Дипломная работа на тему "Разработка политики информационной безопасности организации на примере ООО «СЖКХ» | Синергия [ID 53896]"

Работа на тему: Разработка политики информационной безопасности организации на примере ООО «СЖКХ»
Оценка: хорошо.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки
https://studentu24.ru/list/suppliers/maksim---1324

Описание работы

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»
Факультет онлайн обучения

Направление подготовки: 38.03.02 Менеджмент

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
«РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ НА ПРИМЕРЕ ООО «СЖКХ»

Москва 2020

ЗАДАНИЕ
на выпускную квалификационную работу студента
1. Тема ВКР: Разработка политики информационной безопасности организации на примере ООО «СЖКХ»
2. Структура ВКР:

Введение
Глава 1. Теоретические основы политики информационной безопасности
1.1. Основные подходы к определению сущности политики информационной безопасности
1.2. Роль политики безопасности в системе менеджмента информационной безопасности
1.3. Основные этапы менеджмента риска при разработке политики безопасности
Глава 2. Анализ политики информационной безопасности на примере ООО «СЖКХ»
2.1. Организационно-экономическая характеристика предприятия
2.2. Анализ организации безопасности информационных систем предприятия
2.3. Аудит информационных систем предприятия и его результаты
Глава 3. Совершенствование разработки политики информационной безопасности организации
3.1. Обоснование необходимости совершенствования политики информационной безопасности на предприятии.
3.2. Определение задач и мероприятий по совершенствованию политики безопасности
3.3. Решение поставленных задач и оценка результатов мероприятий по совершенствованию политики информационной безопасности.
Заключение
Список использованной литературы Приложения

3. Основные вопросы, подлежащие разработке.
Во введении рекомендуется обосновать актуальность выбранной темы, сформулировать цели и задачи работы, описать объект, предмет и информационную базу исследования.
Для написания главы 1 рекомендуется изучить основную и дополнительную литературу по выбранной теме.
В параграфе 1.1 необходимо привести основные термины, формулировки и подходы к определению информационной безопасности.
В параграфе 1.2 необходимо рассмотреть политику информационной безопасности как важнейшее звено системы менеджмента информационной безопасности.
В параграфе 1.3 необходимо рассмотреть основные этапы менеджмента рисков информационной безопасности, привести классификацию рисков, отметить важность менеджмента рисков для разработки политики безопасности
Глава 2 должна содержать анализ предприятия, для которого планируется разработка и совершенствование политики информационной безопасности
В параграфе 2.1 необходимо привести краткую историческую характеристику организации, описать ее основные виды деятельности, представить структуру организации с описанием функций каждого отдела,
В параграфе 2.2 необходимо рассмотреть текущее состояние информационной безопасности организации: представить ответственных за обеспечение безопасности информационных систем, определить методику защиты информационных систем, частоту проведения аудита информационной безопасности.
В параграфе 2.3 необходимо провести идентификацию и анализ информационных активов предприятия, провести оценку угроз и уязвимостей этих активов. Провести оценку рисков информационных активов.
В Главе 3 необходимо разработать и/или усовершенствовать политику информационной безопасности для организации.
В параграфе 3.1 необходимо обосновать необходимость совершенствования политики информационной безопасности организации.
В параграфе 3.2 необходимо определить первоочередные задачи для совершенствования политики, представить план мероприятий и работ, описать желаемый результат.
В параграфе 3.3 необходимо описать работу по реализации поставленных задач. Провести оценку результата работ по совершенствованию политики информационной безопасности на организации.
В заключении необходимо отразить основные положения выпускной квалификационной работы и сформулировать общие выводы.
В приложение выносятся рисунки, таблицы, диаграммы, включение которых в основной текст по каким-либо причинам признано необязательным.

4. Исходные данные по ВКР:
Основная литература:
Группа государственных стандартов по менеджменту информационной безопасности ГОСТ Р ИСО/МЭК 27000-2012, 27001-2006, 27002-2012, 27003-2012 27005-2010.
Дополнительная литература:
1. Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление рисками информационной безопасности: учебное пособие. -2е изд., испр. – М.: Горячая линия
– Телеком, 2014. – 130с.
2. Гатчин Ю.А., Сухостат В.В., Куракин А.С., Донецкая Ю.В. Теория информационной и методология защиты информации – 2-е изд., испр. и доп. – СПб: Университет ИТМО, 2018.
3. Информационная безопасность: учебное пособие / Ясенев В.Н., Дорожкин А.В., Сочков А.Л., Ясенев О.В; под общей редакцией проф. Ясенева В.Н. – Нижний Новгород: Нижегородский госуниверситет им. Н.И. Лобачевского, 2017.
4. Организационное и правовое обеспечение информационной безопасности: учебник и практикум для бакалавриата и магистратуры / под ред. Поляковой Т. А., Стрельцова А. А. — М.: Издательство Юрайт, 2016.

ОГЛАВЛЕНИЕ
Введение 6
Глава 1. Теоретические основы политики информационной
безопасности 10
1.1. Основные подходы к определению сущности политики
информационной безопасности 10
1.2. Роль политики информационной безопасности в системе
менеджмента информационной безопасности 16
1.3. Основные этапы менеджмента риска при разработке политики
информационной безопасности 19
Глава 2. Анализ политики информационной безопасности на примере
ООО «СЖКХ» 31
2.1. Организационно-экономическая характеристика предприятия 32
2.2. Анализ организации безопасности информационных систем предприятия 35
2.3. Аудит информационных систем предприятия и его результаты…39
Глава 3. Совершенствование разработки политики информационной
безопасности организации 55
3.1. Обоснование необходимости совершенствования политики
информационной безопасности на предприятии 55
3.2. Определение задач и мероприятий по совершенствованию политики информационной безопасности 57
3.3. Решение поставленных задач и оценка результатов мероприятий по
совершенствованию политики информационной безопасности 64
Заключение 72
Список использованной литературы 74
Приложения 78

ВВЕДЕНИЕ
«Безопасность – это процесс, а не результат»
Брюс Шнайер (Bruce Schneier)
Великим прорывом в информационной сфере стало изобретение бумаги. Тяжелые дощечки, дорогой пергамент и шелк, требующий особых условий хранения папирус - все эти носители перестали использоваться после появления недорогой и достаточно неприхотливой бумаги. Практически до конца XX века основным носителем информации была бумага. Появление компьютера и глобальной сети интернет ознаменовало новый этап в развитии общества, теперь носящего название информационного, все сферы деятельности которого переходят в электронный формат. Никого уже не удивит получение кредитов в личном кабинете на сайте банка, онлайн-консультация у врача, дистанционное получение высшего образования, – было бы подходящее техническое устройство с возможностью выхода в Интернет. Но за удобство всегда приходится чем-то платить: коммерческая, конфиденциальная и секретная информация, персональные данные – все хранится на накопителях технических устройств. Важнейшей задачей существования информационного общества является обеспечение информационной безопасности.
С переходом на рыночную экономику в Российской Федерации ежедневно появляются новые организации и предприятия. Каждое предприятие уникально и имеет собственный микроклимат, собственные принципы накопления, обработки и обмена информацией, причем как внутри организации, так и с внешней средой. На каждом предприятии используются информационные системы, позволяющие облегчить повседневный труд бухгалтеров, инженеров и специалистов иных направлений. Работа по накоплению, обработке, передаче информации возлагается на автоматизированные информационные системы. Защита информационных систем предприятия необходима для успешного бесперебойного ведения бизнеса.
Разработка и внедрение политики информационной безопасности в организации позволит четко сформулировать систему взглядов на обеспечение информационной безопасности, определить стратегию ее развития, создать общие правила и регламент работ, которыми руководствуется организация в своей повседневной деятельности.
Темой выпускной квалификационной работы является разработка политики информационной безопасности организации на примере ООО
«СЖКХ».
Актуальность темы заключается в том, что в настоящее время на множестве предприятий отсутствует политика информационной безопасности и каждый работник предприятия выстраивает свою работу согласно собственных, субъективных, знаний в сфере информационных технологий. Создание грамотной политики информационной безопасности позволяет снизить риск возникновения инцидентов информационной безопасности и тем самым снизить возможный ущерб.
Степень разработанности проблемы. Так как информационные технологии, а вместе с ними и менеджмент информационной безопасности, являются динамично развивающимися областями деятельности, можно отметить факт достаточной разработанности проблемы разработки политики информационной безопасности. Среди российских авторов можно отметить труды Милославской Н.Г, Поляковой Т.А. и Ясенева В.Н, Пелешко С.В. и Бондарева В.В.
Целью работы является разработка мероприятий, направленных на совершенствование политики информационной безопасности.
Задачи работы:
1. Раскрыть сущность политики информационной безопасности.
2. Выявить роль политики информационной безопасности в контексте системы менеджмента информационной безопасности и менеджмента риска.
3. Раскрыть основные этапы менеджмента риска при разработке политики безопасности.
4. Дать организационно-экономическую характеристику ООО
«СЖКХ» и провести анализ организации безопасности информационных систем предприятия.
5. Провести аудит информационной безопасности в организации и обосновать необходимости совершенствования политики безопасности.
6. Разработать мероприятия по совершенствованию политики информационной безопасности.
Объектом исследования выступает ООО «Светогорское жилищно- коммунальное хозяйство».
Предметом исследования является политика информационной безопасности.
Методология исследования. На разных этапах исследования, в зависимости от поставленных задач, использовались следующие общенаучные методы исследования: анализ, синтез, наблюдение, классификация, проведение анкетирования и собеседования с сотрудниками исследуемой организации, конкретизация.
Информационная база исследования. В ходе написания работы в качестве основных источников была использована серия международных стандартов, определяющая и регулирующая систему менеджмента информационной безопасности.
Практическая значимость исследования. Практическая значимость данной исследовательской работы заключается в том, что результаты исследования могут быть использованы в организации ООО «Светогорское жилищно-коммунальное хозяйство» для повышения уровня информационной безопасности путем внедрения разработанной политики информационной безопасности и предложенных мероприятий информационной безопасности.
Структура работы. Структура работы выглядит следующим образом: введение, основная часть, заключение, список источников и приложения. Основная часть состоит из трех глав: первая носит теоретический характер, во второй проводится анализ деятельности организации, в третьей определяются и описываются мероприятия, направленные на совершенствование политики информационной безопасности ООО «Светогорское жилищно-коммунальное хозяйство».

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Трудовой кодекс Российской Федерации от 30.12.2001 №197-ФЗ (в редакции от 12.11.2019) // Собрание законодательства Российской Федерации, 2002 г., №1, ст. 3.
2. Уголовный кодекс Российской Федерации от 13.06.1996 №63-ФЗ (в редакции от 04.11.2019) // Собрание законодательства Российской Федерации, 1996 г., №25, ст. 2954.
3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями от 01.05.2019) // Собрание законодательства Российской Федерации, 2006 г., №31, ст. 3488.
4. Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" // Собрание законодательства Российской Федерации, 2006 г., №131, ст. 3766. (с изменениями от от 29.07.2017).
5. Постановление правительства Российской Федерации от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Собрание законодательства Российской Федерации, 2012 г., №45, ст. 6257.
6. Приказ федеральной службы по техническому и экспортному контролю от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах обработки персональных данных» // Зарегистрировано в Минюсте России 14 мая 2013 г.
№28375.
7. Государственный стандарт ГОСТ Р ИСО 9000-2015. Системы менеджмента качества. Основные положения и словарь. – Введ. 2015.11.01. – М.:
«Стандартинформ», 2016.
8. Государственный стандарт ГОСТ Р ИСО/МЭК 27000-2012. Информационная технология. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Общий обзор и терминология. – Введ. 2012.12.01. – М.: «Стандартинформ», 2013.
9. Государственный стандарт ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. – Введ. 2008.02.01. – М.: «Стандартинформ», 2009.
10. Государственный стандарт ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. – Введ. 2014.01.01. – М.: «Стандартинформ», 2014.
11. Государственный стандарт ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности. – Введ. 2013.12.01. – М.: «Стандартинформ», 2014.
12. Государственный стандарт ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. – Введ. 2011.12.01. – М.:
«Стандартинформ», 2012.
13. Государственный стандарт ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. – Введ. 2008.02.01. - М.:
«Стандартинформ», 2008.
14. Бирюков А.А. Информационная безопасность: защита и нападение.
- 2-е изд., перераб. и доп. – М.:ДМК Пресс, 2017 – 434с.
15. Бондарев В.В. Введение в информационную безопасность автоматизированных систем: учебное пособие. – М.: МГТУ им. Н.Э. Баумана, 2016. – 250с.
16. Гатчин Ю.А., Сухостат В.В., Куракин А.С., Донецкая Ю.В. Теория информационной и методология защиты информации – 2-е изд., испр. и доп. – СПб: Университет ИТМО, 2018. – 100 с.
17. Калитко С. А., Секерин В.Д., Горохова А.Е. Управление рисками: учеб. пособие – Краснодар: КубГАУ, 2019. – 80 с.
18. Краковский Ю.М. Информационная безопасность и защита информации: учебное пособие. – Иркутск: ИрГУПС, 2016. – 224с.
19. Мескон М., Альберт А., Хедоури Ф. Основы менеджмента – М.: Вильямс, 2009. – 672 с.
20. Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление рисками информационной безопасности: учебное пособие. -2е изд., испр. – М.: Горячая линия – Телеком, 2014. – 130с.
21. Нестеров С. А. Основы информационной безопасности: Учебное пособие. —2е изд., стер. — СПб.: Издательство «Лань», 2016. — 324 с.
22. Организационное и правовое обеспечение информационной безопасности: учебник и практикум для бакалавриата и магистратуры / под ред. Поляковой Т. А., Стрельцова А. А. — М.: Издательство Юрайт, 2016. — 325 с.
23. Пелешко В.С., Говорова С.В., Лапина М.А. Менеджмент инцидентов информационной безопасности защищенных автоматизированных систем управления: учебное пособие. – Ставрополь: СКФУ, 2017. – 86с.
24. Информационная безопасность: учебное пособие / Ясенев В.Н., Дорожкин А.В., Сочков А.Л., Ясенев О.В; под общей редакцией проф. Ясенева В.Н. – Нижний Новгород: Нижегородский госуниверситет им. Н.И. Лобачевского, 2017. – 198 с.
25. Ассоциация по сертификации Русский Регистр. [Электронный ресурс.]
26. Сайт ведущего разработчика средств информационной безопасности SearchInform. [Электронный ресурс.]
27. Портал о компаниях и бизнесе Российской Федерации «За честный бизнес». [Электронный ресурс.]
28. Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. [Электронный ресурс.]