
Тип работы:	Предмет:	Язык работы:

РАЗРАБОТКА СТРАТЕГИИ РАЗВИТИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ «TIMEBOOK»

Работа №	146282
Тип работы	Дипломные работы, ВКР
Предмет	менеджмент
Объем работы	67
Год сдачи	2024
Стоимость	4650 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено	31

Не подходит работа?

Узнай цену на написание

Содержание

Введение 4
Глава 1. ВЫБОР СПОСОБА ОЦЕНКИ ИБ КОМПАНИИ 7
Глава 2. АНАЛИЗ СУЩЕСТВУЮЩЕЙ СОИБ КОМПАНИИ 11
2.1 Перечень информационных систем 11
2.2 Применяемые способы и меры обеспечения ИБ 12
2.2.1 Организационные меры обеспечения ИБ 12
2.2.2 Технические меры обеспечения ИБ 14
2.3 Анализ процессов обеспечения информационной безопасности 15
2.3.1 Идентификация, аутентификация, управление доступом субъектов доступа к объектам доступа 15
2.3.2 Защита сетевой инфраструктуры 16
2.3.3 Антивирусная защита 17
2.3.4 Контроль защищенности и управление уязвимостями 18
2.3.5 Управление событиями, выявление инцидентов ИБ и реагирование на них 19
2.3.6 Управление безопасными конфигурациями 20
2.3.7 Контроль и предотвращение утечек информации 20
2.3.8 Обеспечение доступности информационных ресурсов 21
2.3.9 Повышение осведомленности персонала по вопросам ИБ 21
2.3.10 Обеспечение физической безопасности 22
2.4 Анализ систем управления ИБ 24
2.5 Описание текущего статуса процессов обеспечения информационной̆ безопасности 53
Глава 3. ФОРМИРОВАНИЕ ПОЭТАПНОГО ПЛАНА РАЗВИТИЯ ИБ 54
Заключение 63
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 64

Введение

Компания «timebook» является технологическим стартапом, стремительно набравшим популярность за десятилетие с момента его создания. Множество крупных компаний проявили заинтересованность в их услугах, однако имеющаяся система информационной безопасности проекта в силу работы с базами данных клиентов не всегда способна удовлетворить имеющиеся стандарты и критерии в связи с чем процесс внедрения продукта компании в системы клиентов занимает более длительный период времени, повышается индивидуальность каждой отдельной сделки и теряется часть потенциальных клиентов. Исходя из вышесказанного необходимо усовершенствовать на основе существующих международных стандартов и запросов клиентов имеющуюся систему информационной безопасности компании.
В связи с данной проблемой целью работы является получение объективных и независимых сведений о текущем состоянии защищенности информационных ресурсов ООО «Таймбук», а также определение приоритетных направлений развития информационной безопасности.
Для достижения поставленной цели в процессе выполнения работы были решены следующие задачи:
 сбор и анализ исходных данных, в том числе внутренних документов компании, регламентирующих обеспечение информационной безопасности (ИБ);
 анализ защищенности корпоративной информационной системы и определение основных принципов обеспечения ИБ, включая:
• оценку соответствия нормативным и законодательным требованиям;
• анализ действующих процессов и мер защиты, включая. анализ основных функциональных подсистем ИБ, используемых методов и способов защиты информации в корпоративной информационной системе компании;
• оценку адекватности и эффективности процессов управления ИБ (в рамках анализа соответствия системы управления ИБ стандарту ISO/IEC 27001:2013);
• оценку достаточности принимаемых мер по обеспечению безопасности.
 определение мероприятий, процедур и документов, программных средств защиты, внедрение которых необходимо для устранения выявленных несоответствий в системе ИБ и, как следствие, повышения итогового уровня защищенности, включая:
• описание мероприятий и перечень мер и механизмов, внедрение которых необходимо;
• перечень и описание нормативных и организационно-распорядительных документов, которые необходимо разработать и внедрить;
• определение требований к программным и программно-аппаратным средствам защиты информации.
В качестве методологической основы для работы рассматриваются следующие документы.
В рамках оценки соответствия требованиям в части обработки и защиты персональных данных:
• Федеральный Закон РФ от 27 июля 2006 года No152-ФЗ «О персональных данных» ;
• Постановление Правительства РФ от 01 ноября 2012 года No1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» ;
• Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ;
• Приказ ФСБ России от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» .
В рамках оценки соответствия процессов ИБ лучшим мировым практикам обеспечения ИБ:
• Стандарт ISO/IEC 27001:2013 «Информационные технологии. Методы обеспечения безопасности. Система менеджмента информационной безопасности. Требования»;
• Стандарт ISO/IEC 27002:2013 «Информационные технологии. Методы обеспечения безопасности. Свод практик по управлению информационной безопасности» ;
В ходе исследования выполнено:
 анкетирование отдельных сотрудников компании;
 интервьюирование сотрудников «timebook;
 анализ внутренних организационно-распорядительных документов на предмет их соответствия требованиям законодательства РФ, а также иных нормативно-правовых актов и методических документов в области ИБ;
При сборе данных были использованы следующие основные источники информации:
 интервью со специалистами компании с целью выяснения особенностей информационной инфраструктуры и информационных систем, размещения их ресурсов, их ценности и критичности для бизнеса, использования услуг внешних организаций, состава нормативных и регламентирующих документов, проектной документации и организационной структуры;
 обследование объектов корпоративной информационной системы с целью проведения инвентаризации информационных ресурсов, выяснения условий эксплуатации, подключений и соединений оборудования, устройств, и каналов связи;
 рекомендации производителей оборудования и программного обеспечения по использованию продуктов соответствующих производителей и общим вопросам создания информационных систем.
Работа состоит из трех основных глав, включающих в себя:
 описание теоретической основы исследования;
 проведение анализа существующих систем ИБ;
 формирование поэтапного плана внедрения рекомендаций.

Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!

ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ

Курсовые Статьи Диплом Рязань

Заключение

В рамках работы были сформированы рекомендации по стратегии развития ИБ компании «Таймбук», определены три последовательных этапа включающие в себя решение обозначенных проблем по степени их риска для бизнеса. Для достижения основной цели был решен ряд задач.
В первую очередь сформирована теоретическая база работы, рассмотрены варианты способов оценки качества ИБ компании, выделены наиболее осуществимые из них и выбран инструмент оценки на основании данных способов.
Далее был проведен анализ ИБ компании. Дана ее краткая характеристика, описаны инструменты обеспечения ИБ, рассмотрены отдельные элементы ИБ и выявлены их недостатки, проведена проверка соответствия СУИБ международным стандартам по эталону ISO 27000: 2013. Построена диаграмма уровня рисков инструментов ИБ компании «timebook» и выделены наиболее уязвимые области.
В заключение была составлена таблица, включающая в себя перечень конкретных мер и рекомендаций по нейтрализации уязвимостей, описывающая их степень риска и его конкретные последствия.
Подводя итоги можно отметить, что СОИБ компании «Таймбук» находиться на высоком уровне, однако в силу направленности ее деятельности на взаимодействие с БД клиентов и необходимостью сохранения их в безопасности даже наличие во многом незначительных несоответствий по отношению к эталонам требует корректировки, что позволит компании стать более надежным партнером и вплотную работать с крупники компаниями и представителями более информационно ориентированных отраслей бизнеса.

Литература

1. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ [Электронный ресурс] // consultant.ru, 2023. – URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 29.04.2023). — Режим доступа: свободный.
2. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" [Электронный ресурс] // mos.ru, 2024. – URL: https://www.mos.ru/donm/documents/normativnye-pravovye-akty/view/168575220/#:~:text=Документы-,Постановление%20Правительства%20Российской%20Федерации%20от%201%20ноября%202012%20г.,в%20информационных%20системах%20персональных%20данных"&text=Утверждены%20требования%20к%20защите%20персональных,в%20информационных%20системах%20персональных%20данных. (дата обращения: 27.05.2024). — Режим доступа: свободный.
3. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс] // fstec.ru, 2024. – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 27.05.2024). — Режим доступа: свободный.
4. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" [Электронный ресурс] // garant.ru, 2024. – URL: https://base.garant.ru/70727118/ (дата обращения: 27.05.2024). — Режим доступа: свободный.
5. ISO/IEC 27001:2013 «Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования» [Электронный ресурс] // pqm-online.com, 2024. – URL: https://pqm-online.com/assets/files/pubs/translations/std/iso-mek-27001-2013(rus).pdf (дата обращения: 27.05.2024). — Режим доступа: свободный.
6. Система обеспечения информационной безопасности [Электронный ресурс] // https://cisoclub.ru, 2024. – URL: https://cisoclub.ru/sistema-obespecheniya-informaczionnoj-bezopasnosti/ (дата обращения: 27.05.2024). — Режим доступа: свободный.
7. Оценка информационной безопасности бизнеса [Электронный ресурс] // cfin.ru, 2023. – URL: https://www.cfin.ru/appraisal/business/special/infosec.shtml#:~:text=Модель%20оценки%20ИБ%20определяет%20сферу,оценку%20ИБ%20в%20сфере%20оценки. (дата обращения: 27.05.2024). — Режим доступа: свободный.
8. Главная [Электронный ресурс] // timebook.ru, 2024. – URL: https://wfm.timebook.ru (дата обращения27.05.2024). — Режим доступа: свободный.
9. Отрасли применения timebook: Ритейл [Электронный ресурс] // timebook.ru, 2024. – URL: https://wfm.timebook.ru/retail/ (дата обращения: 27.05.2024). — Режим доступа: свободный.
10. Клиент-серверная архитектура в картинках [Электронный ресурс] // https://habr.com, 2024. – URL: https://habr.com/ru/articles/495698/ (дата обращения: 27.05.2024). — Режим доступа: свободный.
11. Средства защиты информации: какими они бывают и какие задачи решают [Электронный ресурс] // itglobal.com, 2024. – URL: https://itglobal.com/ru-ru/company/blog/sredstva-zashhity-informaczii/ (дата обращения: 27.05.2024). — Режим доступа: свободный.
12. Как создать модель управления доступом, которая соответствует требованиям безопасности и нуждам бизнеса? [Электронный ресурс] // rt-solar.ru, 2024. – URL: https://rt-solar.ru/products/solar_inrights/blog/3742/ (дата обращения: 27.05.2024). — Режим доступа: свободный.
13. Как обеспечить безопасность паролей и как часто нужно их менять? [Электронный ресурс] // rt-solar.ru, 2024. – URL: https://rt-solar.ru/products/solar_inrights/blog/3729/ (дата обращения: 27.05.2024). — Режим доступа: свободный.
14. Что такое привилегированная учетная запись? [Электронный ресурс] // keepersecurity.com, 2024. – URL: https://www.keepersecurity.com/ru_RU/resources/glossary/what-is-a-privileged-account/#:~:text=Привилегированная%20учетная%20запись%20—%20это%20учетная,нет%20у%20большинства%20других%20пользователей. (дата обращения: 27.05.2024). — Режим доступа: свободный.
15. Межсетевой экран: что такое и как работает [Электронный ресурс] // https://selectel.ru, 2024. – URL: https://selectel.ru/blog/firewall/#:~:text=Межсетевой%20экран%20(МЭ%2C%20брандмауэр%20или,всего%20их%20называют%20правилами%20МЭ. (дата обращения: 27.05.2024). — Режим доступа: свободный...24