Повышение защищенности информационной системы телерадиокомпании на основе модели управления культурой информационной безопасности пользователей
|
Аннотация 2
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 10
ВВЕДЕНИЕ 13
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТНОСТИ ИНФОРМАЦИИ В ТЕЛЕРАДИОКОМПАНИИ 14
1.1. Разработка паспорта компании 14
1.2. Разработка модели деятельности 14
1.3. Выявление защищаемой информации 14
1.4. Описание информационной системы 15
1.5. Выявление объектов защиты 19
1.6. Разработка модели угроз и уязвимостей для защищаемых объектов 19
1.7. Расчет рисков важных объектов защиты 24
1.8. Безопасность жизнедеятельности 30
1.8.1. Общие требования к организации рабочих мест пользователей 30
1.8.2. Требования к помещениям для размещения рабочего места 32
1.8.3. Требования к уровням шума на рабочих местах 32
1.8.4. Требования к освещению на рабочих местах 33
1.8.5. Требования к микроклимату 33
1.8.6. Требования к электробезопасности 34
1.8.7. Пожарная безопасность 35
1.8.8. Сравнение параметров рабочего места с допустимыми нормами 40
1.9. Выводы по первой главе 41
2. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ПОСТРОЕНИЯ МОДЕЛИ УПРАВЛЕНИЯ
КИБ ПОЛЬЗОВАТЕЛЕЙ 43
2.1. Обзор литературы 43
2.2. Определение понятия культуры информационной безопасности 49
2.3. Механизмы действия культуры информационной безопасности в
рамках деятельности компании 53
2.4. Методика оценки культуры информационной безопасности
пользователей 63
2.5. Практики развития культуры информационной безопасности 65
2.5.1. Повышение вовлеченности руководства в процесс обеспечения
информационной безопасности и улучшение качества управления 65
2.5.2. Прозрачность требований организационно-распорядительной
документации 66
2.5.3. Применение технологий для контроля поведения пользователей. .. 67
2.5.4. Создание системы обучения и повышения осведомленности
сотрудников 68
2.5.5. Мотивация к выполнению требований по защите информации 71
2.5.6. Вовлечение сотрудников в процесс защиты информации 72
2.5.7. Повышение уровня доверия сотрудников 72
2.6. Выводы по второй главе 74
3. ПОСТРОЕНИЕ МОДЕЛИ УПРАВЛЕНИЯ КИБ ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ТЕЛЕРАДИОКОМПАНИИ 75
3.1. Этап Планирования 76
3.1.1. Фаза Инициирования создания модели управления КИБ
пользователей 76
3.1.2. Фаза определения механизма функционирования КИБ в рамках
деятельности компании 77
3.1.3. Фаза определения сфер ответственности и распределения ресурсов 78
3.2. Этап Внедрения 79
3.2.1. Фаза проведения оценки существующего уровня КИБ
пользователей 79
3.2.2. Фаза выбора средств и методов повышения уровня КИБ
пользователей 86
3.2.3. Фаза документирования модели управления культурой
информационной безопасности 91
3.3. Этап Проверки 92
3.4. Этап Совершенствования 94
3.5 Выводы по третьей главе 95
ЗАКЛЮЧЕНИЕ 97
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 99
ПРИЛОЖЕНИЕ А 104
ПРИЛОЖЕНИЕ Б 113
ПРИЛОЖЕНИЕ В 117
ПРИЛОЖЕНИЕ Г 119
ПРИЛОЖЕНИЕ Д 121
ПРИЛОЖЕНИЕ Е 122
ПРИЛОЖЕНИЕ Ж 129
ПРИЛОЖЕНИЕ З 132
ПРИЛОЖЕНИЕ И 133
ПРИЛОЖЕНИЕ К 137
ПРИЛОЖЕНИЕ М 146
ПРИЛОЖЕНИЕ Н 153
ПРИЛОЖЕНИЕ О 158
ПРИЛОЖЕНИЕ П 159
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 10
ВВЕДЕНИЕ 13
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТНОСТИ ИНФОРМАЦИИ В ТЕЛЕРАДИОКОМПАНИИ 14
1.1. Разработка паспорта компании 14
1.2. Разработка модели деятельности 14
1.3. Выявление защищаемой информации 14
1.4. Описание информационной системы 15
1.5. Выявление объектов защиты 19
1.6. Разработка модели угроз и уязвимостей для защищаемых объектов 19
1.7. Расчет рисков важных объектов защиты 24
1.8. Безопасность жизнедеятельности 30
1.8.1. Общие требования к организации рабочих мест пользователей 30
1.8.2. Требования к помещениям для размещения рабочего места 32
1.8.3. Требования к уровням шума на рабочих местах 32
1.8.4. Требования к освещению на рабочих местах 33
1.8.5. Требования к микроклимату 33
1.8.6. Требования к электробезопасности 34
1.8.7. Пожарная безопасность 35
1.8.8. Сравнение параметров рабочего места с допустимыми нормами 40
1.9. Выводы по первой главе 41
2. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ПОСТРОЕНИЯ МОДЕЛИ УПРАВЛЕНИЯ
КИБ ПОЛЬЗОВАТЕЛЕЙ 43
2.1. Обзор литературы 43
2.2. Определение понятия культуры информационной безопасности 49
2.3. Механизмы действия культуры информационной безопасности в
рамках деятельности компании 53
2.4. Методика оценки культуры информационной безопасности
пользователей 63
2.5. Практики развития культуры информационной безопасности 65
2.5.1. Повышение вовлеченности руководства в процесс обеспечения
информационной безопасности и улучшение качества управления 65
2.5.2. Прозрачность требований организационно-распорядительной
документации 66
2.5.3. Применение технологий для контроля поведения пользователей. .. 67
2.5.4. Создание системы обучения и повышения осведомленности
сотрудников 68
2.5.5. Мотивация к выполнению требований по защите информации 71
2.5.6. Вовлечение сотрудников в процесс защиты информации 72
2.5.7. Повышение уровня доверия сотрудников 72
2.6. Выводы по второй главе 74
3. ПОСТРОЕНИЕ МОДЕЛИ УПРАВЛЕНИЯ КИБ ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ТЕЛЕРАДИОКОМПАНИИ 75
3.1. Этап Планирования 76
3.1.1. Фаза Инициирования создания модели управления КИБ
пользователей 76
3.1.2. Фаза определения механизма функционирования КИБ в рамках
деятельности компании 77
3.1.3. Фаза определения сфер ответственности и распределения ресурсов 78
3.2. Этап Внедрения 79
3.2.1. Фаза проведения оценки существующего уровня КИБ
пользователей 79
3.2.2. Фаза выбора средств и методов повышения уровня КИБ
пользователей 86
3.2.3. Фаза документирования модели управления культурой
информационной безопасности 91
3.3. Этап Проверки 92
3.4. Этап Совершенствования 94
3.5 Выводы по третьей главе 95
ЗАКЛЮЧЕНИЕ 97
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 99
ПРИЛОЖЕНИЕ А 104
ПРИЛОЖЕНИЕ Б 113
ПРИЛОЖЕНИЕ В 117
ПРИЛОЖЕНИЕ Г 119
ПРИЛОЖЕНИЕ Д 121
ПРИЛОЖЕНИЕ Е 122
ПРИЛОЖЕНИЕ Ж 129
ПРИЛОЖЕНИЕ З 132
ПРИЛОЖЕНИЕ И 133
ПРИЛОЖЕНИЕ К 137
ПРИЛОЖЕНИЕ М 146
ПРИЛОЖЕНИЕ Н 153
ПРИЛОЖЕНИЕ О 158
ПРИЛОЖЕНИЕ П 159
Основная сфера деятельности телерадиокомпании как средства массовой информации направлена на производство и распространение телерадиопрограмм, организацию трансляций с места событий, создание информационных банков данных, что подразумевает обработку огромного количества информации. Компания уделяет значительное внимание защите информационных ресурсов от реализации угроз посредством инженерно-технических, и программно¬аппаратных систем и средств. Однако, процесс обеспечения информационной безопасности не является чисто техническим и не может обходиться без участия человека как источника угроз. Нежелательное поведение пользователей информационной системы является прямым отражением их культуры информационной безопасности.
Однако, в существующей на данный момент нормативной базе по защите информации, наличие человека в процессе обработки информации практически не учитывается, а предпринятые меры в компаниях зачастую рассматриваются как формальность для выполнения законодательных требований. Поэтому необходим новаторский подход, который подчеркнет важность рассмотрения компонентов информационной безопасности через призму развития культуры информационной безопасности в компании с целью организации деятельности работников таким образом, чтобы обеспечить их безопасное функционирование и развитие в информационно-технологической среде компании, тем самым значительно уменьшив риски нарушения целостности, доступности и конфиденциальности информации по вине персонала.
Актуальность работы обусловлена необходимостью управления культурой информационной безопасности пользователей информационных систем телерадиокомпании.
Объектом выпускной квалификационной работы является телерадиокомпания.
Предметом выпускной квалификационной работы является модель управления культурой информационной безопасности пользователей автоматизированных систем телевещательной компании.
Целью дипломной работы является создание модели управления культурой информационной безопасности пользователей для повышения защищенности информационной системы телерадиокомпании.
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Проанализировать информационную систему телерадиокомпании с целью определения текущих проблем и обоснования необходимости создания модели управления культурой информационной безопасности пользователей.
2. Изучить литературу и разработать теоретическую основу для создания модели управления культурой информационной безопасности .
3. Построить модель управления культурой информационной безопасности пользователей информационной системы телерадиокомпании.
Однако, в существующей на данный момент нормативной базе по защите информации, наличие человека в процессе обработки информации практически не учитывается, а предпринятые меры в компаниях зачастую рассматриваются как формальность для выполнения законодательных требований. Поэтому необходим новаторский подход, который подчеркнет важность рассмотрения компонентов информационной безопасности через призму развития культуры информационной безопасности в компании с целью организации деятельности работников таким образом, чтобы обеспечить их безопасное функционирование и развитие в информационно-технологической среде компании, тем самым значительно уменьшив риски нарушения целостности, доступности и конфиденциальности информации по вине персонала.
Актуальность работы обусловлена необходимостью управления культурой информационной безопасности пользователей информационных систем телерадиокомпании.
Объектом выпускной квалификационной работы является телерадиокомпания.
Предметом выпускной квалификационной работы является модель управления культурой информационной безопасности пользователей автоматизированных систем телевещательной компании.
Целью дипломной работы является создание модели управления культурой информационной безопасности пользователей для повышения защищенности информационной системы телерадиокомпании.
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Проанализировать информационную систему телерадиокомпании с целью определения текущих проблем и обоснования необходимости создания модели управления культурой информационной безопасности пользователей.
2. Изучить литературу и разработать теоретическую основу для создания модели управления культурой информационной безопасности .
3. Построить модель управления культурой информационной безопасности пользователей информационной системы телерадиокомпании.
В ходе выполнения дипломной работы был проведен анализ информационной системы телерадиокомпании с целью определения текущего уровня защищенности. Результаты анализа показали, что основным источником угроз ИБ являются внутренние пользователи ИС компании, а существующие уязвимости невозможно устранить, опираясь на требования, установленные в законодательстве. Таким образом была обоснована необходимость создания модели управления культурой информационной безопасности пользователей.
На основе проведенного анализ литературы было разработано теоретическое обоснование для построения модели управления культурой информационной безопасности, включающее в себя определение понятия КИБ, механизмы функционирования, методику оценки и практики развития культуры информационной безопасности.
Теоретическое обоснование послужило фундаментом для построения модели управления КИБ пользователей телерадиокомпании, базирующейся на циклическом подходе Р1ап-0о-Сйеск-Асй На этапе планирования были подготовлены Приказ о создании модели (Приложение Г), где определены цели управления КИБ; Схема функционирования КИБ в компании (Приложение Д), позволяющая изобразить концепцию влияния культуры информационной безопасности на систему защиты информации в компании; План внедрения (Приложение Е), сопоставляющий роли и сферы ответственности за проект. Во время этапа внедрения проведена оценка уровня культуры информационной безопасности пользователей (Приложение И), разработан перечень методов и средств для развития КИБ (Приложение К), которые впоследствии задокументированы в виде Стратегии развития культуры информационной безопасности пользователей (Приложение Л); Политики информирования, обучения и мотивации персонала (Приложение М); Инструкции пользователя информационной системы (Приложение Н); Формы сообщения об инциденте (Приложение О) и Информационного буклета с графическими материалами (Приложение П).
Целью ВКР являлось повышение защищенности информационной системы телерадиокомпании. Применение модели управления КИБ пользователей позволит снизить вероятность угроз, связанных с человеческим фактором на 42%, сформировать уровень осведомленности и компетентности персонала, поднять мотивацию и вовлеченность персонала в процесс защиты информации и выработать желаемые поведенческие черты - ответственность, честность, доверие и этичность. Оперативное информирование ответственных при возникновении инцидентов снизит время их решения и негативное влияние. В совокупности эти факторы способствуют повышению защищенности информационной системы, что говорит о достижении цели написания ВКР.
Проведенная работа позволяет говорить о научной новизне и большой практической значимости разработанной модели, поскольку она рассматривает систему обеспечения ИБ с учетом человека как звена этой системы. Модель может использоваться в качестве методики формирования показателей и требований к КИБ, служить инструментом оценки и руководством по развитию культуры. Она универсальна, наглядна, проста в использовании и имеет практическую направленность.
На основе проведенного анализ литературы было разработано теоретическое обоснование для построения модели управления культурой информационной безопасности, включающее в себя определение понятия КИБ, механизмы функционирования, методику оценки и практики развития культуры информационной безопасности.
Теоретическое обоснование послужило фундаментом для построения модели управления КИБ пользователей телерадиокомпании, базирующейся на циклическом подходе Р1ап-0о-Сйеск-Асй На этапе планирования были подготовлены Приказ о создании модели (Приложение Г), где определены цели управления КИБ; Схема функционирования КИБ в компании (Приложение Д), позволяющая изобразить концепцию влияния культуры информационной безопасности на систему защиты информации в компании; План внедрения (Приложение Е), сопоставляющий роли и сферы ответственности за проект. Во время этапа внедрения проведена оценка уровня культуры информационной безопасности пользователей (Приложение И), разработан перечень методов и средств для развития КИБ (Приложение К), которые впоследствии задокументированы в виде Стратегии развития культуры информационной безопасности пользователей (Приложение Л); Политики информирования, обучения и мотивации персонала (Приложение М); Инструкции пользователя информационной системы (Приложение Н); Формы сообщения об инциденте (Приложение О) и Информационного буклета с графическими материалами (Приложение П).
Целью ВКР являлось повышение защищенности информационной системы телерадиокомпании. Применение модели управления КИБ пользователей позволит снизить вероятность угроз, связанных с человеческим фактором на 42%, сформировать уровень осведомленности и компетентности персонала, поднять мотивацию и вовлеченность персонала в процесс защиты информации и выработать желаемые поведенческие черты - ответственность, честность, доверие и этичность. Оперативное информирование ответственных при возникновении инцидентов снизит время их решения и негативное влияние. В совокупности эти факторы способствуют повышению защищенности информационной системы, что говорит о достижении цели написания ВКР.
Проведенная работа позволяет говорить о научной новизне и большой практической значимости разработанной модели, поскольку она рассматривает систему обеспечения ИБ с учетом человека как звена этой системы. Модель может использоваться в качестве методики формирования показателей и требований к КИБ, служить инструментом оценки и руководством по развитию культуры. Она универсальна, наглядна, проста в использовании и имеет практическую направленность.
