Дипломная работа на тему "Синергия | Разработка и внедрение комплекса криптографической защиты корпоративной БД для ЗАО «Капстройпроект»"

Работа на тему: Разработка и внедрение комплекса криптографической защиты корпоративной БД для ЗАО «Капстройпроект»
Оценка: отлично.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки.
https://studentu24.ru/list/suppliers/Anastasiya1---1326

Описание работы

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «МОСКОВСКИЙ ФИНАНСОВО ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»
Факультет электронного обучения

Направление 09.03.02 Кафедра ИСиТ

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
на тему: Разработка и внедрение комплекса криптографической
защиты корпоративной Бд для ЗАО «Капстройпроект»

МОСКВА 2018 r

ЗАДАНИЕ НА ВЫПУСКНУЮ КВАЛИФИКАЦИОННУЮ РАБОТУ
1. Тема выпускной квалификационной работы «Разработка и внедрение комплекса криптографической защиты корпоративной БД для ЗАО «Капстройпроект»»
2. Срок сдачи студентом законченного проекта « » 2018 г.
3. Исходные данные по выпускной квалификационной работе: Данные, собранные в период прохождения преддипломной практики, нормативно-правовая база по вопросам информационной безопасности, учебные и научные издания.
4. Содержание разделов выпускной квалификационной работы Введение
1 Аналитическая часть
1.1 Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)
1.1.1 Общая характеристика предметной области
1.1.2 Организационно-функциональная структура предприятия
1.2 Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов
1.2.2 Оценка уязвимостей активов
1.2.3 Оценка угроз активам
1.2.4 Оценка существующих и планируемых средств защиты
1.2.5 Оценка рисков
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1 Выбор комплекса задач обеспечения информационной безопасности
1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации
1.4 Выбор защитных мер
1.4.1 Выбор организационных мер
1.4.2 Выбор инженерно-технических мер
2 Проектная часть
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия
2.1.2 Организационно-адМинистративная основа создания системы обеспечения информационной безопасности и защиты информации предприятия
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия
2.2.1 Структура программно-аппаратного комплекса информационной
безопасности и защиты информации предприятия
2.2.2 Контрольный пример реализации проекта и его описание
3 Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта Заключение
Список использованной литературы Приложение

5. Основные вопросы, подлежащие разработке
В главе 1 необходимо выполнить анализ деятельности компании и уровня ее автоматизации: технико-экономическая характеристика предметной области предприятия, анализ деятельности «КАК ЕСТЬ»; характеристика комплекса задач и обоснование необходимости автоматизации; анализ существующих разработок и выбор стратегии автоматизации «КАК ДОЛЖНО БЫТЬ»; обоснование проектных решений для складского учета.
В главе 2 вьmолнить разработку проекта автоматизации комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия; комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия; меры повьппения информационной безопасности.
В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, вьmолненные в соответствии с изложенной методикой. Расчетные данные следует представить в виде таблиц и диаграмм, отражающие сравнение величины ущерба до и после реализации мер по защите информации.
Приложение обязательно должно содержать формы внутренних нормативных документов. Кроме того также могут быть приведены:
• схемы или таблицы из основной части дипломной работы;
• результаты вьmолнения контрольного примера;
• схемы документооборота;
• примеры классификаторов;
• формы первичных и результатных документов;
• распечатки меню, экранных форм ввода, получаемых отчетов в разработанной системе;
• а также другие материалы дипломного проекта, кроме копий документов, не имеющих отношения к дипломному проектированию, рекламных сообщений, скриншотов. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части дипломного проекта.
С детальным рассмотрением содержания каждого пункта, а также примерами схем и таблиц необходимо ознакомиться в «Методических указания по дипломному проектированию для направления «Информационные системы», специальности

«Информационные системы и технологии», специализация «Безопасность информационных систем», размещенных на сайте факультета ИСиТ в разделе
«Материалы». При подготовке дипломного проекта вы можете пользоваться дополнительными литературным:и источниками, а также основной литературой, список которой приведен ниже.

6. Список литературы
1. Федеральный закон от 27.07.2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями и дополнениями от 28.07.2012)
2. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения. Критерии оценки безопасности информационных технологий. Ч.1. Введение и общая модель. -М.: Госстандарт России, 2002.
3. Адаменко М.А., Основы классической криптологии. Секреты шифров и кодов, Издательство: ДМ:К Пресс, 2012 г., 256 стр.
4. Гашков С. Б., Применко Э. А., Черепнев М. А., Криптографические методы защиты информации, Издательство: Академия, 2010 г., 304 стр.
5. Гришина Н. В., Комплексная система защиты информации на предприятии, Издательство: Форум, 2010 г., 240 стр.
6. Лебедев А. В., Защита компьютера от вирусов, хакеров и сбоев. Понятный самоучитель, Издательство: Питер, 2013 г., 160 стр.
7. Малюк А. А., Пазизин С. В., Погожин Н. С., Введение в защиту информации в автоматизированных системах, Издательство: Горячая Линия - Телеком, 2011 г., 146 стр.
8. Мельников В. П., Клейменов С. А., Петраков А. М., Информационная безопасность и защита информации, Издательство: Академия, 2012 г., 336 стр.
9. Рябко Б. Я., Фионов А. Н., Криптографические методы защиты информации, Издательство: Горячая Линия - Телеком, 2012 г., 230 стр.
10. Сергеева Ю. С., Защита информации. Конспект лекций, Издательство: А-Приор, 2011 г., 128 стр.
11. Сердюк В. А., Организация и технологии защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных системах предприятий, Издательство: Высшая Школа Экономики (Государственный Университет), 2011 г., 576 стр.
12. Сонг Ян, Криптоанализ RSA, Издательство: НИЦ "Регулярная и хаотическая динамика", Институт компьютерных исследований, 2011 г., 312 стр.
13. Ховард М., Д. Лебланк, Дж. Вьега 24 смертных греха компьютерной безопасности, Издательство: Питер, 201О г., 400 стр.
14. Шаньгин В. Ф., Комплексная защита информации в корпоративных системах, Издательство: Форум, Инфра-М, 2010 г., 592 стр.
Дата выдачи задания «09» _октября_ 2018 г.

Содержание
1 Аналитическая часть 10
1.1 Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения) 10
1.1.1 Общая характеристика предметной области 10
1.1.2 Организационно-функциональная структура предприятия 10
1.2 Анализ рисков информационной безопасности 14
1.2.1 Идентификация и оценка информационных активов 14
1.2.2 Оценка уязвимостей активов 20
1.2.3 Оценка угроз активам 27
1.2.4 Оценка существующих и планируемых средств защиты 32
1.2.5 Оценка рисков 41
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 45
1.3.1 Выбор комплекса задач обеспечения информационной безопасности 45
1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 50
1.4 Выбор защитных мер 54
1.4.1 Выбор организационных мер 54
1.4.2 Выбор инженерно-технических мер 71
2 Проектная часть 78
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 78
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 78
2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 85
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 103
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 103
2.2.2 Контрольный пример реализации проекта и его описание 110
3 Обоснование экономической эффективности проекта 118
3.1 Выбор и обоснование методики расчёта экономической эффективности 118
3.2 Расчёт показателей экономической эффективности проекта 123
Заключение 130
Список использованной литературы 133

Введение
Сегодня информационная безопасность (ИБ) становится неотъемлемой частью существования и развития многих государственных, коммерческих и частных организаций. Защита данных основана на серьезных причинах, ведь при утечки информации любая компания может понести серьезные убытки, финансовые потери и другие виды ущерба, которые в конечном итоге могут привести к деструктуризации предприятия.
Происходящее вокруг информационных ресурсов соперничество, борьба за удержание и достижение некоторого информационного превосходства становятся все более и более значимыми в геополитической конкуренции многих стран мира. На сегодняшнем, новом этапе мировой истории, когда возможность активного роста за счет обычного присоединения и присвоения новых ресурсов путем вооруженных захватов территорий других стран стали неэффективными и исчерпанными, возник вопрос о более качественных и приемлемых способах геополитической конкуренции в новой информационной среде.
Становится понятным, что по мере глобализации информационной сферы качество национальных систем безопасности очень часто становится решающим фактором в вопросах политики любого субъекта геополитической борьбы. С другой стороны, неэффективность подобной системы в области информационной безопасности могут быть решающим фактором, приводящим к крупномасштабной катастрофе или аварии, последствия которых могут вызвать дезорганизацию текущего государственного управления, крах экономики или финансовой системы и т.п.
Главная идея ИБ как социального явления заключается в том, чтобы установить и реализовать различные морально-эстетические, нормативно- правовые и организационные отношения между людьми, обеспечивающие баланс человеческих интересов, а также интересов общества, государства в информационной сфере.
В рамках современной информационной экономики должным образом преобразуется содержание бизнес-процессов. Происходит изменение приоритетности использования интеллектуальной части общего капитала компаний, применение инновационных вариантов управления (матричное, сетевое и др.), минимизация степени зависимости персонала от компании, гибкость бизнес- схем, понимание роли ИТ в увеличении эффективности бизнес-процессов и итоговых значений бизнеса. В связи с все перечисленным, значительно поменялся и подход к выявлению конкурентных возможностей компаний, к примеру, при проведении операций слияния-поглощения. Так, на фондовых биржах опытные трейдеры, наряду с различной экономической информацией, также теперь учитывают и сообщения о перемене информационной составляющей торговых отношений. Это хорошо заметно в текущей работе и экспертных заключениях многих известных консалтинговых компаний, например, Gartner, Price Waterhоuse Coopers, Accenture и др. в рамках оценки бизнеса и уровня автоматизации минимально прибыльных компаний (к примеру, образовательные учреждения), оценке работы государственных структур и др.
До некоторого момента не появляется вопросов и об оценивании величины риска, рост которого нужно рассматривать как обратную сторону по отношению к автоматизации. Проблема также объясняется тем, что вопросы информационной безопасности, зачастую решаются ИТ- специалистами, которые не могут в полном объеме дать реального представления о последствиях для организации при возникновении угрозы информационной безопасности. Менеджеры компании, которые могут оценить реальные последствия угроз, зачастую обладают неполными знаниями в области информационных технологий, что не дает им полноценно оценить связанные с ними риски.
Поэтому в организации зачастую просто нет специалиста, который в силах оценить реальные риски, связанные с применением информационных технологий, но становится, очевидно, что оценка риска необходима не только с точки зрения защиты уже сложившейся инфраструктуры, но и для точной оценки дальнейшего применения и развития ИТ.
Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организации.
Темой ВКР является Совершенствование системы информационной безопасности баз данных компании «Капстройпроект».
Целью проекта является повышение уровня защищенности системы информационной безопасности баз данных в компании «Капстройпроект».
Актуальность работы состоит в постоянной необходимости повышения уровня информационной безопасности компании в связи с возрастающим уровнем угроз.
Объектом исследования является компания Капстройпроект, а предмет исследования - процесс развертывания комплекса криптографической защиты корпоративной БД компании «Капстройпроект».
При написании дипломного проекта были применены такие методы научного исследования, как изучение научной литературы по теме исследования, нормативно-правовой базы, аналитический и сравнительный методы.
ВКР состоит из 3 глав. Краткое описание каждой из них приведено
ниже.
В первой главе рассмотрена задача построения информационной
безопасности, для решения которой проводится характеристика информационной системы предприятия, угроз ИБ, и выдвижение требований к системе защиты информационной безопасности.
Во второй главе затрагиваются вопросы проектирования системы информационной безопасности в рамках государственных стандартов.
Определяются требования к системе информационной в рамках тех же государственных стандартов. Так же производится анализ существующей системы ИБ, и выявление несоответствий требованиям государственных стандартов.
Эта же глава посвящена устранению недостатка в системе ИБ предприятия именно описанию внедрения программного- аппаратного комплекса для защиты информации компании.
В третьей главе производится оценка экономического эффекта от модернизации системы информационной безопасности компании.

Список использованной литературы
1. Федеральный закон от 27.07.2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями и дополнениями от 28.07.2012)
2. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения. Критерии оценки безопасности информационных технологий. Ч.1. Введение и общая модель. – М.: Госстандарт России, 2002.
3. Адаменко М.А., Основы классической криптологии. Секреты шифров и кодов, Издательство: ДМК Пресс, 2012 г., 256 стр.
4. Гашков С. Б., Применко Э. А., Черепнев М. А., Криптографические методы защиты информации, Издательство: Академия, 2010 г., 304 стр.
5. Гришина Н. В., Комплексная система защиты информации на предприятии, Издательство: Форум, 2010 г., 240 стр.
6. Джуди Новак, Стивен Норткатт, Дональд Маклахен, Как обнаружить вторжение в сеть. Настольная книга специалиста по системному анализу, Издательство: Лори, 2012 г., 384 стр.
7. Лебедев А. В., Защита компьютера от вирусов, хакеров и сбоев. Понятный самоучитель, Издательство: Питер, 2013 г., 160 стр.
8. Малюк А. А., Пазизин С. В., Погожин Н. С., Введение в защиту информации в автоматизированных системах, Издательство: Горячая Линия
– Телеком, 2011 г., 146 стр.
9. Мельников В. П., Клейменов С. А., Петраков А. М., Информационная безопасность и защита информации, Издательство: Академия, 2012 г., 336 стр.
10. Рябко Б. Я., Фионов А. Н., Криптографические методы защиты информации, Издательство: Горячая Линия – Телеком, 2012 г., 230 стр.
11. Сергеева Ю. С., Защита информации. Конспект лекций, Издательство: А-Приор, 2011 г., 128 стр.
12. Сердюк В. А., Организация и технологии защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных системах предприятий, Издательство: Высшая Школа Экономики (Государственный Университет), 2011 г., 576 стр.
13. Сонг Ян, Криптоанализ RSA, Издательство: НИЦ "Регулярная и хаотическая динамика", Институт компьютерных исследований, 2011 г., 312 стр.
14. Ховард М., Д. Лебланк, Дж. Вьега 24 смертных греха компьютерной безопасности, Издательство: Питер, 2010 г., 400 стр.
15. Шаньгин В. Ф., Комплексная защита информации в корпоративных системах, Издательство: Форум, Инфра-М, 2010 г., 592 стр.
16. Шепитько Г. Е., Экономика защиты информации, Издательство: МФЮУ, 2011 г., 64 стр.
17. Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации
18. Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. Защита от несанкционированного доступа к информации. Термины и определения
19. Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации
20. Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации
21. Руководящий документ. Решение председателя Гостехкомиссии России от 25 июля 1997 г. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации
22. Руководящий документ. Приказ председателя Гостехкомиссии России от 4 июня 1999 г. N 114 Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей
23. Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 Безопасность информационных технологий. Критерии оценки безопасности информационных технологий
24. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год Пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.
25. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа