Помощь студентам в учебе
Разработка политики информационной безопасности предприятия (на примере ООО Саунбилд)
|
ВВЕДЕНИЕ 5
Глава 1 АНАЛИЗ СИСТЕМЫ ЗАЩИТЫ ДАННЫХ В СТРОИТЕЛЬНОЙ КОМПАНИИ 8
1.1 Технико-экономическая характеристика строительной компании 8
1.2 Анализ и оценка защиты данных в активах строительной организации... 11
1.3 Основные проблемы и задачи защиты информации в строительной
компании 14
1.4 Обоснование необходимости совершенствования обеспечения
информационной безопасности и защиты информации на предприятии 18
1.5 Основные положения политики информационной безопасности
предприятия 20
1.6 Оценка существующих и планируемых средств защиты 25
Глава 2 РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ СТРОИТЕЛЬНОЙ КОМПАНИИ 30
2.1 Политика информационной безопасности в строительной компании 30
2.2 Организационные меры обеспечения политики информационной
безопасности предприятия 33
2.3 Аппаратные и программные средства обеспечения информационной
безопасности в строительной компании 35
2.4 Комплекс программно-аппаратных средств обеспечения информационной
безопасности в строительной компании 40
2.4 Криптографические методы и средства защиты данных 53
Глава 3 ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ РЕАЛИЗАЦИИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СТРОИТЕЛЬНОЙ ОРГАНИЗАЦИИ 59
3.1 Выбор и обоснование методики расчёта экономической эффективности 59
3.2 Расчёт показателей экономической эффективности проекта 62
ЗАКЛЮЧЕНИЕ 68
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 71
ПРИЛОЖЕНИЕ А 75
ПРИЛОЖЕНИЕ Б 78
Глава 1 АНАЛИЗ СИСТЕМЫ ЗАЩИТЫ ДАННЫХ В СТРОИТЕЛЬНОЙ КОМПАНИИ 8
1.1 Технико-экономическая характеристика строительной компании 8
1.2 Анализ и оценка защиты данных в активах строительной организации... 11
1.3 Основные проблемы и задачи защиты информации в строительной
компании 14
1.4 Обоснование необходимости совершенствования обеспечения
информационной безопасности и защиты информации на предприятии 18
1.5 Основные положения политики информационной безопасности
предприятия 20
1.6 Оценка существующих и планируемых средств защиты 25
Глава 2 РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ СТРОИТЕЛЬНОЙ КОМПАНИИ 30
2.1 Политика информационной безопасности в строительной компании 30
2.2 Организационные меры обеспечения политики информационной
безопасности предприятия 33
2.3 Аппаратные и программные средства обеспечения информационной
безопасности в строительной компании 35
2.4 Комплекс программно-аппаратных средств обеспечения информационной
безопасности в строительной компании 40
2.4 Криптографические методы и средства защиты данных 53
Глава 3 ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ РЕАЛИЗАЦИИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СТРОИТЕЛЬНОЙ ОРГАНИЗАЦИИ 59
3.1 Выбор и обоснование методики расчёта экономической эффективности 59
3.2 Расчёт показателей экономической эффективности проекта 62
ЗАКЛЮЧЕНИЕ 68
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 71
ПРИЛОЖЕНИЕ А 75
ПРИЛОЖЕНИЕ Б 78
Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили требования к уровню защиты информации и определили необходимость разработки эффективных механизмов защиты информации, адаптированной под современные архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; приводится Федеральный закон о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.
Обеспечение защиты информации в компании является непрерывным процессом, который предусматривает применение современных методов, позволяющих вести контроль внешней и внутренней среды предприятия, организацию и реализацию мероприятий по поддержке стабильного функционирования локальной сети и вычислительной техники, а также минимизацию потерь в связи с утечкой информации. Для осуществления защиты информации, как в сетях, так и на производстве, на предприятиях должен быть сформирован определенный свод правил и нормативных документов, регламентирующих действия сотрудников по обеспечению безопасности и описывающий технические и программные средства для защиты информации. Данный свод документов называется политикой информационной безопасности.
Политика информационной безопасности направлена на минимизацию рисков утечки информации на предприятии, а также для устойчивого функционирования информационной структуры предприятия. Это может привести к финансовым потерям в связи с утечкой информации, поэтому необходимо уделять пристальное внимание вопросам информационной безопасности.
Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной политики любой компании. Другими словами, вопросы защиты информации решаются для того, чтобы изолировать нормально функционирующую информационную систему от несанкционированных управляющих воздействий и доступа посторонних лиц или программ к данным с целью хищения.
Объектом исследования ВКР являются методы и средства защиты данных предприятия ООО "Саунбилд", а предметом исследования - организация политики информационной безопасности ООО "Саунбилд".
Цель ВКР: разработка политики информационной безопасности предприятия, а также методов и средств, позволяющи повысить защиту информации в ООО "Саунбилд".
Для достижения обозначенной цели необходимо решить следующие задачи:
1. Оценить текущее состояние информационной безопасности предприятия.
2. Выявить нарушения в защите информационной безопасности, а также выявление наиболее вероятных угроз информации.
3. Рассмотреть основные проблемы, задачи и принципы защиты информации.
4. Произвести анализ и классификацию угроз, уязвимых мест в компьютерных сетях компании.
5. Разработаны предложения по реализации административных, программно-аппаратных и инженерно-технических мер по предотвращению угроз информационной безопасности.
6. Оценить эффективность разработанного комплекса, направленного на организацию политики информационной безопасности строительной организации.
Практическая значимость работы заключается в том, что предложенная модель политики информационной безопасности может быть использована в практике действующих предприятий.
При написании ВКР использовались научные труды следующих авторов: Аверченкова В. И. [1], Алексанова А. К. [2], Анина Б. Ю. [3], Башлы П. Н. [5], Беленькой М.Н. [6], Бурняшова Б.А. [8], Герасименко В. А. [9], Зайцева А. П. [12], Мельникова В. В. [20], Осипова В. Ю. [21], Партыки Т.Л. [22], Романова С. К. [23], Садердинова А. А. [25] и других.
Выпускная квалификационная работа состоит из: Введения, трех основных глав, Заключения, Списка использованной литературы.
В первой главе произведен анализ системы защиты данных в строительной компании
Во второй главе произведена разработка политики информационной безопасности
В третьей главе рассмотрено обоснование экономической эффективности реализации политики информационной безопасности строительной организации
Обеспечение защиты информации в компании является непрерывным процессом, который предусматривает применение современных методов, позволяющих вести контроль внешней и внутренней среды предприятия, организацию и реализацию мероприятий по поддержке стабильного функционирования локальной сети и вычислительной техники, а также минимизацию потерь в связи с утечкой информации. Для осуществления защиты информации, как в сетях, так и на производстве, на предприятиях должен быть сформирован определенный свод правил и нормативных документов, регламентирующих действия сотрудников по обеспечению безопасности и описывающий технические и программные средства для защиты информации. Данный свод документов называется политикой информационной безопасности.
Политика информационной безопасности направлена на минимизацию рисков утечки информации на предприятии, а также для устойчивого функционирования информационной структуры предприятия. Это может привести к финансовым потерям в связи с утечкой информации, поэтому необходимо уделять пристальное внимание вопросам информационной безопасности.
Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной политики любой компании. Другими словами, вопросы защиты информации решаются для того, чтобы изолировать нормально функционирующую информационную систему от несанкционированных управляющих воздействий и доступа посторонних лиц или программ к данным с целью хищения.
Объектом исследования ВКР являются методы и средства защиты данных предприятия ООО "Саунбилд", а предметом исследования - организация политики информационной безопасности ООО "Саунбилд".
Цель ВКР: разработка политики информационной безопасности предприятия, а также методов и средств, позволяющи повысить защиту информации в ООО "Саунбилд".
Для достижения обозначенной цели необходимо решить следующие задачи:
1. Оценить текущее состояние информационной безопасности предприятия.
2. Выявить нарушения в защите информационной безопасности, а также выявление наиболее вероятных угроз информации.
3. Рассмотреть основные проблемы, задачи и принципы защиты информации.
4. Произвести анализ и классификацию угроз, уязвимых мест в компьютерных сетях компании.
5. Разработаны предложения по реализации административных, программно-аппаратных и инженерно-технических мер по предотвращению угроз информационной безопасности.
6. Оценить эффективность разработанного комплекса, направленного на организацию политики информационной безопасности строительной организации.
Практическая значимость работы заключается в том, что предложенная модель политики информационной безопасности может быть использована в практике действующих предприятий.
При написании ВКР использовались научные труды следующих авторов: Аверченкова В. И. [1], Алексанова А. К. [2], Анина Б. Ю. [3], Башлы П. Н. [5], Беленькой М.Н. [6], Бурняшова Б.А. [8], Герасименко В. А. [9], Зайцева А. П. [12], Мельникова В. В. [20], Осипова В. Ю. [21], Партыки Т.Л. [22], Романова С. К. [23], Садердинова А. А. [25] и других.
Выпускная квалификационная работа состоит из: Введения, трех основных глав, Заключения, Списка использованной литературы.
В первой главе произведен анализ системы защиты данных в строительной компании
Во второй главе произведена разработка политики информационной безопасности
В третьей главе рассмотрено обоснование экономической эффективности реализации политики информационной безопасности строительной организации
В процессе выполнения выпускной квалификационной работы была разработана политика информационной безопасности предприятия.
На основании анализа основных положений теории защиты информации было установлено, что для создания политики информационной безопасности необходимо разработать целый ряд документов и инструкций, направленных на защиту информации. И ни в коем случае нельзя останавливаться на одном методе защиты информации, иначе защита данных будет под угрозой. Защита данных должна быть комплексной. Комплексная политика информационной безопасности включает в себя разработку, производство и установку технических средств защиты, а также регулярное проведение проверок используемого информационного оборудования. В настоящее время на многих предприятиях разворачивается работа по аттестации информатизированных объектов на предмет соответствия их требованиям информационной безопасности.
Одно из направлений развития современных предприятий — информатизация. Использование современных информационных технологий позволяет существенно повысить эффективность производственных и управленческих процессов. Но вместе с применением этих технологий возникает проблема обеспечения комплексной защиты информации, которая может быть отнесена к конфиденциальной.
В рамках данного проекта была разработана комплексная система защиты информации на предприятии. Разработка данного проекта заключалась в следующем:
- выявление недостатков действующей информационной защиты предприятия;
- выявление типов угроз, могущих возникнуть в результате наличия недостатков в защите информационных систем предприятия;
- выбор методов и способов решения существующих проблем.
В качестве решения был разработан комплекс мер, который состоит из:
- административных решений, которые регулируют возможности утечки информации в результате влияния человеческого фактора;
- программно-аппаратных решений, которые позволили
минимизировать риск возникновения атаки на информационные каналы из внешней среды или с применением различных устройств хранения информации;
- инженерно-технических решений, которые позволят предотвратить порчу или хищение различных хранилищ информации, минимизировать риск возникновения атаки на информационные каналы из внешней среды или с применением различных устройств хранения информации, либо порчу их в результате различных форс - мажорных обстоятельств.
На основании анализа основных методов и средств защиты информации было установлено, что организационно-правовые методы и средства защиты информации должны быть направлены на противодействие угрозам информационной безопасности, снижать риски и эффективно обрабатывать инциденты с целью длительного обеспечения достаточного уровня защиты данных.
Инженерно-технические методы защиты информации, основаны на защите информации на контролируемой территории, внутри помещений, сети, программном обеспечении и имеющихся баз данных.
Аппаратно-программные методы защиты направлены на обеспечение сетевой безопасности на сетевом, пользовательском уровнях, в том числе и на уровне приложений.
В настоящее время среди криптографических методов и средств, используемых на предприятия, наиболее эффективным является криптографический метод создания цифровой или электронной подписи.
На основании выполненного анализа наиболее эффективными методами и средствами защиты информации является комплекс мер как инженерно-технических методов и средств, позволяющих обеспечить комплексную защиту данных на предприятии, так и аппаратно-программных, и криптографических.
Политика информационной безопасности разработана эффективность доказана. Оценка эффективности предложенных мероприятий показала их целесообразность внедрения в организации. В конце проекта было дано экономическое обоснование эффективности и окупаемости защиты информации, в результате которой было установлено, что окупаемость защиты происходит за несколько лет, причём время окупаемости прямо пропорционально количеству отраженных атак, а эффективность будет расти с каждым годом.
Учитывая, что все поставленные задачи полностью решены, можно обоснованно утверждать, что главная цель исследования - достигнута.
На основании анализа основных положений теории защиты информации было установлено, что для создания политики информационной безопасности необходимо разработать целый ряд документов и инструкций, направленных на защиту информации. И ни в коем случае нельзя останавливаться на одном методе защиты информации, иначе защита данных будет под угрозой. Защита данных должна быть комплексной. Комплексная политика информационной безопасности включает в себя разработку, производство и установку технических средств защиты, а также регулярное проведение проверок используемого информационного оборудования. В настоящее время на многих предприятиях разворачивается работа по аттестации информатизированных объектов на предмет соответствия их требованиям информационной безопасности.
Одно из направлений развития современных предприятий — информатизация. Использование современных информационных технологий позволяет существенно повысить эффективность производственных и управленческих процессов. Но вместе с применением этих технологий возникает проблема обеспечения комплексной защиты информации, которая может быть отнесена к конфиденциальной.
В рамках данного проекта была разработана комплексная система защиты информации на предприятии. Разработка данного проекта заключалась в следующем:
- выявление недостатков действующей информационной защиты предприятия;
- выявление типов угроз, могущих возникнуть в результате наличия недостатков в защите информационных систем предприятия;
- выбор методов и способов решения существующих проблем.
В качестве решения был разработан комплекс мер, который состоит из:
- административных решений, которые регулируют возможности утечки информации в результате влияния человеческого фактора;
- программно-аппаратных решений, которые позволили
минимизировать риск возникновения атаки на информационные каналы из внешней среды или с применением различных устройств хранения информации;
- инженерно-технических решений, которые позволят предотвратить порчу или хищение различных хранилищ информации, минимизировать риск возникновения атаки на информационные каналы из внешней среды или с применением различных устройств хранения информации, либо порчу их в результате различных форс - мажорных обстоятельств.
На основании анализа основных методов и средств защиты информации было установлено, что организационно-правовые методы и средства защиты информации должны быть направлены на противодействие угрозам информационной безопасности, снижать риски и эффективно обрабатывать инциденты с целью длительного обеспечения достаточного уровня защиты данных.
Инженерно-технические методы защиты информации, основаны на защите информации на контролируемой территории, внутри помещений, сети, программном обеспечении и имеющихся баз данных.
Аппаратно-программные методы защиты направлены на обеспечение сетевой безопасности на сетевом, пользовательском уровнях, в том числе и на уровне приложений.
В настоящее время среди криптографических методов и средств, используемых на предприятия, наиболее эффективным является криптографический метод создания цифровой или электронной подписи.
На основании выполненного анализа наиболее эффективными методами и средствами защиты информации является комплекс мер как инженерно-технических методов и средств, позволяющих обеспечить комплексную защиту данных на предприятии, так и аппаратно-программных, и криптографических.
Политика информационной безопасности разработана эффективность доказана. Оценка эффективности предложенных мероприятий показала их целесообразность внедрения в организации. В конце проекта было дано экономическое обоснование эффективности и окупаемости защиты информации, в результате которой было установлено, что окупаемость защиты происходит за несколько лет, причём время окупаемости прямо пропорционально количеству отраженных атак, а эффективность будет расти с каждым годом.
Учитывая, что все поставленные задачи полностью решены, можно обоснованно утверждать, что главная цель исследования - достигнута.