Статья на тему "Синергия | Внедрение комплексной защиты информации в центральном офисе строительной компании ООО «Абрис- Строй»"

Работа на тему: Внедрение комплексной защиты информации в центральном офисе строительной компании ООО «Абрис- Строй».
Год сдачи: 2018. Оценка: Хорошо. Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки. Так же можете посетить мой профиль готовых работ: https://studentu24.ru/list/suppliers/vladimir---1307

Описание работы

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «МОСКОВСКИЙ ФИНАНСОВО- ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»

Факультет электронного обучения_

Направление 09.03.02 Кафедра ЭО
(код) (аббревиатура)

РАБОТА
НА ТЕМУ: ВНЕДРЕНИЕ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В ЦЕНТРАЛЬНОМ ОФИСЕ СТРОИТЕЛЬНОЙ КОМПАНИИ ООО «АБРИС- СТРОЙ»

Обучающийся
(Ф.И.О. полностью) подпись
Руководитель
(Ф.И.О. полностью) подпись

Декан ФЭО
(Ф.И.О. полностью) подпись

МОСКВА 2018 г.

Факультет Электронного обучения Кафедра ЭО Направление ИСиТ

ЗАДАНИЕ НА РАБОТУ

Студент (ка)
(Фамилия Имя Отчество)

1. Тема работы: Внедрение комплексной защиты информации в центральном офисе строительной компании ООО «Абрис- Строй»

Утверждена приказом университета

2. Срок сдачи студентом

3. Исходные данные по Доктрина информационной безопасности Российской Федерации, Политика информационной безопасности, справочная, научная, методическая литература, ресурсы Интернет.

4. Содержание разделов работы

Введение
I Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).
1.1.1. Общая характеристика предметной области.
1.1.2. Организационно-функциональная структура предприятия.
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов.
1.2.2. Оценка уязвимостей активов.
1.2.3. Оценка угроз активам.
1.2.4. Оценка существующих и планируемых средств защиты.
1.2.5. Оценка рисков.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности.
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер.
1.4.2. Выбор инженерно-технических мер. II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.
2.2.2. Контрольный пример реализации проекта и его описание. III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
Заключение Приложения

5. Основные вопросы, подлежащие разработке
В главе 1 необходимо представить обоснование актуальности выбора задачи обеспечения информационной безопасности, обосновать и изложить используемую стратегию действий по защите информационных ресурсов, результаты анализа предметной области, а также обоснование и результаты выбора административных и инженерно-технических мер.
В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание.
В разделе 1.2 следует провести анализ рисков информационной безопасности, для чего необходимо:
• идентифицировать информационные активы;
• ранжировать их по степени важности;
• определить активы, которые относятся к конфиденциальным;
• оценить уязвимость активов;
• оценить степень угроз выбранным информационным активам;
• дать характеристику действующей системе защиты информации на предприятии на предмет полноты и адекватности реагирования на угрозы информационной безопасности.
• провести обоснование выбора методики оценки рисков с последующим проведением оценки.
Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
В разделе 1.3 необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.
В разделе 1.4 необходимо провести анализ и обоснование выбора:
• стратегии обеспечения информационной безопасности
• организационных и инженерно-технических мер обеспечения информационной безопасности;
• необходимых документов, регламентирующих проведение мероприятий по обеспечению информационной безопасности

В главе 2 необходимо представить проектные решения в соответствии с выбранным направлением обеспечения информационной безопасности.
В разделе 2.1 необходимо провести выбор нормативных актов отечественного и международного права, которые будут использоваться в качестве основы для

разработки внутренних нормативных документов, а также разработать образцы документов в соответствии с выбранной темой.
Раздел 2.2 должен содержать описание внедряемых (разрабатываемых) программно- аппаратных средств информационной безопасности, а также описание контрольного примера применения выбранных средств информационной безопасности.
Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, выполненные в соответствии с изложенной методикой. Расчетные данные следует представить в виде таблиц и диаграмм, отражающие сравнение величины ущерба до и после реализации мер по защите информации.
Приложение обязательно должно содержать формы внутренних нормативных документов. Кроме того также могут быть приведены:
• схемы или таблицы из основной части работы;
• результаты выполнения контрольного примера;
• схемы документооборота;
• примеры классификаторов;
• формы первичных и результатных документов;
• распечатки меню, экранных форм ввода, получаемых отчетов в разработанной системе;
• а также другие материалы проекта, кроме копий документов, не имеющих отношения к проектированию, рекламных сообщений, скриншотов. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части проекта.
С детальным рассмотрением содержания каждого пункта, а также примерами схем и таблиц необходимо ознакомиться в «Методических указания по проектированию для направления «Информационные системы», специальности
«Информационные системы и технологии», специализация «Безопасность информационных систем», размещенных на сайте факультета ИСиТ в разделе
«Материалы». При подготовке проекта вы можете пользоваться дополнительными литературными источниками, а также основной литературой, список которой приведен ниже.

6. Список литературы
1. Доктрина информационной безопасности Российской Федерации
2. Федеральный закон РФ от от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
3. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3
4. Безопасность и управление доступом в информационных системах. А.В. Васильков, И.А. Васильков. Учебное пособие. М. : ФОРУМ, 2010. 368 с.
5. Защита конфиденциальной информации. В.Я. Ищейнов, М.В. Мецатунян. Учебное пособие. М. : ФОРУМ, 2012. 256 с.
6. Комплексная система защиты информации на предприятии, Н.В. Гришина. Учебное пособие. М. : ФОРУМ, 2011. - 240 с.
7. Информационная безопасность и защита информации, Мельников В. П., М.: Академия, 2012, - 336 стр.
8. Программно-аппаратная защита информации. П.Б. Хореев. Учебное пособие. М. : ФОРУМ, 2012. 352 с.

Дата выдачи задания

Декан факультета
подпись
Руководитель работы.
подпись
Студент
подпись

ОГЛАВЛЕНИЕ ВВЕДЕНИЕ 8
1. Аналитическая часть 13
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения) 13
1.1.1. Общая характеристика предметной области 13
1.1.2. Организационно-функциональная структура предприятия 15
1.2. Анализ рисков информационной безопасности 18
1.2.1. Идентификация и оценка информационных активов 18
1.2.2. Оценка уязвимостей активов 29
1.2.3. Оценка угроз активам 32
1.2.4. Оценка существующих и планируемых средств защиты 36
1.2.5. Оценка рисков 40
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 45
1.3.1. Выбор комплекса задач обеспечения информационной безопасности.
...................................................................................................................45
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 47
1.4. Выбор защитных мер 49
1.4.1. Выбор организационных мер 49
1.4.2. Выбор инженерно-технических мер 53
2. Проектная часть 56
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 56
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 56
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности 66
2.2. Комплекс внедряемых (разрабатываемых) программно-аппаратных средств обеспечения информационной безопасности 68
2.2.1. Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности 68
2.2.2. Контрольный пример реализации проекта и его описание 76
3. Обоснование экономической эффективности проекта 86
3.1 Выбор и обоснование методики расчёта экономической эффективности 86
3.2 Расчёт показателей экономической эффективности проекта 90
ЗАКЛЮЧЕНИЕ 99
СПИСОК ЛИТЕРАТУРЫ 101
ПРИЛОЖЕНИЕ 1 103
ПРИЛОЖЕНИЕ 2 114

ВВЕДЕНИЕ

При осуществлении деятельности организации создают, обрабатывают и используют информацию. Существует несколько подходов к определению понятия «информация», которые отражают точку зрения на объект информации. Согласно Глоссарию по информационному обществу термин «информация» обозначает «сведения, независимо от формы их представления» [19].
В процессе деятельности организаций создается и обрабатывается информация, которая включает в себя:
• Коммерческую информацию;
• Производственную информацию;
• Правовую информацию;
• Статистическую информацию;
• Персональные данные.
В деятельности строительных компаний важная роль отводится коммерческой и юридической информации. Эти типы информации включают в себя заключенные контракты, тендеры, информацию о закупках и ходе строительных работ. Перечисленная информация представляет конкурентные преимущества перед другими организациями, в связи с этим ее ценность для компании повышается.
Согласно законодательству Российской Федерации на работодателя ложится ответственность за обеспечение безопасности персональных данных сотрудников организации. В процессе трудоустройства сотрудник предоставляет документы, которые содержат персональные данные, сотруднику отдела кадров, который подшивает копии документов сотрудника (паспорт, свидетельство ИНН, СНИЛС, документы об образовании) к личному делу, которое хранится в отделе кадров. Также к личному делу подшиваются копии свидетельств о рождении детей сотрудников, судебные соглашения об уплате алиментов, судебные приказы и исполнительные листы.
Статистическая информация представляет собой обработанные данные о деятельности компании в удобной для представления в органы статистики виде.

Статистическая информация имеет меньшую, по сравнению с остальными данными, ценность, но также подлежит обеспечению безопасности.
Комплексная защиты информации на предприятии является актуальной задачей не только для крупных корпораций. Ввиду того, что бизнес-процессы активно стали переходить в виртуальное пространство: оплата товаров и услуг через Интернет, электронная почта, IP-телефония, облачные хранилища, виртуальные сервера — все это стало применяться в среднем и малом бизнесе.
Основными угрозами корпоративной сети являются:
1. Вирусное программное обеспечение (ПО).
2. Шпионское и рекламное ПО.
3. Спам.
4. Фишинг-атаки (например, «отказ в обслуживании»).
5. Подмена главной страницы интернет-ресурса;
6. Социальный инжиниринг.
Источниками перечисленных угроз могут являться как внешние пользователи, так и сотрудники (часто ненамеренно). Реализация вредоносных алгоритмов может привести к сбоям в работе информационных систем и сетевого оборудования, а также к утере, подмене или утечке информации.
Последствиями реализации перечисленных угроз могут стать имиджевые, временные и финансовые потери для организации. Поэтому основной задачей любой системы информационной безопасности будут являться:
• обеспечение доступности данных;
• гарантия целостности информации;
• обеспечение конфиденциальности сведений.
Для решения выделенных задач необходимо применение таких методов защиты информации как регистрация и протоколирование, идентификация и аутентификация, управление доступом, создание межсетевых экранов и криптография.
Важность и ответственность за обеспечение информационной безопасности регламентируется на государственном, что было отражено в требованиях нормативно-правовых актов, таких как: Гражданский кодекс РФ. Федеральный закон от 29.06.2004 г. № 98-ФЗ «О коммерческой тайне».

Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». Федеральный закон от 6.04.2011 г. № 63-ФЗ «Об электронной подписи».
Обеспечение информационной безопасности является основной задачей, решаемой ИТ-отделом компании. Обеспечение комплексной защиты информации включает в себя:
• предотвращение утечек корпоративной информации;
• снижение объемов паразитного трафика;
• отражение атак на ресурсы компании;
• оптимизацию работы системы защиты безопасности в целом.
Универсального решения задачи обеспечения комплексной защиты информации не существует в связи с неоднородностью сфер деятельности и структур организации. Поэтому обеспечение комплексной защиты информации требует индивидуального подхода для каждой организации.
Методы обеспечения защиты информации делятся на следующие направления:
1. Правовые.
2. Организационные.
3. Технические.
Правовые меры обеспечения информационной безопасности включают в себя разработку норм, которые устанавливают ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства и судопроизводства. Правовые меры также включают в себя решение вопросов общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение.
К организационным мерам обеспечения информационной безопасности относятся обеспечение охраны информационных активов, подбор персонала, исключение случаев ведения особо ценными активами только одним

сотрудником организации, разработка плана восстановления работоспособности центра, после выхода его из строя, организация обслуживания вычислительного центра сторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.д.
Технические меры обеспечения информационной безопасности включают в себя защиту от несанкционированного доступа (НСД) к информационным активам, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и прочие меры.
Для создания эффективной комплексной системы защиты информации комплекс мер обеспечения информационной безопасности должен включать все перечисленные виды мер.
Актуальность работы заключается в развитии методов получения доступа к персональным данным.
Объектом исследования является компания «Абрис-Строй».
Предметом исследования является система комплексной защиты информации.
Целью работы является внедрение комплексной защиты информации компании «Абрис-Строй».
Для достижения поставленной цели необходимо решить ряд задач:
1. Дать технико-экономическую характеристику компании.
2. Провести анализ рисков информационной безопасности организации.

3. Охарактеризовать комплекс задач и дать обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.
4. Осуществить выбор организационных и инженерно-технических мер обеспечения информационной безопасности.
5. Разработать комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.
6. Описать комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
7. Дать обоснование экономической эффективности выбранных мер.

СПИСОК ЛИТЕРАТУРЫ

1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ).
2. Доктрина информационной безопасности Российской Федерации (утверждена Указом Президентом Российской Федерации от05.12.2016г. № 646).
3. Федеральный закон «О персональных данных»№ 152-ФЗ (принят Государственной Думой 08.07.2006г.) (с изменениями от 29.07.2017 г.).
4. Федеральный закон «О безопасности» № 390-ФЗ (принят Государственной Думой 28.12.2010г.) (с изменениями от 05.10.2015 г.).
5. Федеральный закон «О государственной тайне» № 5485-1 ФЗ (принят Государственной Думой 21.07.1993г.) (с изменениями от 08.09.2015 г.).
6. Федеральный закон «О государственной поддержке средств массовой информации и книгоиздания Российской Федерации» № 390-ФЗ (принят Государственной Думой 28.12.2010г.) (с изменениями от 05.10.2015 г.).
7. Федеральный закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ (принят Государственной Думой 08.07.2006г.) (с изменениями от 29.07.2017 г.).
8. Федеральный закон «О связи» № 126-ФЗ (принят Государственной Думой 18.06.2003г.) (с изменениями от 07.06.2017 г.).
9. Федеральный закон «Об электронной подписи» № 63-ФЗ (принят Государственной Думой 25.03.2011г.) (с изменениями от 23.06.2016 г.).
10. Закон «О средствах массовой информации» (принят 27.12.1991г.) (с изменениями от 29.07.2017г.).
11. Аверченков В.И. Аудит информационной безопасности - Москва.: Флинта, 2011. – 269с.
12. Алаева М.А. Компьютерные Сети - Москва.: Schiffer Publishing, 2012. - 134 c.

13. Баула В.Г., Томилин А.Н., Волканов Д.Ю. Архитектура ЭВМ и операционные среды - Москва.: Академия, 2011. - 336 c.
14. Воробьев Л.В., Давыдов А.В., Щербина Л.П. Системы и сети передачи информации - Москва.: Академия, 2011. - 336c.
15. Исаев Г.Н. Информационные технологии - Москва.: Омега-Л, 2012.
– 464с.
16. Кияев В.А., Граничин О.М. Безопасность информационных систем - Москва.: Национальный Открытый Университет «ИНТУИТ», 2016. - 192с.
17. Ситанов Н.Н. Администрирование в информационных сетях - Москва.: Лотест, 2010. -552c.
18. Смирнов А.А. Обеспечение информационной безопасности в условиях виртуализации общества – Москва.: Юнити-Дана, 2012. - 159 с.
19. Хаулет Т. Инструменты безопасности с открытым исходным кодом
– Москва.: Национальный Открытый Университет «ИНТУИТ», 2016. - 556с.
20. Словарь финансовых и юридических терминов [Электронный ресурс]: // СПС «КонсультантПлюс» [Офиц. сайт].