ОГЛАВЛЕНИЕ

реклама
ОГЛАВЛЕНИЕ
Введение .........................................................................................................................3
1
Аналитическая часть ..............................................................................................4
Технико-экономическая
1.1
характеристика
предметной
области
и
предприятия. ..................................................................................................................4
1.1.1
Общая характеристика предметной области. .........................................4
1.1.2
Организационно-функциональная структура предприятия........ Error!
Bookmark not defined.
Анализ рисков информационной безопасности ...........................................4
1.2
1.2.1
Идентификация и оценка информационных активов............................5
1.2.2
Оценка уязвимостей активов. ................ Error! Bookmark not defined.
1.2.3
Оценка угроз активам. ............................ Error! Bookmark not defined.
1.2.4
Оценка существующих и планируемых средств защиты. .......... Error!
Bookmark not defined.
1.2.5
Оценка рисков. ........................................ Error! Bookmark not defined.
Характеристика комплекса задач, задачи и обоснование необходимости
1.3
совершенствования системы обеспечения информационной безопасности и
защиты информации на предприятии .........................................................................6
1.3.1
Выбор комплекса задач обеспечения информационной безопасности.
.....................................................................................................................6
1.3.2
Определение места проектируемого комплекса задач в комплексе
задач предприятия, детализация задач информационной безопасности и защиты
информации. ................................................................. Error! Bookmark not defined.
Выбор защитных мер .......................................................................................7
1.4
1.4.1
Выбор организационных мер. ..................................................................7
1.4.2
Выбор инженерно-технических мер. .... Error! Bookmark not defined.
2
Проектная часть......................................................................................................8
2.1
Комплекс
организационных
мер
обеспечения
информационной
безопасности и защиты информации предприятия....................................................8
2.1.1
Отечественная
и
международная
нормативно-правовая
основа
создания системы обеспечения информационной безопасности и защиты
информации предприятия .............................................................................................8
Организационно-административная
2.1.2
основа
создания
системы
обеспечения информационной безопасности и защиты информации предприятия
................................................................... Error! Bookmark not defined.
Комплекс проектируемых программно-аппаратных средств обеспечения
2.2
информационной безопасности и защиты информации предприятия .....................9
Структура программно-аппаратного комплекса информационной
2.2.1
безопасности и защиты информации предприятия....................................................9
Контрольный пример реализации проекта и его описание ........ Error!
2.2.2
Bookmark not defined.
3
3.1
Обоснование экономической эффективности проекта ....................................10
Выбор и обоснование методики расчёта экономической эффективности ...
..........................................................................................................................10
3.2
Расчёт показателей экономической эффективности проекта ....................11
Заключение ...................................................................................................................12
Список использованной литературы .........................................................................13
Приложение 1. Инструкция начальника отдела информационной безопасности
....................................................................................... Error! Bookmark not defined.
Приложение 2. Положение о сведениях, составляющих конфиденциальную
информацию и основных мерах по организации ее защитыError! Bookmark not
defined.
Введение
На рынке недвижимости, где конкуренция очень высока особую роль
отводят для обеспечения безопасности данных, и информации с которой работают
организации занимающиеся оформлению сделок с недвижимости.
Особенно остро этот вопрос стоит по отношению к информационным
системам (ИС), функционирование которых критично для бизнес-процессов
организации. Т.е. тех, при нарушении работы которых или деструктивном
воздействии на активы, компания несет прямые или косвенные потери в виде
финансов, репутации, доли рынка и т.д.
Таким образом, для успешного ведения бизнеса в равной степени важно не
только эффективно управлять самой информационной системой компании, но и
защитой ИС.
Объект исследования – ООО «МГСН».
Предмет исследования дипломной работы– инженерно-техническая и
программная защита информации.
Цель
работы
–изучение
способов
организации
информационной
безопасности и развитие системы информационной безопасности и защиты
информации в ООО «МГСН», а также выбор средств защиты.
Задачи для достижения цели:

Установление границ рассмотрения ООО «МГСН» и выявление
недостатков в существующей системе обеспечения информационной безопасности
и защите информации;

Идентификация
активов
предприятия
(оценка
активов,
уязвимостей активов, оценка угроз активам;

Идентификация существующих средств защиты;

Идентификация планируемых средств защиты;

Оценка рисков;

Выбор защитных мер (организационных и технических);

Описание мероприятий инженерно-технической защиты.

Расчет срока окупаемости выбранных средств защиты.
оценка
1
Аналитическая часть
1.1
Технико-экономическая характеристика предметной области
и предприятия.
1.1.1 Общая характеристика предметной области.
ООО «МГСН» - агентство недвижимости, которое работает на рынке
недвижимости Москвы и Подмосковья более 17 лет, является одним из лидеров
рынка и одним из наиболее узнаваемых имен.
На начальном этапе своей деятельности компания специализировалась на
рынке вторичного жилья, теперь же, накопив огромный опыт, и системные знания
рынка недвижимости, мы предоставляем услуги в масштабных строительных
проектах Москвы и Подмосковья.
ООО «МГСН» входит в 5-ку самых узнаваемых агентств, недвижимости
профессиональной репутации которого доверяют тысячи клиентов Москвы и
Московской области.
В нашей компании работает сложившийся коллектив опытных риелторов,
которые окажут консультационные услуги и практическую помощь по сделкам
любой сложности, обеспечат резервирование выбранной клиентом квартиры, как в
доме-новостройке, так и на вторичном рынке, сформируют необходимый для
конкретной сделки пакет документов, окажут услуги по оформлению квартир в
собственность, предоставят консультации по юридическим вопросам, связанным с
приобретением жилья в Москве и Московской области, помогут провести обмен
любой сложности, окажут содействие в проведении альтернативных сделок.
Одним из направлений ООО
«МГСН» является инвестирование в
строящиеся объекты Москвы и Подмосковья .
Репутация ООО «МГСН», как безупречного партнера, заложила фундамент
прочных, долгосрочных отношений с банковскими структурами, с известными и
надежными застройщиками, а также с Правительством Москвы, администрациями
городов Подмосковья и регионов.
За годы успешной инвестиционной деятельности, объем инвестиций в
ключевые проекты новостроек Подмосковья и эксклюзивные проекты в Москве
составил 500 000 кв. м.
1.2
Анализ рисков информационной безопасности
В организации несколько раз в год проводится исследование, с целью
определения общего списка информационных активов и их владельцев, для
последующего анализа. Данное исследование позволяет выявить угрозы активам,
которые имеются в организации, и предполагается выработка мер по обеспечению
их безопасности.
Совершенствование
системы
безопасности
не
разовый
процесс,
он
бесконечен, поскольку всегда появляются новые активы, и соответственно новые
угрозы. Особенно чувствительно это в организациях, где используются передовые
технологии обмена и консолидации в мировое информационное пространство.
Решение об анализе активов, рисков и угрозах принимается непосредственно
генеральным директором, анализ проводится ИТ отделом.
На основе анализа полученных данных и установленных зависимостей
схематически представляется модель информационной инфраструктуры для
установления границ рассмотрения информационных активов (Выполнение
процедур данного этапа позволяет определить, какие объекты информационной
инфраструктуры выбраны для анализа ИТ-рисков, а какие остались за его рамками
на основании анкетирования).
1.2.1 Идентификация и оценка информационных активов.
Активы, имеющие наибольшую ценность:
1. Сведения о продажеи покупке недвижимости
2. Сведения об участниках продаже и покупке недвижимости.
3. Сведения об объектах недвижимости.
4. Информация об активах компании и ее деятельности.
В ходе выполнения рассмотрения активов были выявлены внутренние и
внешние источники угроз безопасности информационных систем. Внутренними
источниками угроз безопасности функционирования ИС являются:
- системные ошибки при постановке целей и задач проектирования ИС,
формулировке требований к функциям и характеристикам решения задач,
Характеристика комплекса задач, задачи и обоснование
1.3
необходимости
совершенствования
системы
обеспечения
информационной безопасности и защиты информации на предприятии
1.3.1 Выбор комплекса задач обеспечения информационной
безопасности.
Принцип
обеспечения
надежности
системы
защиты
информации
и
информационная безопасность – это невозможность снижения уровня надежности
системы во время сбоев, отказов, ошибок и взломов.
Обязательно
необходимо
обеспечить
контроль
и
управление
информационной безопасностью, для отслеживания и регулирования механизмов
защиты (скачать защита информации).
Обеспечение средств борьбы с вредоносным ПО. Например, всевозможные
программы для защиты информации и система защиты информации от вирусов.
Идентификация
пользователей,
ресурсов
и
персонала
системы
информационной безопасности сети;
Опознание и установление подлинности пользователя по вводимым учетным
данным (на данном принципе работает большинство моделей информационной
безопасности);
Допуск
к
определенным
условиям
работы
согласно
регламенту,
предписанному каждому отдельному пользователю, что определяется средствами
защиты
информации
и
является
основой
информационной
безопасности
большинства типовых моделей информационных систем;
Механизмами шифрования данных для обеспечения информационной
безопасности
общества
является
криптографическая
защита
информации
посредством криптографического шифрования.
Криптографические
методы
защиты
информации
применяются
для
обработки, хранения и передачи информации на носителях и по сетям связи.
Криптографическая защита информации при передаче данных на большие
расстояния является единственно надежным способом шифрования.
Информационная безопасность - это комплекс организационно-технических
мероприятий, обеспечивающих целостность данных и конфиденциальность
Выбор защитных мер
1.4
1.4.1 Выбор организационных мер.
Стратегия – средство достижения желаемых результатов. Комбинация из
запланированных действий и быстрых решений по адаптации фирмы к новым
возможностям получения конкурентных преимуществ и новым угрозам ослабления
её конкурентных позиций [9]. То есть стратегию информационной безопасности
(СИБ) нужно определять с учетом быстрого реагирования на новые угрозы и
возможности.
Организационные
(административные)
меры
защиты
-
это
меры,
регламентирующие процессы функционирования АСОЭИ, использование ее
ресурсов, деятельности персонала, а также порядок взаимодействия пользователей
системой таким образом, чтобы максимально затруднить или исключить
возможность реализации угроз безопасности информации.
К организационно-административным мероприятиям защиты информации
относятся:
- организация хранения конфиденциальной информации на специальных
промаркированных магнитных носителях;
- организация регламентированного доступа пользователей к работе на ЭВМ,
средствам связи и к хранилищам носителей конфиденциальной информации;
- постоянный контроль за соблюдением установленных требований по защите
информации.
Нормативная документация ООО «МГСН» в области информационной
безопасности состоит из:
- политика информационной безопасности и защиты информации;
- процедура
управления
информационной
безопасности
и
защиты
информации;
- положение о ролевой структуре информационной безопасности и защиты
информации.
Главной целью информационной безопасности в ООО «МГСН» является
обеспечение
устойчивого
функционирования
предприятия
и
защита
информационных ресурсов, принадлежащих компании, ее акционерам, инвесторам
2
Проектная часть
2.1
Комплекс
организационных
мер
обеспечения
информационной безопасности и защиты информации предприятия
2.1.1 Отечественная
и
международная
нормативно-правовая
основа создания системы обеспечения информационной безопасности и
защиты информации предприятия
Основой
для
практической
деятельности
по
реализации
основных
направлений и работ по защите информации являются нормативно-методические
документы, регламентирующие эту деятельность. Нормативно-методическую базу
для проведения работ по защите информации составляют:

государственные и корпоративные стандарты;

информационные модели;

общие требования, общие технические условия, тактике -технические
требования, и другие документы;

нормы, методики и инструкции;

эксплуатационно-техническая документация;

учебно-методическая и научная литература.
ГОСТами вводится единая терминология в области защиты информации, а
также определяются виды и методы испытаний технических и программных
средств обработки и защиты, виды, комплектность и обозначения документов.
Информационные модели содержат обобщенные сведения о состоянии,
возможностях,
тактико-технических
и
эксплуатационно-технических
характеристиках, способах применения, тенденциях и перспективах развития
технических средств различного назначения. Такие модели, как правило,
охватывают
определенные
промышленного
шпионажа,
направления:
технические
средства
средства
разведки,
защиты
средства
информации,
программные средства защиты и т.д. и разрабатываются ведомственными научноисследовательскими организациями и учреждениями, а также межведомственными
органами. Они широко используются при решении конкретных научных, научноисследовательских и практических инженерных задач в области защиты
информации.
2.2
Комплекс проектируемых программно-аппаратных средств
обеспечения информационной безопасности и защиты информации
предприятия
2.2.1 Структура
программно-аппаратного
комплекса
информационной безопасности и защиты информации предприятия
В состав комплекса по защите информации входит система контроля и
доступа «Кодос», а также система видеонаблюдения «Кодос-Видеосеть» и система
пожарно-охранной сигнализации.
Общая структура системы представлена на рисунке 3.1.
Рисунок2.1 Общая структура системы инженерно-технической защиты
компании
3
Обоснование экономической эффективности проекта
3.1
Выбор и обоснование методики расчёта экономической
эффективности
Проблема выбора и построения эффективной системы информационной
безопасности
экономики,
для
предприятий,
является
одной
функционирующих
из
самых
в
актуальных
различных
задач,
сферах
требующих
безотлагательного, грамотного, научно обоснованного решения. Внедрение
современной компьютерной техники и средств коммуникаций в деятельность
государственных организаций и коммерческих фирм, кроме существенных
положительных
сторон,
имеет
также
негативный
момент,
связанный
с
возможностью реализации преступлений с использованием вычислительной
техники.
В
качестве
объекта
компьютерных
преступлений
выступает
экономическая информационная система и, соответственно, циркулирующая в ней
производственная,
научная,
коммерческая
информация.
Экономическая
информационная система- это совокупности внутренних и внешних потоков
прямой и обратной информационной связи экономического объекта, методов,
средств, специалистов, участвующих в процессе обработки информации и
выработке управленческих решений. Взаимосвязь информационных потоков
прямой и обратной информационной связи, средства обработки, передачи и
хранения данных, а также сотрудников управленческого аппарата, выполняющих
операции по переработке данных, и составляет информационную систему
экономического
объекта.
Таким
образом,
любой
системе
управления
экономическим объектом соответствует своя информационная система, называемая
экономической
информационной
системой.
Современный
уровень
информатизации общества предопределяет использование новейших технических,
технологических, программных средств в различных информационных системах
экономических объектов. И как следствие, экономический объект это объект,
связанный с производством материальных и/или нематериальных благ и имеющий
свою систему управления. Система управления представляет собой совокупность
объекта
управления,
например
предприятия,
и
субъекта
управленческого аппарата. Последний объединяет в себе сотрудников,
управления
3.2
Расчёт показателей экономической эффективности проекта
В предыдущей главе была рассчитана суммарная величина потерь в случае
реализации рассмотренных угроз. В данном пункте рассчитаем постоянные и
переменные затраты на внедрение системы защиты беспроводной сети и и
определим экономическую эффективность ее внедрения и срок окупаемости
предлагаемых мер.
В ходе проектирования, внедрения и работы системы защиты возможны
разовые и постоянные затраты. К разовым затратам относятся следующие:

Заработная плата персонала при проектировании и внедрении системы
защиты;

Затраты на приобретение аппаратного и программного обеспечения.
К постоянным затратам отнесем такие затраты, как:

Заработная плата сотрудников, обслуживающих систему
защиты
(администратора);

Заработная плата специалиста ИТ-отдела, выполняющего обязанности
по обеспечению ИБ;

Затраты на электроэнергию.
Разовые затраты оценены в таблице 3.2..
Таблица 3.1
Содержание и объем разового ресурса, выделяемого на защиту информации
Организационные мероприятия
Среднечасо
№
Трудоем
Стои
Выполняемые
вая зарплата
кость операции мость, всего
действия
специалиста
п\п
(чел.час)
(тыс.руб.)
(руб.)
Разработка
1.
требования к системе
210
40
8,4
защиты
Изучение рынка и
2.
210
24
5,04
выбор используемых мер
Тестирование
3.
программного
210
20
4,2
обеспечения
Подготовка проекта
4.
210
12
2,52
внедрения ПАК
Заключение
В результате проведенного в дипломной работе исследования выяснено, что
уровень обеспечения информационной безопасности компании не может быть
признан
удовлетворительным.
В
результате
рассмотрения
и
анализа
информационных активов компании, рисков и угроз активам, а также возможных
средств обеспечения безопасности выбрана интегрированная система безопасности
Кодос, включающая систему контроля и управления доступом, пожарносигнальную систему, а также систему видеонаблюдения.
Рассмотрены также
основные положения, касающиеся современного
состояния систем контроля и управления доступом, спроектирована СКУД
компании.
Однако ничего не стоит на месте, также и СКУД развиваются в различных
направлениях.
На сегодняшний день ситуация такова, что можно рассмотреть несколько
направлений развития:

уменьшение размеров устройств управления и считывателей;

повышение роли программ в системах управления как управляющего
элемента;

использование новых способов защиты систем при одновременном
повышении их устойчивости к интеллектуальному взлому;

повышение уровня интеллектуализации (либо её появление) для
самых различных элементов СКУД;

повышение надёжности элементов СКУД.
Отдельные элементы становятся всё сложнее и сложнее при увеличении их
надёжности и при повышении доступности. Так, к примеру, если раньше многие
возможности
ограничивались
мощностью
процессора,
то
теперь
таких
возможностей практически не осталось — даже недорогих процессоров хватает на
решение широкого круга задач. То же касается и памяти. Как следствие, если
раньше
периферийные
элементы
не
обладали
никаким
дополнительным
функционалом, то теперь они наделяются своими «мозгами! И решают локальные
Список использованной литературы
1.
Автоматизированные информационные технологии в экономике:
Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2005 г.- 399 с.
2.
Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы
защиты информации от технических средств разведки: Учеб. пособие. Воронеж:
Воронеж. гос. техн. ун-т, 2006.-193 с.
3. Безопасность:
теория,
парадигма,
концепция,
культура.
Словарь-
справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. —
М.: ПЕР СЭ-Пресс, 2005.
4. Белов Е.Б, Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы
информационной безопасности: Учебное пособие для вузов. М.: Горячая линия,
2006.
5.
Бузов Г.А., Калинин СВ., Кондратьев А.В. Защита от утечки
информации по техническим каналам: Учебное пособие.- М.- Горячая линияТелеком.-2005.-416 с.
6.
Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А.,
Петров Ю.А. Информационная безопасность государственных организаций и
коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.:
НТЦ «ФИОРД-ИНФО», 2002г.-272с.
7. Галатенко
В.А.
Основы
информационной
безопасности.
–
М.:
ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2003.- 280 с.
8.
ГОСТ
28147-89.
Системы
обработки
информации.
Защита
криптографическая. Алгоритм криптографического преобразования.
9.
ГОСТ Р 34.10-2001. Информационная технология. Криптографическая
защита информации. Процессы формирования и проверки цифровой подписи.
10.
ГОСТ Р 34.11-94. Информационная технология. Криптографическая
защита информации. Функция хеширования.
11.
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Общие технические требования.
Скачать