📄Работа №146282
Тема: РАЗРАБОТКА СТРАТЕГИИ РАЗВИТИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ «TIMEBOOK»
Тип работы
Дипломные работы, ВКР
Предмет
менеджмент
Объем:
67 листов
Год:
2024
Просмотров:
118
4650
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Введение 4
Глава 1. ВЫБОР СПОСОБА ОЦЕНКИ ИБ КОМПАНИИ 7
Глава 2. АНАЛИЗ СУЩЕСТВУЮЩЕЙ СОИБ КОМПАНИИ 11
2.1 Перечень информационных систем 11
2.2 Применяемые способы и меры обеспечения ИБ 12
2.2.1 Организационные меры обеспечения ИБ 12
2.2.2 Технические меры обеспечения ИБ 14
2.3 Анализ процессов обеспечения информационной безопасности 15
2.3.1 Идентификация, аутентификация, управление доступом субъектов доступа к объектам доступа 15
2.3.2 Защита сетевой инфраструктуры 16
2.3.3 Антивирусная защита 17
2.3.4 Контроль защищенности и управление уязвимостями 18
2.3.5 Управление событиями, выявление инцидентов ИБ и реагирование на них 19
2.3.6 Управление безопасными конфигурациями 20
2.3.7 Контроль и предотвращение утечек информации 20
2.3.8 Обеспечение доступности информационных ресурсов 21
2.3.9 Повышение осведомленности персонала по вопросам ИБ 21
2.3.10 Обеспечение физической безопасности 22
2.4 Анализ систем управления ИБ 24
2.5 Описание текущего статуса процессов обеспечения информационной̆ безопасности 53
Глава 3. ФОРМИРОВАНИЕ ПОЭТАПНОГО ПЛАНА РАЗВИТИЯ ИБ 54
Заключение 63
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 64
Глава 1. ВЫБОР СПОСОБА ОЦЕНКИ ИБ КОМПАНИИ 7
Глава 2. АНАЛИЗ СУЩЕСТВУЮЩЕЙ СОИБ КОМПАНИИ 11
2.1 Перечень информационных систем 11
2.2 Применяемые способы и меры обеспечения ИБ 12
2.2.1 Организационные меры обеспечения ИБ 12
2.2.2 Технические меры обеспечения ИБ 14
2.3 Анализ процессов обеспечения информационной безопасности 15
2.3.1 Идентификация, аутентификация, управление доступом субъектов доступа к объектам доступа 15
2.3.2 Защита сетевой инфраструктуры 16
2.3.3 Антивирусная защита 17
2.3.4 Контроль защищенности и управление уязвимостями 18
2.3.5 Управление событиями, выявление инцидентов ИБ и реагирование на них 19
2.3.6 Управление безопасными конфигурациями 20
2.3.7 Контроль и предотвращение утечек информации 20
2.3.8 Обеспечение доступности информационных ресурсов 21
2.3.9 Повышение осведомленности персонала по вопросам ИБ 21
2.3.10 Обеспечение физической безопасности 22
2.4 Анализ систем управления ИБ 24
2.5 Описание текущего статуса процессов обеспечения информационной̆ безопасности 53
Глава 3. ФОРМИРОВАНИЕ ПОЭТАПНОГО ПЛАНА РАЗВИТИЯ ИБ 54
Заключение 63
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 64
📖 Введение
Компания «timebook» является технологическим стартапом, стремительно набравшим популярность за десятилетие с момента его создания. Множество крупных компаний проявили заинтересованность в их услугах, однако имеющаяся система информационной безопасности проекта в силу работы с базами данных клиентов не всегда способна удовлетворить имеющиеся стандарты и критерии в связи с чем процесс внедрения продукта компании в системы клиентов занимает более длительный период времени, повышается индивидуальность каждой отдельной сделки и теряется часть потенциальных клиентов. Исходя из вышесказанного необходимо усовершенствовать на основе существующих международных стандартов и запросов клиентов имеющуюся систему информационной безопасности компании.
В связи с данной проблемой целью работы является получение объективных и независимых сведений о текущем состоянии защищенности информационных ресурсов ООО «Таймбук», а также определение приоритетных направлений развития информационной безопасности.
Для достижения поставленной цели в процессе выполнения работы были решены следующие задачи:
сбор и анализ исходных данных, в том числе внутренних документов компании, регламентирующих обеспечение информационной безопасности (ИБ);
анализ защищенности корпоративной информационной системы и определение основных принципов обеспечения ИБ, включая:
• оценку соответствия нормативным и законодательным требованиям;
• анализ действующих процессов и мер защиты, включая. анализ основных функциональных подсистем ИБ, используемых методов и способов защиты информации в корпоративной информационной системе компании;
• оценку адекватности и эффективности процессов управления ИБ (в рамках анализа соответствия системы управления ИБ стандарту ISO/IEC 27001:2013);
• оценку достаточности принимаемых мер по обеспечению безопасности.
определение мероприятий, процедур и документов, программных средств защиты, внедрение которых необходимо для устранения выявленных несоответствий в системе ИБ и, как следствие, повышения итогового уровня защищенности, включая:
• описание мероприятий и перечень мер и механизмов, внедрение которых необходимо;
• перечень и описание нормативных и организационно-распорядительных документов, которые необходимо разработать и внедрить;
• определение требований к программным и программно-аппаратным средствам защиты информации.
В качестве методологической основы для работы рассматриваются следующие документы.
В рамках оценки соответствия требованиям в части обработки и защиты персональных данных:
• Федеральный Закон РФ от 27 июля 2006 года No152-ФЗ «О персональных данных» ;
• Постановление Правительства РФ от 01 ноября 2012 года No1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» ;
• Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ;
• Приказ ФСБ России от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» .
В рамках оценки соответствия процессов ИБ лучшим мировым практикам обеспечения ИБ:
• Стандарт ISO/IEC 27001:2013 «Информационные технологии. Методы обеспечения безопасности. Система менеджмента информационной безопасности. Требования»;
• Стандарт ISO/IEC 27002:2013 «Информационные технологии. Методы обеспечения безопасности. Свод практик по управлению информационной безопасности» ;
В ходе исследования выполнено:
анкетирование отдельных сотрудников компании;
интервьюирование сотрудников «timebook;
анализ внутренних организационно-распорядительных документов на предмет их соответствия требованиям законодательства РФ, а также иных нормативно-правовых актов и методических документов в области ИБ;
При сборе данных были использованы следующие основные источники информации:
интервью со специалистами компании с целью выяснения особенностей информационной инфраструктуры и информационных систем, размещения их ресурсов, их ценности и критичности для бизнеса, использования услуг внешних организаций, состава нормативных и регламентирующих документов, проектной документации и организационной структуры;
обследование объектов корпоративной информационной системы с целью проведения инвентаризации информационных ресурсов, выяснения условий эксплуатации, подключений и соединений оборудования, устройств, и каналов связи;
рекомендации производителей оборудования и программного обеспечения по использованию продуктов соответствующих производителей и общим вопросам создания информационных систем.
Работа состоит из трех основных глав, включающих в себя:
описание теоретической основы исследования;
проведение анализа существующих систем ИБ;
формирование поэтапного плана внедрения рекомендаций.
В связи с данной проблемой целью работы является получение объективных и независимых сведений о текущем состоянии защищенности информационных ресурсов ООО «Таймбук», а также определение приоритетных направлений развития информационной безопасности.
Для достижения поставленной цели в процессе выполнения работы были решены следующие задачи:
сбор и анализ исходных данных, в том числе внутренних документов компании, регламентирующих обеспечение информационной безопасности (ИБ);
анализ защищенности корпоративной информационной системы и определение основных принципов обеспечения ИБ, включая:
• оценку соответствия нормативным и законодательным требованиям;
• анализ действующих процессов и мер защиты, включая. анализ основных функциональных подсистем ИБ, используемых методов и способов защиты информации в корпоративной информационной системе компании;
• оценку адекватности и эффективности процессов управления ИБ (в рамках анализа соответствия системы управления ИБ стандарту ISO/IEC 27001:2013);
• оценку достаточности принимаемых мер по обеспечению безопасности.
определение мероприятий, процедур и документов, программных средств защиты, внедрение которых необходимо для устранения выявленных несоответствий в системе ИБ и, как следствие, повышения итогового уровня защищенности, включая:
• описание мероприятий и перечень мер и механизмов, внедрение которых необходимо;
• перечень и описание нормативных и организационно-распорядительных документов, которые необходимо разработать и внедрить;
• определение требований к программным и программно-аппаратным средствам защиты информации.
В качестве методологической основы для работы рассматриваются следующие документы.
В рамках оценки соответствия требованиям в части обработки и защиты персональных данных:
• Федеральный Закон РФ от 27 июля 2006 года No152-ФЗ «О персональных данных» ;
• Постановление Правительства РФ от 01 ноября 2012 года No1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» ;
• Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ;
• Приказ ФСБ России от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» .
В рамках оценки соответствия процессов ИБ лучшим мировым практикам обеспечения ИБ:
• Стандарт ISO/IEC 27001:2013 «Информационные технологии. Методы обеспечения безопасности. Система менеджмента информационной безопасности. Требования»;
• Стандарт ISO/IEC 27002:2013 «Информационные технологии. Методы обеспечения безопасности. Свод практик по управлению информационной безопасности» ;
В ходе исследования выполнено:
анкетирование отдельных сотрудников компании;
интервьюирование сотрудников «timebook;
анализ внутренних организационно-распорядительных документов на предмет их соответствия требованиям законодательства РФ, а также иных нормативно-правовых актов и методических документов в области ИБ;
При сборе данных были использованы следующие основные источники информации:
интервью со специалистами компании с целью выяснения особенностей информационной инфраструктуры и информационных систем, размещения их ресурсов, их ценности и критичности для бизнеса, использования услуг внешних организаций, состава нормативных и регламентирующих документов, проектной документации и организационной структуры;
обследование объектов корпоративной информационной системы с целью проведения инвентаризации информационных ресурсов, выяснения условий эксплуатации, подключений и соединений оборудования, устройств, и каналов связи;
рекомендации производителей оборудования и программного обеспечения по использованию продуктов соответствующих производителей и общим вопросам создания информационных систем.
Работа состоит из трех основных глав, включающих в себя:
описание теоретической основы исследования;
проведение анализа существующих систем ИБ;
формирование поэтапного плана внедрения рекомендаций.
✅ Заключение
В рамках работы были сформированы рекомендации по стратегии развития ИБ компании «Таймбук», определены три последовательных этапа включающие в себя решение обозначенных проблем по степени их риска для бизнеса. Для достижения основной цели был решен ряд задач.
В первую очередь сформирована теоретическая база работы, рассмотрены варианты способов оценки качества ИБ компании, выделены наиболее осуществимые из них и выбран инструмент оценки на основании данных способов.
Далее был проведен анализ ИБ компании. Дана ее краткая характеристика, описаны инструменты обеспечения ИБ, рассмотрены отдельные элементы ИБ и выявлены их недостатки, проведена проверка соответствия СУИБ международным стандартам по эталону ISO 27000: 2013. Построена диаграмма уровня рисков инструментов ИБ компании «timebook» и выделены наиболее уязвимые области.
В заключение была составлена таблица, включающая в себя перечень конкретных мер и рекомендаций по нейтрализации уязвимостей, описывающая их степень риска и его конкретные последствия.
Подводя итоги можно отметить, что СОИБ компании «Таймбук» находиться на высоком уровне, однако в силу направленности ее деятельности на взаимодействие с БД клиентов и необходимостью сохранения их в безопасности даже наличие во многом незначительных несоответствий по отношению к эталонам требует корректировки, что позволит компании стать более надежным партнером и вплотную работать с крупники компаниями и представителями более информационно ориентированных отраслей бизнеса.
В первую очередь сформирована теоретическая база работы, рассмотрены варианты способов оценки качества ИБ компании, выделены наиболее осуществимые из них и выбран инструмент оценки на основании данных способов.
Далее был проведен анализ ИБ компании. Дана ее краткая характеристика, описаны инструменты обеспечения ИБ, рассмотрены отдельные элементы ИБ и выявлены их недостатки, проведена проверка соответствия СУИБ международным стандартам по эталону ISO 27000: 2013. Построена диаграмма уровня рисков инструментов ИБ компании «timebook» и выделены наиболее уязвимые области.
В заключение была составлена таблица, включающая в себя перечень конкретных мер и рекомендаций по нейтрализации уязвимостей, описывающая их степень риска и его конкретные последствия.
Подводя итоги можно отметить, что СОИБ компании «Таймбук» находиться на высоком уровне, однако в силу направленности ее деятельности на взаимодействие с БД клиентов и необходимостью сохранения их в безопасности даже наличие во многом незначительных несоответствий по отношению к эталонам требует корректировки, что позволит компании стать более надежным партнером и вплотную работать с крупники компаниями и представителями более информационно ориентированных отраслей бизнеса.
ИЛИ
Поиск аналога
📕 Список литературы
🖼 Скриншоты
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.