические средства, которые могут быть использованы для решения задач, определенных в п. 1.3.
Обзор рынка средств рекомендуется проводить с помощью Internet. Адреса используемых при обзоре ресурсов следует добавить в список литературы проекта.
Раздел 2.3 Вначале данного раздела следует дать определение этого вида обеспечения и его структуру.
Далее следует перечислить программные средства, которые могут быть использованы для решения задач, определенных в п. 1.3.
Обзор рынка средств рекомендуется проводить с помощью Internet. Адреса используемых при обзоре ресурсов следует добавить в список литературы проекта.
Раздел 2.4 Данный пункт должен содержать:
а) перечень структурных подразделений предприятия, в которых внедряются выбранные ПиАСИБ (разработанные нормативные документы)
б) схемы:
• технической архитектуры;
• программной архитектуры;
За основу рекомендуется взять схемы из п 1.1.3. и дополнить/изменить их в соответствии с принятыми решениями;
в) детальное описание действий операторов при эксплуатации ПиАСИБ в различных режимах, например:
1 Нормативный правовой акт — письменный официальный документ, принятый (изданный) в определенной форме правотворческим органом в пределах его компетенции и направленный на установление, изменение или отмену правовых норм. В свою очередь, под правовой нормой принято понимать общеобязательное государственное предписание постоянного или временного характера, рассчитанное на многократное применение (Приказ Министерства юстиции Российской Федерации от 4 мая 2007 г. № 88).
Нормативный правовой документ — письменный официальный документ, принятый в установленном порядке, управомоченного на то органа государственной власти, органа местного самоуправления или должностного лица, устанавливающий правовые нормы (правила поведения), обязательные для неопределенного круга лиц, рассчитанные на неоднократное применение и действующие независимо от того, возникли или прекратились конкретные правоотношения, предусмотренные актом (Р 50.1.056—2005 Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения., приложение А, ст. А.21).
• доступ пользователей к ресурсам системы;
• настройка межсетевого экрана;
• формирование и распределение ключей;
• выдача, проверка и аннулирование идентификаторов;
• реагирование на инциденты;
• проведение текущего аудита;
• настройка и эксплуатация средств противодействия ИТР конкурентов;
• проверка аппаратных средств на наличие закладок;
• проверка помещений на наличие средств промышленного шпионажа;
• настройка антивирусного программного обеспечения;
• настройка систем обнаружения и предотвращения вторжений;
• настройка систем резервного копирования;
• настройка VPN и др.
г) экранные формы для ввода и отображения информации д) формы документов
Вся, представленная в данном пункте информация должна быть связана с данными, изложенными в п.2.1.2, другими словами, внедрение программно-аппаратных средств должно осуществляться в соответствии со сформированной политикой безопасности.
В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, сделанные в соответствии с изложенной методикой. Расчетные данные следует представить в виде таблиц и диаграмм, отражающие сравнение базового и предлагаемого вариантов. В Заключении необходимо подвести итоги проектирования. Раскрыть содержание основных выводов, сделанных выпускником, представить краткую характеристику результатов, полученных в ходе решения поставленных во «Введении» задач и, тем самым, ответить на основной вопрос работы: о степени достижимости поставленной в работе цели.
В Список использованной литературы обучающийся приводит только ту литературу и иные информационные источники, которые он лично использовал при написании данной работы. Причем ссылки на данную литературу и информационные источники обязательны по всему тексту работы. Заимствованные чужие тексты в обязательном порядке заключаются в кавычки, как принадлежащие другому автору. Сноски приводятся постранично нарастающим итогом от № 1 до № N. Количество сносок по тексту работы должно быть никак не меньше количества, использованных выпускником литературных источников.
В Приложении должны быть материалы (листы спецификаций, распечатки программ, чертежи, таблицы, графики, блок-схемы, фотографии изготовленных устройств и макетов, распечатки большого формата и т.п.), включение которых в основной текст по каким-либо причинам признано необязательным.
Приложения должны располагаться в логической последовательности появления ссылок на них из основной части .
Каждое приложение должно обязательно иметь номер и название, характеризующее его содержание. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части проекта.
Изложение материала должно быть кратким, точным и технически правильным. Сокращения слов, кроме разрешенных ГОСТ 2.316-68 (правила нанесения на чертежах надписей, технических требований и таблиц) и общепринятых (например, к т.д.; и т.п.; ГОСТ, ТУ, ТЗ и др.) не допускаются. При необходимости сокращенного обозначения сигналов или шин, следует привести таблицу сокращений.
При нумерации рисунков и таблиц в приложении возможно использовать внутреннюю нумерацию в рамках каждого приложения с обозначением номера приложения: например «Рис. П1.1. Программно-аппаратная архитектура комплекса защиты информации ООО «Атман»». Здесь П.1 означает «Приложение 1»
Исходные данные по .
Основная литература
1. Басыня, Е.А. Системное администрирование и информационная безопасность : учебное пособие : [16+] / Е.А. Басыня ; Новосибирский государственный технический университет. – Новосибирск : Новосибирский государственный технический университет, 2018. – 79 с. : ил. – Режим доступа: по подписке.
2. Мирошниченко, И.И. Языки и методы программирования: учебное пособие / И.И. Мирошниченко, Е.Г. Веретенникова, Н.Г. Савельева; Министерство образования и науки РФ, РГЭУ (РИНХ). – Ростов-на-Дону: Издательско-полиграфический комплекс РГЭУ (РИНХ), 2019. – 188 с.
3. Филиппов, Б.И. Информационная безопасность. Основы надежности средств связи: учебник / Б.И. Филиппов, О.Г. Шерстнева. – Москва; Берлин: Директ-Медиа, 2019.
– 241 с.
1. Балдин, К.В. Информационные системы в экономике: учебник / К.В. Балдин, В.Б. Уткин. – 8-е изд., стер. – Москва: Дашков и К, 2019. – 395 с.
2. Информационные технологии: лабораторный практикум : [16+] / авт.-сост. А.Г. Хныкина, Т.В. Минкина ; Северо-Кавказский федеральный университет. – Ставрополь : Северо-Кавказский Федеральный университет (СКФУ), 2018. – 122 с. : ил.
3. Нагаева, И.А. Алгоритмизация и программирование. Практикум: учебное пособие / И.А. Нагаева, И.А. Кузнецов. – Москва; Берлин: Директ-Медиа, 2019. – 168 с.
4. Марусева, И.В. Управление сложными системами: (введение в основы автоматики и информатики) / И.В. Марусева, Ю.П. Петров; под общ. ред. И.В. Марусевой.
– Москва; Берлин: Директ-Медиа, 2019. – 180 с.
5. Сидорова, Н.П. Информационное обеспечение и базы данных: практикум по дисциплине «Информационное обеспечение, базы данных» / Н.П. Сидорова, Г.Н. Исаева, Ю.Ю. Сидоров; Технологический университет. – Москва; Берлин: Директ-Медиа, 2019. – 85 с.
Содержание
Введение 12
Глава 1. Аналитическая часть 15
1.1 Технико-экономическая характеристика предметной области и предприятия. 15
1.1.1 Характеристика предприятия и его деятельности 17
1.1.2 Организационная структура управления предприятием… 17
1.1.3 Программная и техническая архитектура ИС предприятия 20
1.2 Анализ рисков информационной безопасности 24
1.2.1 Идентификация и оценка информационных активов… 25
1.2.2 Оценка уязвимостей активов… 29
1.2.3 Оценка угроз активам… 32
1.2.4 Оценка рисков 34
1.3 Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 36
1.3.1 Анализ системы обеспечения информационной безопасности и защиты информации 36
1.3.2 Выбор комплекса задач обеспечения информационной безопасности 38
1.3.3 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 39
Глава 2. Проектная часть… 40
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации 40
2.1.1 Правовое обеспечение системы информационной безопасности и защиты информации 41
2.1.2 Организационное обеспечение системы информационной безопасности и защиты информации. Политика информационной безопасности. 42
2.1.3 Стратегия обеспечения информационной безопасности и защиты мнформации 48
2.2 Техническое обеспечение информационной безопасности и защиты информации 49
2.2.1.?Анализ технических средств обеспечения информационной безопасности и защиты информации 49
2.2.2 Обоснование выбора технических средств обеспечения информационной безопасности и защиты информации 50
2.2.3 Технология установки или замены технических средств обеспечения информационной безопасности и защиты информации 52
2.3 Программное обеспечение информационной безопасности и защиты информации 53
2.3.1 Анализ программных средств обеспечения информационной безопасности и защиты информации 53
2.3.2 Обоснование выбора программных средств обеспечения информационной безопасности и защиты информации 54
2.3.3 Технология установки или замены программных средств обеспечения информационной безопасности и защиты информации 56
2.4 Внедрение и оценка комплекса программно-аппаратных средств обеспечения информационной безопасности 57
2.4.1 Программно-аппаратный комплекс информационной безопасности и защиты информации предприятия… 57
2.4.2 Внутренний аудит системы информационной безопасности и защиты информации 61
2.4.3 Анализ результатов внутреннего аудита. 62
Глава 3. Обоснование экономической эффективности проекта… 64
3.1 Выбор и обоснование методики расчёта экономической эффективности 64
3.2 Расчёт показателей экономической эффективности проекта… 66
Заключение… 75
Список использованных источников… 77
Приложение 1 79
Приложение 2 80
Введение
Сейчас мы живём в 21 веке, веке информатизации и цифровых технологий. И в жизни практически каждого человека, каждый день возникает взаимодействие с каким либо гаджетом или устройством. Но немало важно при этом сохранять и соблюдать правила информационной безопасности. Поскольку иногда возникает необходимость выкладывать свою личную информацию и данные во всемирную паутину, следует обезопасить себя различными утилитами и устройствами во избежание мошеннических действий. Всё это, так или иначе, должно соблюдаться и в бизнесе, тем более, когда мы говорим о больших компаниях таких, как ООО
«Вокс-Линк», которая работает с большим количеством клиентов. Возникает необходимость защитить и обезопасить не только свои активы, но и активы своих клиентов и сотрудников.
Предметной областью для реализации данных решений будет являться компания ООО «Вокс-Линк» и уже имеющаяся её структура. Целью исследования является:
• Разработка новых и модернизация уже имеющихся решений для обеспечения безопасности информации на предприятии.
Основные задачи по достижению цели:
• Исследовать предметную область;
• Модернизировать техническую и аппаратную структуры ООО «Вокс- Линк»
• Разработать и внедрить новые решения по защите информации
• Разработать новую документацию
• Произвести расчет экономической эффективности всего проекта
К числу аппаратных средств можно отнести брандмауэры, по умолчанию установленные на персональном компьютере пользователя. Для грамотной и ощутимой работы его следует настроить, а затем проверять и устанавливать актуальные обновления. Немало важными программными
средствами являются антивирусы, которые просто необходимы для безопасного выхода во всемирную паутину интернет. Хоть они и не обезопасят компьютер или смартфон на 100 процентов, но заметно и ощутимо повысят защиту ваших данных. Также существуют различные программы для шифрования данных, которые с заданным алгоритмом шифруют данные пользователя, это достаточно надёжный способ защиты, ведь для доступа к таким данным необходимо иметь специальный ключ- дешифратор. Обезопасить данные и систему можно и с помощью специальных возможностью программ по вводу логина-пароля, где пользователь имеет уникальное имя при входе в структуры программы или системы. Для достижения максимальных уровней защиты следует использовать так называемые комплексы защиты, которые включают в себя несколько программных и технических решений.
Если говорить о технических или как говорят «аппаратных» средствах, то одним из них стоит выделить сервер по защите данных, который нацелен именно на задачу защиты всех объёмов памяти, это довольно таки дорогостоящий продукт, но в совокупности с другими средствами даёт наивысший уровень защиты данных. Вдобавок к серверу высоким уровнем защиты обладает межсетевой экран, который фильтрует трафик, исходя из заданных параметров. Также следует отметить, что в компаниях достижение высокого уровня защиты может и должно осуществляться с помощью охранных комплексов.
К таким комплексам относят, система камер видеонаблюдения на предприятии, которая в некотором роде ограничивает свободу человека, но исключает такие противоправные действия, как кражи на рабочих местах и несанкционированное проникновение на территорию. В добавление к камерам существуют специальные СКУД (система контроля и управления доступом), которая при входе в разные помещения, считывает данные хранящиеся на специальной уникальной электронной карте носителя.
Все эти методы и способы позволяют защитить информацию и активы как компании в целом, так и каждого из сотрудников. В ходе проекта для компании ООО «Вокс-Линк», которая уже имеет в своём арсенале некоторые способы и средства защит, будет разработан и внедрен целый комплекс по защите информации. Обоснованность разработки обусловлена тем, что хоть компания справляется с защитой своих активов, она всё-таки уязвима и её некоторые средства устарели, для достижения максимального уровня защиты, ей необходима модернизация и внедрение новых актуальных средств.
Первым делом в самом начале проекта, следует дать краткую характеристику компании, описать её цели и основные виды деятельности. Также следует проанализировать внутреннюю структуру предприятия и отобразить организационную деятельность, немало важным будет отобразить главные технико-экономические показатели. Вторым этапом следует уделить время работой с технической и программной структурами, находящимися на предприятии. Важно отобразить наиболее важные отдела компании, а также их рабочий софт. Далее стоит перечислить конфиденциальные данные, хранящиеся на предприятии и по возможности охарактеризовать их появление. После всех вышеперечисленных аналитических работ, следует оценить угрозы и риски, которые возникают в процессе функционирования компании, а также, которые могут возникнуть, как по вине сотрудников, так и со стороны.
Следующим этапом будет переход от аналитической части к проектной, где в основном уже будет разрабатываться новый комплекс защиты информации и проводится мероприятия принятия решений модернизации старых средств. Если при разработке, в компании появится новая документация с актами, следует их представить и дать необходимую характеристику. При установке средств необходимо описать специфику и методику. После всех данных мероприятий следует произвести анализ результатов и дать оценку проделанным работам с различными графиками.
Список использованной литературы
1. Нормативный акт от 13.01.1995 № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации»;
2. Нормативный акт от 12.05.2009 № 95-ФЗ «О гарантиях равенства парламентских партий при освещении их деятельности государственными общедоступными телеканалами и радиоканалами»;
3. Нормативный акт от 27.07.2006 № 152-ФЗ «О персональных данных»;
4. Нормативный акт от 28.12.2010 № 390-ФЗ «О безопасности»;
5. Указ от 11.02.2006 № 90 «О перечне сведений, отнесенных к государственной тайне»;
6. Указ от 17.05.2004 № 611 «О мерах по обеспечению безопасности РФ в сфере международного информационного обмена»;
7. Указ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
8. Бабаш, А.В. Информационная безопасность: Учебное пособие- М.:КноРус, 2019.-432с.
9. Баранова, Е.К. Информационная безопасность и защита информации.
–М.:Риор, 2017.-400с.
10. Белов, E.Б. Основы информационной безопасности: Учебн. пособие
2017.
11. Глинская, Е.В. Информационная безопасность конструкций ЭВМ и
систем –М.: Инфра-М, 2018. - 64с.
12. Гришина, Н.В. Информационная безопасность предприятия. –М.: Форум, 2017 – 159с.
13. Рябко, Б.Я. Криптография в информационном мире, 2018.-300с.
14. Семененко, В.А. Информационная безопасность. –М.: МГИУ, 2017.-
432с.
15. Скабцов, Н.В. Аудит безопасности ИС, 2018.-272с.
16. Чипига, А.Ф. Информационная безопасность АС –М.: Гелиос АРВ,2017.-336с.
17. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей –М.: Форум, 2018.- 256с.
18. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
19. ГОСТ Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения»
20. ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Функциональные требования безопасности»
21. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология.
Практические правила управления информационной безопасностью»
22. ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»
23. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Выбор защитных мер»
на работу обучающегося
Тема работы: Разработка комплексной системы защиты информации для ООО «Вокс-Линк»
Структура .
Глава 1. Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия
1.1.1. Характеристика предприятия и его деятельности
1.1.2 Организационная структура управления предприятием
1.1.3 Программная и техническая архитектура ИС предприятия
1.2 Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов
1.2.2 Оценка уязвимостей активов
1.2.3 Оценка угроз активам
1.2.4 Оценка рисков
1.3 Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1 Анализ системы обеспечения информационной безопасности и защиты информации
1.3.2 Выбор комплекса задач обеспечения информационной безопасности
1.3.3 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации
Глава 2. Проектная часть
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации
2.1.1 Правовое обеспечение системы информационной безопасности и защиты информации
2.1.2 Организационное обеспечение системы информационной безопасности и защиты информации. Политика информационной безопасности
2.1.3 Стратегия обеспечения информационной безопасности и защиты информации
2.2 Техническое обеспечение информационной безопасности и защиты информации
2.2.1.?Анализ технических средств обеспечения информационной безопасности и защиты информации
2.2.2 Обоснование выбора технических средств обеспечения информационной безопасности и защиты информации
2.2.3 Технология установки или замены технических средств обеспечения информационной безопасности и защиты информации
2.3 Программное обеспечение информационной безопасности и защиты информации
2.3.1 Анализ программных средств обеспечения информационной безопасности и защиты информации
2.3.2 Обоснование выбора программных средств обеспечения информационной безопасности и защиты информации
2.3.3 Технология установки или замены программных средств обеспечения информационной безопасности и защиты информации
2.4 Внедрение и оценка комплекса программно-аппаратных средств обеспечения информационной безопасности
2.4.1 Программно-аппаратный комплекс информационной безопасности и защиты информации предприятия
2.4.2 Внутренний аудит системы информационной безопасности и защиты информации
2.4.3 Анализ результатов внутреннего аудита
Глава 3. Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта Заключение
Список использованных источников Приложение
3. Основные вопросы, подлежащие разработке. Введение
Во «Введении» необходимо обосновать актуальность выбранной темы работы, сформулировать ее цель. Исходя из цели, обозначить задачи, решение которых, позволит достичь поставленную цель.
В главе 1 необходимо представить обоснование актуальности выбора автоматизируемой задачи, проектных решений по информационному, программному и аппаратному обеспечению, дать ее развернутое описание, отразить взаимосвязь с другими задачами, изложить используемую стратегию автоматизации и способ приобретения информационной системы.
В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание, рисунки программной и технической архитектуры, а также их описание.
В разделе 1.2. результат оценивания риска может быть представлен как в форме количественного показателя (тыс. рублей), так и виде качественного: приемлемый риск или неприемлемый риск Важно, чтобы управление рисками информационной безопасности осуществлялось четко и последовательно во всей организации. Однако для управления рисками могут применяться различные подходы к оценке и управлению риском, а также различные степени детализации, отвечающие потребностям организации. Какой из подходов к оценке рисков следует выбрать, целиком определяется организацией. Какое бы решение не приняла организация, важно, чтобы этот подход к управлению рисками был подходящим и соответствовал всем требованиям организации. Перед непосредственным п.п.1.2.1.- 1.2.5.выполнением пунктов данного раздела следует дать обоснование необходимости анализа рисков.
В разделе 1.3. В этом разделе следует отметить, какая при существующей технологии решения имеется политика безопасности в компании, а также программные и аппаратные средства ИБ и ЗИ, если эти методы и средства используются, то каким образом.
В главе 2 Проектная часть работы является описанием решений, принятых по всей вертикали проектирования. Глава должна быть основана на информации, представленной в аналитической части, и содержать описание реализации проектных решений комплекса задач, сформулированных в первой главе. Поэтому недопустимо, если при проектировании используются данные об объекте управления, не описанная в первой главе.
В разделе 2.1 Раздел подразумевает выбор нормативных актов отечественного и международного права, в качестве основы для формирования организационной системы обеспечения информационной безопасности и защиты информации предприятия. Отечественные и международные нормативные правовые акты1, во-первых — это совокупность специальных принципов и норм, регулирующих права и обязанности субъектов права в процессе использования и защиты информации, во-вторых, комплекс отечественных и международных стандартов в конкретной сфере реализации информационной безопасности и защиты информации.
Раздел 2.2 Вначале данного раздела следует дать определение этого вида обеспечения и его структуру.
Далее следует перечислить технические средства, которые могут быть использованы для решения задач, определенных в п. 1.3.
Обзор рынка средств рекомендуется проводить с помощью Internet. Адреса используемых при обзоре ресурсов следует добавить в список литературы проекта.
Раздел 2.3 Вначале данного раздела следует дать определение этого вида обеспечения и его структуру.
Далее следует перечислить программные средства, которые могут быть использованы для решения задач, определенных в п. 1.3.
Обзор рынка средств рекомендуется проводить с помощью Internet. Адреса используемых при обзоре ресурсов следует добавить в список литературы проекта.
Раздел 2.4 Данный пункт должен содержать:
а) перечень структурных подразделений предприятия, в которых внедряются выбранные ПиАСИБ (разработанные нормативные документы)
б) схемы:
• технической архитектуры;
• программной архитектуры;
За основу рекомендуется взять схемы из п 1.1.3. и дополнить/изменить их в соответствии с принятыми решениями;
в) детальное описание действий операторов при эксплуатации ПиАСИБ в различных режимах, например:
1 Нормативный правовой акт — письменный официальный документ, принятый (изданный) в определенной форме правотворческим органом в пределах его компетенции и направленный на установление, изменение или отмену правовых норм. В свою очередь, под правовой нормой принято понимать общеобязательное государственное предписание постоянного или временного характера, рассчитанное на многократное применение (Приказ Министерства юстиции Российской Федерации от 4 мая 2007 г. № 88).
Нормативный правовой документ — письменный официальный документ, принятый в установленном порядке, управомоченного на то органа государственной власти, органа местного самоуправления или должностного лица, устанавливающий правовые нормы (правила поведения), обязательные для неопределенного круга лиц, рассчитанные на неоднократное применение и действующие независимо от того, возникли или прекратились конкретные правоотношения, предусмотренные актом (Р 50.1.056—2005 Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения., приложение А, ст. А.21).
• доступ пользователей к ресурсам системы;
• настройка межсетевого экрана;
• формирование и распределение ключей;
• выдача, проверка и аннулирование идентификаторов;
• реагирование на инциденты;
• проведение текущего аудита;
• настройка и эксплуатация средств противодействия ИТР конкурентов;
• проверка аппаратных средств на наличие закладок;
• проверка помещений на наличие средств промышленного шпионажа;
• настройка антивирусного программного обеспечения;
• настройка систем обнаружения и предотвращения вторжений;
• настройка систем резервного копирования;
• настройка VPN и др.
г) экранные формы для ввода и отображения информации д) формы документов
Вся, представленная в данном пункте информация должна быть связана с данными, изложенными в п.2.1.2, другими словами, внедрение программно-аппаратных средств должно осуществляться в соответствии со сформированной политикой безопасности.
В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, сделанные в соответствии с изложенной методикой. Расчетные данные следует представить в виде таблиц и диаграмм, отражающие сравнение базового и предлагаемого вариантов. В Заключении необходимо подвести итоги проектирования. Раскрыть содержание основных выводов, сделанных выпускником, представить краткую характеристику результатов, полученных в ходе решения поставленных во «Введении» задач и, тем самым, ответить на основной вопрос работы: о степени достижимости поставленной в работе цели.
В Список использованной литературы обучающийся приводит только ту литературу и иные информационные источники, которые он лично использовал при написании данной работы. Причем ссылки на данную литературу и информационные источники обязательны по всему тексту работы. Заимствованные чужие тексты в обязательном порядке заключаются в кавычки, как принадлежащие другому автору. Сноски приводятся постранично нарастающим итогом от № 1 до № N. Количество сносок по тексту работы должно быть никак не меньше количества, использованных выпускником литературных источников.
В Приложении должны быть материалы (листы спецификаций, распечатки программ, чертежи, таблицы, графики, блок-схемы, фотографии изготовленных устройств и макетов, распечатки большого формата и т.п.), включение которых в основной текст по каким-либо причинам признано необязательным.
Приложения должны располагаться в логической последовательности появления ссылок на них из основной части .
Каждое приложение должно обязательно иметь номер и название, характеризующее его содержание. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части проекта.
Изложение материала должно быть кратким, точным и технически правильным. Сокращения слов, кроме разрешенных ГОСТ 2.316-68 (правила нанесения на чертежах надписей, технических требований и таблиц) и общепринятых (например, к т.д.; и т.п.; ГОСТ, ТУ, ТЗ и др.) не допускаются. При необходимости сокращенного обозначения сигналов или шин, следует привести таблицу сокращений.
При нумерации рисунков и таблиц в приложении возможно использовать внутреннюю нумерацию в рамках каждого приложения с обозначением номера приложения: например «Рис. П1.1. Программно-аппаратная архитектура комплекса защиты информации ООО «Атман»». Здесь П.1 означает «Приложение 1»
Исходные данные по .
Основная литература
1. Басыня, Е.А. Системное администрирование и информационная безопасность : учебное пособие : [16+] / Е.А. Басыня ; Новосибирский государственный технический университет. – Новосибирск : Новосибирский государственный технический университет, 2018. – 79 с. : ил. – Режим доступа: по подписке.
2. Мирошниченко, И.И. Языки и методы программирования: учебное пособие / И.И. Мирошниченко, Е.Г. Веретенникова, Н.Г. Савельева; Министерство образования и науки РФ, РГЭУ (РИНХ). – Ростов-на-Дону: Издательско-полиграфический комплекс РГЭУ (РИНХ), 2019. – 188 с.
3. Филиппов, Б.И. Информационная безопасность. Основы надежности средств связи: учебник / Б.И. Филиппов, О.Г. Шерстнева. – Москва; Берлин: Директ-Медиа, 2019.
– 241 с.
1. Балдин, К.В. Информационные системы в экономике: учебник / К.В. Балдин, В.Б. Уткин. – 8-е изд., стер. – Москва: Дашков и К, 2019. – 395 с.
2. Информационные технологии: лабораторный практикум : [16+] / авт.-сост. А.Г. Хныкина, Т.В. Минкина ; Северо-Кавказский федеральный университет. – Ставрополь : Северо-Кавказский Федеральный университет (СКФУ), 2018. – 122 с. : ил.
3. Нагаева, И.А. Алгоритмизация и программирование. Практикум: учебное пособие / И.А. Нагаева, И.А. Кузнецов. – Москва; Берлин: Директ-Медиа, 2019. – 168 с.
4. Марусева, И.В. Управление сложными системами: (введение в основы автоматики и информатики) / И.В. Марусева, Ю.П. Петров; под общ. ред. И.В. Марусевой.
– Москва; Берлин: Директ-Медиа, 2019. – 180 с.
5. Сидорова, Н.П. Информационное обеспечение и базы данных: практикум по дисциплине «Информационное обеспечение, базы данных» / Н.П. Сидорова, Г.Н. Исаева, Ю.Ю. Сидоров; Технологический университет. – Москва; Берлин: Директ-Медиа, 2019. – 85 с.
Содержание
Введение 12
Глава 1. Аналитическая часть 15
1.1 Технико-экономическая характеристика предметной области и предприятия. 15
1.1.1 Характеристика предприятия и его деятельности 17
1.1.2 Организационная структура управления предприятием… 17
1.1.3 Программная и техническая архитектура ИС предприятия 20
1.2 Анализ рисков информационной безопасности 24
1.2.1 Идентификация и оценка информационных активов… 25
1.2.2 Оценка уязвимостей активов… 29
1.2.3 Оценка угроз активам… 32
1.2.4 Оценка рисков 34
1.3 Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 36
1.3.1 Анализ системы обеспечения информационной безопасности и защиты информации 36
1.3.2 Выбор комплекса задач обеспечения информационной безопасности 38
1.3.3 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 39
Глава 2. Проектная часть… 40
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации 40
2.1.1 Правовое обеспечение системы информационной безопасности и защиты информации 41
2.1.2 Организационное обеспечение системы информационной безопасности и защиты информации. Политика информационной безопасности. 42
2.1.3 Стратегия обеспечения информационной безопасности и защиты мнформации 48
2.2 Техническое обеспечение информационной безопасности и защиты информации 49
2.2.1.?Анализ технических средств обеспечения информационной безопасности и защиты информации 49
2.2.2 Обоснование выбора технических средств обеспечения информационной безопасности и защиты информации 50
2.2.3 Технология установки или замены технических средств обеспечения информационной безопасности и защиты информации 52
2.3 Программное обеспечение информационной безопасности и защиты информации 53
2.3.1 Анализ программных средств обеспечения информационной безопасности и защиты информации 53
2.3.2 Обоснование выбора программных средств обеспечения информационной безопасности и защиты информации 54
2.3.3 Технология установки или замены программных средств обеспечения информационной безопасности и защиты информации 56
2.4 Внедрение и оценка комплекса программно-аппаратных средств обеспечения информационной безопасности 57
2.4.1 Программно-аппаратный комплекс информационной безопасности и защиты информации предприятия… 57
2.4.2 Внутренний аудит системы информационной безопасности и защиты информации 61
2.4.3 Анализ результатов внутреннего аудита. 62
Глава 3. Обоснование экономической эффективности проекта… 64
3.1 Выбор и обоснование методики расчёта экономической эффективности 64
3.2 Расчёт показателей экономической эффективности проекта… 66
Заключение… 75
Список использованных источников… 77
Приложение 1 79
Приложение 2 80
Введение
Сейчас мы живём в 21 веке, веке информатизации и цифровых технологий. И в жизни практически каждого человека, каждый день возникает взаимодействие с каким либо гаджетом или устройством. Но немало важно при этом сохранять и соблюдать правила информационной безопасности. Поскольку иногда возникает необходимость выкладывать свою личную информацию и данные во всемирную паутину, следует обезопасить себя различными утилитами и устройствами во избежание мошеннических действий. Всё это, так или иначе, должно соблюдаться и в бизнесе, тем более, когда мы говорим о больших компаниях таких, как ООО
«Вокс-Линк», которая работает с большим количеством клиентов. Возникает необходимость защитить и обезопасить не только свои активы, но и активы своих клиентов и сотрудников.
Предметной областью для реализации данных решений будет являться компания ООО «Вокс-Линк» и уже имеющаяся её структура. Целью исследования является:
• Разработка новых и модернизация уже имеющихся решений для обеспечения безопасности информации на предприятии.
Основные задачи по достижению цели:
• Исследовать предметную область;
• Модернизировать техническую и аппаратную структуры ООО «Вокс- Линк»
• Разработать и внедрить новые решения по защите информации
• Разработать новую документацию
• Произвести расчет экономической эффективности всего проекта
К числу аппаратных средств можно отнести брандмауэры, по умолчанию установленные на персональном компьютере пользователя. Для грамотной и ощутимой работы его следует настроить, а затем проверять и устанавливать актуальные обновления. Немало важными программными
средствами являются антивирусы, которые просто необходимы для безопасного выхода во всемирную паутину интернет. Хоть они и не обезопасят компьютер или смартфон на 100 процентов, но заметно и ощутимо повысят защиту ваших данных. Также существуют различные программы для шифрования данных, которые с заданным алгоритмом шифруют данные пользователя, это достаточно надёжный способ защиты, ведь для доступа к таким данным необходимо иметь специальный ключ- дешифратор. Обезопасить данные и систему можно и с помощью специальных возможностью программ по вводу логина-пароля, где пользователь имеет уникальное имя при входе в структуры программы или системы. Для достижения максимальных уровней защиты следует использовать так называемые комплексы защиты, которые включают в себя несколько программных и технических решений.
Если говорить о технических или как говорят «аппаратных» средствах, то одним из них стоит выделить сервер по защите данных, который нацелен именно на задачу защиты всех объёмов памяти, это довольно таки дорогостоящий продукт, но в совокупности с другими средствами даёт наивысший уровень защиты данных. Вдобавок к серверу высоким уровнем защиты обладает межсетевой экран, который фильтрует трафик, исходя из заданных параметров. Также следует отметить, что в компаниях достижение высокого уровня защиты может и должно осуществляться с помощью охранных комплексов.
К таким комплексам относят, система камер видеонаблюдения на предприятии, которая в некотором роде ограничивает свободу человека, но исключает такие противоправные действия, как кражи на рабочих местах и несанкционированное проникновение на территорию. В добавление к камерам существуют специальные СКУД (система контроля и управления доступом), которая при входе в разные помещения, считывает данные хранящиеся на специальной уникальной электронной карте носителя.
Все эти методы и способы позволяют защитить информацию и активы как компании в целом, так и каждого из сотрудников. В ходе проекта для компании ООО «Вокс-Линк», которая уже имеет в своём арсенале некоторые способы и средства защит, будет разработан и внедрен целый комплекс по защите информации. Обоснованность разработки обусловлена тем, что хоть компания справляется с защитой своих активов, она всё-таки уязвима и её некоторые средства устарели, для достижения максимального уровня защиты, ей необходима модернизация и внедрение новых актуальных средств.
Первым делом в самом начале проекта, следует дать краткую характеристику компании, описать её цели и основные виды деятельности. Также следует проанализировать внутреннюю структуру предприятия и отобразить организационную деятельность, немало важным будет отобразить главные технико-экономические показатели. Вторым этапом следует уделить время работой с технической и программной структурами, находящимися на предприятии. Важно отобразить наиболее важные отдела компании, а также их рабочий софт. Далее стоит перечислить конфиденциальные данные, хранящиеся на предприятии и по возможности охарактеризовать их появление. После всех вышеперечисленных аналитических работ, следует оценить угрозы и риски, которые возникают в процессе функционирования компании, а также, которые могут возникнуть, как по вине сотрудников, так и со стороны.
Следующим этапом будет переход от аналитической части к проектной, где в основном уже будет разрабатываться новый комплекс защиты информации и проводится мероприятия принятия решений модернизации старых средств. Если при разработке, в компании появится новая документация с актами, следует их представить и дать необходимую характеристику. При установке средств необходимо описать специфику и методику. После всех данных мероприятий следует произвести анализ результатов и дать оценку проделанным работам с различными графиками.
Список использованной литературы
1. Нормативный акт от 13.01.1995 № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации»;
2. Нормативный акт от 12.05.2009 № 95-ФЗ «О гарантиях равенства парламентских партий при освещении их деятельности государственными общедоступными телеканалами и радиоканалами»;
3. Нормативный акт от 27.07.2006 № 152-ФЗ «О персональных данных»;
4. Нормативный акт от 28.12.2010 № 390-ФЗ «О безопасности»;
5. Указ от 11.02.2006 № 90 «О перечне сведений, отнесенных к государственной тайне»;
6. Указ от 17.05.2004 № 611 «О мерах по обеспечению безопасности РФ в сфере международного информационного обмена»;
7. Указ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
8. Бабаш, А.В. Информационная безопасность: Учебное пособие- М.:КноРус, 2019.-432с.
9. Баранова, Е.К. Информационная безопасность и защита информации.
–М.:Риор, 2017.-400с.
10. Белов, E.Б. Основы информационной безопасности: Учебн. пособие
2017.
11. Глинская, Е.В. Информационная безопасность конструкций ЭВМ и
систем –М.: Инфра-М, 2018. - 64с.
12. Гришина, Н.В. Информационная безопасность предприятия. –М.: Форум, 2017 – 159с.
13. Рябко, Б.Я. Криптография в информационном мире, 2018.-300с.
14. Семененко, В.А. Информационная безопасность. –М.: МГИУ, 2017.-
432с.
15. Скабцов, Н.В. Аудит безопасности ИС, 2018.-272с.
16. Чипига, А.Ф. Информационная безопасность АС –М.: Гелиос АРВ,2017.-336с.
17. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей –М.: Форум, 2018.- 256с.
18. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
19. ГОСТ Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения»
20. ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Функциональные требования безопасности»
21. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология.
Практические правила управления информационной безопасностью»
22. ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»
23. ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Выбор защитных мер»