Дипломная работа на тему "Разработка базовой политики безопасности в компании "AltControl" | Синергия"

Работа на тему: Разработка базовой политики безопасности в компании "AltControl"
Оценка: отлично.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки.
https://studentu24.ru/list/suppliers/Anastasiya1---1326

Описание работы

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «МОСКОВСКИЙ ФИНАНСОВО- ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»
Факультет электронного обучения

Направление 09.03.02 Кафедра ЭО

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
РАЗРАБОТКА БАЗОВОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ В КОМПАНИИ «ALTCONTROL»

МОСКВА 2018 г.

ЗАДАНИЕ НА ДИПЛОМНЫЙ ПРОЕКТ
1. Тема дипломного проекта: Разработка базовой политики безопасности в компании "AltControl"
Утверждена приказом университета № _ от «_ »_ 2018 г.
2. Срок сдачи студентом законченного проекта «25 » апреля 2018 г.
3. Исходные данные по дипломному проекту
1. Материалы предпроектного анализа предприятия.
2. Законодательная и нормативная документация по теме ВКР.
3. Научная, техническая и учебная литература по теме работы
4. Содержание разделов дипломного проекта

Введение
I Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).
1.1.1. Общая характеристика предметной области.
1.1.2. Организационно-функциональная структура предприятия.
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов.
1.2.2. Оценка уязвимостей активов.
1.2.3. Оценка угроз активам.
1.2.4. Оценка существующих и планируемых средств защиты.
1.2.5. Оценка рисков.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности.
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер.
1.4.2. Выбор инженерно-технических мер. II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.
2.2.2. Контрольный пример реализации проекта и его описание. III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
Заключение Приложения

5. Основные вопросы, подлежащие разработке
В главе 1 необходимо представить обоснование актуальности выбора задачи обеспечения информационной безопасности, обосновать и изложить используемую стратегию действий по защите информационных ресурсов, результаты анализа предметной области, а также обоснование и результаты выбора административных и инженерно-технических мер.
В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание.
В разделе 1.2 следует провести анализ рисков информационной безопасности, для чего необходимо:
• идентифицировать информационные активы;
• ранжировать их по степени важности;
• определить активы, которые относятся к конфиденциальным;
• оценить уязвимость активов;
• оценить степень угроз выбранным информационным активам;
• дать характеристику действующей системе защиты информации на предприятии на предмет полноты и адекватности реагирования на угрозы информационной безопасности.
• провести обоснование выбора методики оценки рисков с последующим проведением оценки.
Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
В разделе 1.3 необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.
В разделе 1.4 необходимо провести анализ и обоснование выбора:
• стратегии обеспечения информационной безопасности
• организационных и инженерно-технических мер обеспечения информационной безопасности;
• необходимых документов, регламентирующих проведение мероприятий по обеспечению информационной безопасности
В главе 2 необходимо представить проектные решения в соответствии с выбранным направлением обеспечения информационной безопасности.
В разделе 2.1 необходимо провести выбор нормативных актов отечественного и международного права, которые будут использоваться в качестве основы для разработки внутренних нормативных документов, а также разработать образцы документов в соответствии с выбранной темой.
Раздел 2.2 должен содержать описание внедряемых (разрабатываемых) программно-аппаратных средств информационной безопасности, а также описание контрольного примера применения выбранных средств информационной безопасности. Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических
рекомендаций.
В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, выполненные в соответствии с изложенной методикой. Расчетные данные следует представить в виде таблиц и диаграмм, отражающие сравнение величины ущерба до и после реализации мер по защите информации.
Приложение обязательно должно содержать формы внутренних нормативных документов. Кроме того также могут быть приведены:
• схемы или таблицы из основной части дипломной работы;
• результаты выполнения контрольного примера;
• схемы документооборота;
• примеры классификаторов;
• формы первичных и результатных документов;
• распечатки меню, экранных форм ввода, получаемых отчетов в разработанной системе;
• а также другие материалы дипломного проекта, кроме копий документов, не имеющих отношения к дипломному проектированию, рекламных сообщений, скриншотов. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части дипломного проекта.
С детальным рассмотрением содержания каждого пункта, а также примерами схем и таблиц необходимо ознакомиться в «Методических указания по дипломному проектированию для направления «Информационные системы», специальности
«Информационные системы и технологии», специализация «Безопасность информационных систем», размещенных на сайте факультета ИСиТ в разделе
«Материалы». При подготовке дипломного проекта вы можете пользоваться дополнительными литературными источниками, а также основной литературой, список которой приведен ниже.

6. Список литературы
1. Доктрина информационной безопасности Российской Федерации
2. Федеральный закон РФ от от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
3. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3
4. Безопасность и управление доступом в информационных системах. А.В. Васильков, И.А. Васильков. Учебное пособие. М. : ФОРУМ, 2010. 368 с.
5. Защита конфиденциальной информации. В.Я. Ищейнов, М.В. Мецатунян. Учебное пособие. М. : ФОРУМ, 2012. 256 с.
6. Комплексная система защиты информации на предприятии, Н.В. Гришина. Учебное пособие. М. : ФОРУМ, 2011. - 240 с.
7. Информационная безопасность и защита информации, Мельников В. П., М.: Академия, 2012, - 336 стр.
8. Программно-аппаратная защита информации. П.Б. Хореев. Учебное пособие. М. : ФОРУМ, 2012. 352 с.

ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ 8
1. Аналитическая часть 13
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения) 13
1.1.1. Общая характеристика предметной области 13
1.1.2. Организационно-функциональная структура предприятия 14
1.2. Анализ рисков информационной безопасности 15
1.2.1. Идентификация и оценка информационных активов 15
1.2.2. Оценка уязвимостей активов 24
1.2.3. Оценка существующих и планируемых средств защиты 29
1.2.4. Оценка рисков 33
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 37
1.3.1. Выбор комплекса задач обеспечения информационной безопасности 37
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 40
1.4. Выбор защитных мер 42
1.4.1. Выбор организационных мер 42
1.4.2. Выбор инженерно-технических мер 46
2. Проектная часть 49
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 49
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 49
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности 58
2.2. Комплекс внедряемых (разрабатываемых) программно-аппаратных средств обеспечения информационной безопасности 60
2.2.1. Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности 60
2.2.2. Контрольный пример реализации проекта и его описание Ошибка!
Закладка не определена.
3. Обоснование экономической эффективности проекта 78
3.1 Выбор и обоснование методики расчёта экономической эффективности 78
3.2 Расчёт показателей экономической эффективности проекта 84
ЗАКЛЮЧЕНИЕ 91
СПИСОК ЛИТЕРАТУРЫ 93
ПРИЛОЖЕНИЕ 1 95
ПРИЛОЖЕНИЕ 2 106

ВВЕДЕНИЕ
Развитие и рост деятельности организаций имеет тесную взаимосвязь с ростом ИТ-инфраструктуры и информационных систем. Поскольку сложность и масштабы информационной инфраструктуры увеличиваются, это порождает новые виды угроз, уязвимостей и рисков, которые прямым образом способны оказать влияние на деятельность организации.
Возникновение проблем в информационной безопасности организации приводит как к финансовым, так и к репутационным потерям. При этом важной задачей руководства является предотвращение этих угроз, минимизация рисков и обеспечение должного уровня безопасности ИТ-инфраструктуры предприятия.
Система информационной безопасности представляет собой комплекс корпоративных правил и норм работы, процедур обеспечения ИБ, которая формируется на основе аудита состояния информационной системы организации, анализа действующих рисков безопасности в соответствии с требованиями нормативно-руководящих документов РФ и положениями стандартов в области защиты информации, что становится особенно важным для предприятий, которые активно взаимодействуют с отечественными и иностранными партнерами.
Реализовать достаточно надежную систему обеспечения информационной безопасности организации возможно только в случае наличия на предприятии политики информационной безопасности. В противном случае разрозненные попытки различных служб по противодействию современным угрозам будут только создавать иллюзию безопасности.
Современная система информационной безопасности представляет синтез организационных и программно-технических мер, которые реализованы на базе единого подхода. При этом организационные меры не менее важны, чем технические – без внедрения безопасных приемов работы и осознания необходимости принимаемых мер, немыслимо создать действительно защищенную инфраструктуру безопасности.
Разработка системы информационной безопасности, как правило, состоит из следующих этапов:
1. Проведение аудита информационной безопасности предприятия.
2. Анализ возможных рисков безопасности предприятия и сценариев защиты.
3. Выработка вариантов требований к системе информационной безопасности.
4. Выбор основных решений по обеспечению режима информационной безопасности.
5. Разработка нормативных документов, включая политику информационной безопасности предприятия.
6. Разработка нормативных документов по обеспечению бесперебойной работы компании.
7. Разработка нормативной документации по системе управления информационной безопасностью.
8. Принятие выработанных нормативных документов.
9. Создание системы информационной безопасности и системы обеспечения бесперебойной работы компании.
10. Сопровождение созданных систем, включая доработку принятых нормативных документов.
Политика информационной безопасности, которая является результатом работы, проведенной на перечисленных этапах, – это высокоуровневый документ, который включает в себя принципы и правила, определяющие и ограничивающие определенные виды деятельности объектов и участников системы информационной безопасности, направленные на защиту информационных ресурсов организации.
Как известно, стратегическое планирование позволяет определить основные направления деятельности организации, связав воедино маркетинг, производство и финансы. Долгосрочный стратегический план позволяет компании выстроить все свои бизнес-процессы с учетом микро и макросреды для достижения наилучших финансовых показателей и темпов экономического роста. Важной составляющей в стратегическом планировании является учет требований политики информационной безопасности, которые должны быть краеугольным камнем при определении среднесрочных и долгосрочных целей и задач организации. С ростом компании и пересмотром планов политика также должна пересматриваться. Низкоуровневые документы информационной безопасности необходимо пересматривать в соответствии с реализацией краткосрочных планов.
Разработанная в результате проведенных мероприятий политика информационной безопасности будет включать в себя организационно- распорядительные и нормативно-методические руководящие документы, к которым относятся:
• общая характеристика объектов защиты и описание функций и принятых технологий обработки данных;
• описание целей создания системы защиты и путей достижения принятых целей;
• перечень действующих угроз информационной безопасности и оценка риска их реализации, модель вероятных нарушителей;
• описание принятых принципов и подходов к построению системы обеспечения информационной безопасности.
Принятые меры обеспечения информационной безопасности разбиваются на два уровня:
• административно-организационные меры – действия сотрудников организации по обеспечению норм безопасности;
• программно-технические меры.
В базовой политике информационной безопасности должны присутствовать следующие компоненты:
• описание системы управления доступом к информационным ресурсам компании, включая доступ к данным, программам и аппаратным средствам;
• описание политики антивирусной защиты;
• описание системы резервного копирования;
• описание порядка проведения восстановительных и регламентных работ;
• описание системы расследования инцидентов;
• порядок тестирования, приемки, аттестации и сертификации систем обеспечения информационной безопасности на соответствие действующим стандартам. Поскольку созданные системы информационной безопасности должны пройти аттестацию по требованиям защищенности информации в соответствии с Российским законодательством, что является обязательным условием, позволяющим обрабатывать информацию ограниченного доступа. Процесс сертификации по действующим стандартам позволит не только убедиться в качестве созданной системы, но и наладить полноценное взаимодействие с различными компаниями, что автоматически делает ее более привлекательной для зарубежных компаний при выборе деловых партнеров в России;
• план мероприятий по обеспечению безопасности, включая план развития системы информационной безопасности.
В процессе создания политики информационной безопасности необходимым условием является максимальный учет принятых норм работы предприятия, с тем, чтобы выработанная политика, обеспечивая высокий уровень безопасности, оказывала минимальное влияние на производительность труда сотрудников и не требовала высоких затрат на свое создание.
Актуальность работы заключается в развитии методов получения доступа к конфиденциальной информации.
Объектом исследования является общество с ограниченной ответственностью «AltControl».
Предметом исследования является базовая политика информационной безопасности.
Целью работы является разработка базовой политики информационной безопасности организации «AltControl».
Для достижения поставленной цели необходимо решить ряд задач:
1. Дать технико-экономическую характеристику компании «AltControl».
2. Провести анализ рисков информационной безопасности организации.
3. Охарактеризовать комплекс задач и дать обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.
4. Осуществить выбор организационных и инженерно-технических мер обеспечения информационной безопасности.
5. Разработать комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.
6. Описать комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
7. Дать обоснование экономической эффективности выбранных мер.

СПИСОК ЛИТЕРАТУРЫ
1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ).
2. Доктрина информационной безопасности Российской Федерации (утверждена Указом Президентом Российской Федерации от05.12.2016г. № 646).
3. Федеральный закон «О персональных данных» № 152-ФЗ (принят Государственной Думой 08.07.2006г.) (с изменениями от 29.07.2017 г.).
4. Федеральный закон «О безопасности» от 28.12.2010 № 390-ФЗ (последняя редакция).
5. Федеральный закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ (принят Государственной Думой 08.07.2006г.) (с изменениями от 29.07.2017 г.).
6. Федеральный закон «Об электронной подписи» № 63-ФЗ (принят Государственной Думой 25.03.2011г.) (с изменениями от 23.06.2016 г.).
7. ГОСТ Р ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
8. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.
9. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.
10. Аверченков В.И. Аудит информационной безопасности - Москва.: Флинта, 2011. – 269с.
11. Алаева М.А. Компьютерные Сети - Москва.: Schiffer Publishing, 2012.- 134 c.
12. Баранова Е., Бабаш А. Информационная безопасность и защита информации – Москва.: Инфра-М, 2016. – 324 с.
13. Бирюков А. Информационная безопасность: защита и нападение – Москва.: ДМК, 2017 – 260 с.
14. Блинов А.М. Информационная безопасность – Санкт-Петербург.: СПБГУ, 2013. – 96с.
15. Бондарев В. Введение в информационную безопасность автоматизированных систем – Москва.: МГТУ им. Н.Э. Баумана, 2016. – 252 с.
16. Воробьев Л.В., Давыдов А.В., Щербина Л.П. Системы и сети передачи информации - Москва.: Академия, 2011. - 336c.
17. Исаев Г.Н. Информационные технологии - Москва.: Омега-Л, 2012.– 464с.
18. Кияев В.А., Граничин О.М. Безопасность информационных систем - Москва.: Национальный Открытый Университет «ИНТУИТ», 2016. - 192с.
19. Нестеров С. Основы информационной безопасности – Москва.: Лань, 2016. – 324.
20. Ситанов Н.Н. Администрирование в информационных сетях - Москва.: Лотест, 2010. -552c.
21. Смирнов А.А. Обеспечение информационной безопасности в условиях виртуализации общества – Москва.: Юнити-Дана, 2012. - 159 с.
22. Коркина Г.М., Кузнецова Я.В. Актуальные угрозы экономической безопасности – Екатерингбург.: УФУ им. Б. Ельцина, 2015.
23. Словарь финансовых и юридических терминов [Электронный ресурс]: // СПС «КонсультантПлюс» [Офиц. сайт].