ВВЕДЕНИЕ 5
Глава 1 АНАЛИЗ СИСТЕМЫ ЗАЩИТЫ ДАННЫХ В СТРОИТЕЛЬНОЙ КОМПАНИИ 8
1.1 Технико-экономическая характеристика строительной компании 8
1.2 Анализ и оценка защиты данных в активах строительной организации... 11
1.3 Основные проблемы и задачи защиты информации в строительной
компании 14
1.4 Обоснование необходимости совершенствования обеспечения
информационной безопасности и защиты информации на предприятии 18
1.5 Основные положения политики информационной безопасности
предприятия 20
1.6 Оценка существующих и планируемых средств защиты 25
Глава 2 РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ СТРОИТЕЛЬНОЙ КОМПАНИИ 30
2.1 Политика информационной безопасности в строительной компании 30
2.2 Организационные меры обеспечения политики информационной
безопасности предприятия 33
2.3 Аппаратные и программные средства обеспечения информационной
безопасности в строительной компании 35
2.4 Комплекс программно-аппаратных средств обеспечения информационной
безопасности в строительной компании 40
2.4 Криптографические методы и средства защиты данных 53
Глава 3 ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ РЕАЛИЗАЦИИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СТРОИТЕЛЬНОЙ ОРГАНИЗАЦИИ 59
3.1 Выбор и обоснование методики расчёта экономической эффективности 59
3.2 Расчёт показателей экономической эффективности проекта 62
ЗАКЛЮЧЕНИЕ 68
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 71
ПРИЛОЖЕНИЕ А 75
ПРИЛОЖЕНИЕ Б 78
Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили требования к уровню защиты информации и определили необходимость разработки эффективных механизмов защиты информации, адаптированной под современные архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; приводится Федеральный закон о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.
Обеспечение защиты информации в компании является непрерывным процессом, который предусматривает применение современных методов, позволяющих вести контроль внешней и внутренней среды предприятия, организацию и реализацию мероприятий по поддержке стабильного функционирования локальной сети и вычислительной техники, а также минимизацию потерь в связи с утечкой информации. Для осуществления защиты информации, как в сетях, так и на производстве, на предприятиях должен быть сформирован определенный свод правил и нормативных документов, регламентирующих действия сотрудников по обеспечению безопасности и описывающий технические и программные средства для защиты информации. Данный свод документов называется политикой информационной безопасности.
Политика информационной безопасности направлена на минимизацию рисков утечки информации на предприятии, а также для устойчивого функционирования информационной структуры предприятия. Это может привести к финансовым потерям в связи с утечкой информации, поэтому необходимо уделять пристальное внимание вопросам информационной безопасности.
Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной политики любой компании. Другими словами, вопросы защиты информации решаются для того, чтобы изолировать нормально функционирующую информационную систему от несанкционированных управляющих воздействий и доступа посторонних лиц или программ к данным с целью хищения.
Объектом исследования ВКР являются методы и средства защиты данных предприятия ООО "Саунбилд", а предметом исследования - организация политики информационной безопасности ООО "Саунбилд".
Цель ВКР: разработка политики информационной безопасности предприятия, а также методов и средств, позволяющи повысить защиту информации в ООО "Саунбилд".
Для достижения обозначенной цели необходимо решить следующие задачи:
1. Оценить текущее состояние информационной безопасности предприятия.
2. Выявить нарушения в защите информационной безопасности, а также выявление наиболее вероятных угроз информации.
3. Рассмотреть основные проблемы, задачи и принципы защиты информации.
4. Произвести анализ и классификацию угроз, уязвимых мест в компьютерных сетях компании.
5. Разработаны предложения по реализации административных, программно-аппаратных и инженерно-технических мер по предотвращению угроз информационной безопасности.
6. Оценить эффективность разработанного комплекса, направленного на организацию политики информационной безопасности строительной организации.
Практическая значимость работы заключается в том, что предложенная модель политики информационной безопасности может быть использована в практике действующих предприятий.
При написании ВКР использовались научные труды следующих авторов: Аверченкова В. И. [1], Алексанова А. К. [2], Анина Б. Ю. [3], Башлы П. Н. [5], Беленькой М.Н. [6], Бурняшова Б.А. [8], Герасименко В. А. [9], Зайцева А. П. [12], Мельникова В. В. [20], Осипова В. Ю. [21], Партыки Т.Л. [22], Романова С. К. [23], Садердинова А. А. [25] и других.
Выпускная квалификационная работа состоит из: Введения, трех основных глав, Заключения, Списка использованной литературы.
В первой главе произведен анализ системы защиты данных в строительной компании
Во второй главе произведена разработка политики информационной безопасности
В третьей главе рассмотрено обоснование экономической эффективности реализации политики информационной безопасности строительной организации
В процессе выполнения выпускной квалификационной работы была разработана политика информационной безопасности предприятия.
На основании анализа основных положений теории защиты информации было установлено, что для создания политики информационной безопасности необходимо разработать целый ряд документов и инструкций, направленных на защиту информации. И ни в коем случае нельзя останавливаться на одном методе защиты информации, иначе защита данных будет под угрозой. Защита данных должна быть комплексной. Комплексная политика информационной безопасности включает в себя разработку, производство и установку технических средств защиты, а также регулярное проведение проверок используемого информационного оборудования. В настоящее время на многих предприятиях разворачивается работа по аттестации информатизированных объектов на предмет соответствия их требованиям информационной безопасности.
Одно из направлений развития современных предприятий — информатизация. Использование современных информационных технологий позволяет существенно повысить эффективность производственных и управленческих процессов. Но вместе с применением этих технологий возникает проблема обеспечения комплексной защиты информации, которая может быть отнесена к конфиденциальной.
В рамках данного проекта была разработана комплексная система защиты информации на предприятии. Разработка данного проекта заключалась в следующем:
- выявление недостатков действующей информационной защиты предприятия;
- выявление типов угроз, могущих возникнуть в результате наличия недостатков в защите информационных систем предприятия;
- выбор методов и способов решения существующих проблем.
В качестве решения был разработан комплекс мер, который состоит из:
- административных решений, которые регулируют возможности утечки информации в результате влияния человеческого фактора;
- программно-аппаратных решений, которые позволили
минимизировать риск возникновения атаки на информационные каналы из внешней среды или с применением различных устройств хранения информации;
- инженерно-технических решений, которые позволят предотвратить порчу или хищение различных хранилищ информации, минимизировать риск возникновения атаки на информационные каналы из внешней среды или с применением различных устройств хранения информации, либо порчу их в результате различных форс - мажорных обстоятельств.
На основании анализа основных методов и средств защиты информации было установлено, что организационно-правовые методы и средства защиты информации должны быть направлены на противодействие угрозам информационной безопасности, снижать риски и эффективно обрабатывать инциденты с целью длительного обеспечения достаточного уровня защиты данных.
Инженерно-технические методы защиты информации, основаны на защите информации на контролируемой территории, внутри помещений, сети, программном обеспечении и имеющихся баз данных.
Аппаратно-программные методы защиты направлены на обеспечение сетевой безопасности на сетевом, пользовательском уровнях, в том числе и на уровне приложений.
В настоящее время среди криптографических методов и средств, используемых на предприятия, наиболее эффективным является криптографический метод создания цифровой или электронной подписи.
На основании выполненного анализа наиболее эффективными методами и средствами защиты информации является комплекс мер как инженерно-технических методов и средств, позволяющих обеспечить комплексную защиту данных на предприятии, так и аппаратно-программных, и криптографических.
Политика информационной безопасности разработана эффективность доказана. Оценка эффективности предложенных мероприятий показала их целесообразность внедрения в организации. В конце проекта было дано экономическое обоснование эффективности и окупаемости защиты информации, в результате которой было установлено, что окупаемость защиты происходит за несколько лет, причём время окупаемости прямо пропорционально количеству отраженных атак, а эффективность будет расти с каждым годом.
Учитывая, что все поставленные задачи полностью решены, можно обоснованно утверждать, что главная цель исследования - достигнута.
1. Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006).
2. Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799—2005)
3. Безопасность: теория, парадигма, концепция, культура. Словарь- справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.
4. Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.
5. Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1 — 2006)
6. Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005
7. Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005)
8. Государственный стандарт РФ «Аспекты безопасности. Правила включения в стандарты» (ГОСТ Р 51898-2002)
9. Бабаш А.В. История криптографии. Ч. 1 / А. В. Бабаш, Г. Н. Шанкин. - М. : Гелиос АРВ, 2012. - 240 с.
10. Панкратов Ф.Г. Коммерческая деятельность : учеб.для вузов / Ф. Г. Панкратов. - Изд. 8-е, перераб. и доп. - М. : Дашков и Ко, 2015. - 502 с.
11. Экономика защиты информации : метод.указания к экономической части диплом. проектов для студентов очной формы обучения специальности 090103 "Организация и технология защиты информации" / Брян. гос. техн. ун-т ; [разраб. М. Ф. Дриго]. - Брянск : Изд-во БГТУ, 2007. - 16 с.
12. Расторгуев С.П. Основы информационной безопасности : учеб.пособие для вузов / С. П. Расторгуев. - М. :Academia, 2010. - 186 с.
13. Хаулет, Т. Защитные средства с открытыми исходными текстами = OPEN SOURCE SECURITY TOOLS : практ. рук. по защитным приложениям : учеб. пособие / Т. Хаулет ; пер. с англ. В. Галатенко и О. Труфанова под ред В. Галатенко. - М. : Интернет-Ун-т Информ. Технологий : БИНОМ.лаб. знаний,2013.- 607 с.
14. Мельников В.П. Информационная безопасность и защита информации : учеб.пособиедля вузов / В. П. Мельников, С. А. Клейменов, А. М. Петраков ; под ред. С. А. Клейменова. - 2-е изд., стер. - М. :Academia, 2014. - 330 с. -
15. Саак, А.Э. Информационные технологии управления : учеб.для вузов / А. Э. Саак, Е. В. Пахомов, В. Н. Тюшняков. - 2-е изд. - М. [и др.] : Питер, 2013. - 318 с. + 1 электрон. опт. диск (CD-ROM) ;
16. Куприянов, А.И. Основы защиты информации : учеб.пособие/ А. И. Куприянов, А. В. Сахаров, В. А. Шевцов. - 3-е изд., стер. - М. :Academia, 2008. - 256 с.
17. Краковский, Ю.М. Информационная безопасность и защита информации : учеб.пособие/ Ю. М. Краковский. - М. ; Ростов н/Д : МарТ, 2008. - 287 с.
18. Баричев С.Г, Серов Р.Е. Основы современной криптографии: Учебное пособие. - М.: Горячая линия - Телеком, 2008.
19. Адигеев М.Г. Введение в криптографию. Часть 1. Основные понятия, задачи и методы криптографии. - Ростов-на-Дону: Изд-во РГУ, 2002. - 35 с.
20. БудкоВ.Н. Информационная безопасность и защита информации: Конспект лекций. - Воронеж: Изд-во ВГУ, 2013. - 86 с.
21. Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы защиты информации: Учебное пособие. - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.
22. ГрушоА.А., Тимонина Е.Е. Теоретические основы защиты
информации. - М.: Изд-во "Яхтсмен", 1996. - 187 с.
23. Железняк В.К. Защита информации от утечки по техническим каналам: Учебное пособие. - СПб.: ГУАП, 2006. - 188 с.
24. Зубов А.Ю. Совершенные шифры. - М.: Гелиос АРВ, 2003. - 160 с.,
25. Казарин О.В. Безопасность программного обеспечения компьютерных систем. - М.: МГУЛ, 2013. - 212 с.
26. Мордвинов В.А., Фомина А.Б. Защита информации и
информационная безопасность. - М.: МГДД(Ю)Т, МИРЭА, ГНИИ ИТТ
"Информика", 2010. - 69 с.
27. Пазизин С.В. Основы защиты информации в компьютерных системах (учебное пособие). - М.: ТВП/ОПиПМ, 2003. - 178 с.
28. РжавскийК.В. Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем: Учебное пособие. - Волгоград: Изд-во ВолГУ, 2002. - 122 с.
29. Яковлев А.В., Безбогов А.А., Родин В.В., Шамкин В.Н. Криптографическая защита информации: Учебное пособие. - Тамбов: Издательство ТГТУ, 2006. - 140 с.
30. Беломойцев Д. А. Основные методы криптографической обработки данных: учеб. пособие / Д. А. Беломойцев, Т. М. Волосатов, С. В. Родионов. - М.: Московский государственный технический университет им. Н. Э. Баумана,
2014. - 80 с
31. Статья Программно - аппаратный комплекс -
НИрз://ги.’№1к1реШа.огд/’№1к1/Программно-аппаратный_комплекс [Электронный ресурс]
32. Политика информационной безопасности (финансовые
организации) Материал из SecurityPolicy.ru http://w15408.narod.ru/docs/Policy__itsec__fin.doc [Электронный ресурс]
33. Информационная безопасность в ГУП ОЦ "Московский дом
книги" Вид работы: диплом http://bibliofond.ru/view.aspx?id=513939#1
[электронный ресурс]
34. Павлова Тема 11 Современные технологии защиты информации http://window.edu.ru/resource/432/57432/files/pavlova.zip[электронный ресурс]
35. 090103.65 Организация и технология защиты информации июнь2012документ PDFhttp://belca.islu.ru[электронный ресурс]
36. Козлов В.Е. К вопросу об инженерно-техническом обеспечении компьютерной безопасности: Научная статья
37. Выбор и обоснование методики расчёта экономической
эффективности http://zdamsam.ru/a72347.html[электронный ресурс]