Вход

Совершенствование системы защиты конфиденциальной информации на примере АО

Рекомендуемая категория для самостоятельной подготовки:
Дипломная работа*
Код 563071
Дата создания 2020
Страниц 77
Мы сможем обработать ваш заказ (!) 25 декабря в 12:00 [мск]
Файлы будут доступны для скачивания только после обработки заказа.
5 110руб.
КУПИТЬ

Содержание

Обозначения и сокращения 2
Введение 3
1 Анализ структуры информационной системы АО 5
1.1 Особенности построения локально вычислительной сети компании 5
1.2 Анализ, информационных потоков, обрабатываемых с использованием рабочих станций в компании 7
1.3 Анализ источников угроз безопасности защищаемой информации при подключении рабочих станций к сети Интернет 11
2 Анализ систем защиты информации компании 22
2.1 Определение показателей и критериев эффективности функционирования системы защиты информации 22
2.2 Разработка модели угроз и нарушителей информационной безопасности в информационной системе компании 23
2.3 Анализ эффективности системы информационной безопасности 27
3 Предложения по совершенствованию мер защиты информации 32
3.1 Разработка системы защиты информации 32
3.2 Выбор целесообразных технических средств и организационных мероприятий 34
3.3 Функциональная оценка эффективности подсистемы технической защиты информации 48
3.4 Расчет затрат на модернизацию системы защиты информации 50
3.4.1 Основная заработная плата исполнителей 52
3.4.2 Дополнительная заработная плата 52
3.4.3 Расчёт отчислений на социальное страхование 53
3.4.4 Расчёт расходов на оборудование 53
3.4.5 Расчёт расходов на программное обеспечение 54
3.4.6 Накладные расходы 55
3.4.7 Расчёт стоимости машинного времени 56
3.4.8 Расчет годовых текущих затрат 57
3.4.9 Расчет показателей экономической эффективности 59
Заключение 61
Список использованных источников 63
Приложения 68

Введение

Актуальность выполненной работы в условиях угроз информационной безопасности высока.
Новизна выполненной работы заключается в проведении исследовательской деятельности в области обеспечения безопасности информации и разработке способов совершенствования защитных мер безопасности информации на примере коммерческой организации

Фрагмент работы для ознакомления

Введение

Создать идеальную систему защиты информации невозможно, но возможно отдалить во времени негативное событие, а также подготовиться к нему. Для предотвращения инцидента в ближайшей перспективе, либо подготовки к устранению его последствий нужны не только специалисты, но и ресурсы.
Быстрое развитие информационных технологий способствует появлению новых угроз и уязвимостей. В то же время уже зарекомендовавшие себя векторы атак используются более активно злоумышленниками. Проблемы и задачи в сфере информационной безопасности настолько глубоки и разнообразны, что требуют непрерывной подготовки специалистов высокого уровня.
Да и имеющиеся ресурсы для обеспечения информационной безопасности, либо ликвидации последствий далеко не безграничны. Желательно, чтобы руководство в сфере информационной безопасности уже с первого раза принимало верное решение, так как последствия от ошибочного или недальновидного решения могут быть критическими для организации, вплоть до её закрытия.
...

1.1 Особенности построения локально вычислительной сети компании АО «Металлоизделия»

Акционерное общество «Металлоизделия» является одним из старейших предприятий г. Павловский Посад Московской области. Свою историю компания ведет с 30-х годов прошлого века, когда на территории располагался «Завод облицовочных плиток». Продукция того времени использовалась при строительстве Московского Метро для облицовки некоторых станций. Во время Великой Отечественной Войны предприятие относилось к Управлению Металлообрабатывающей промышленности и выпускало продукцию, необходимую для повседневного обеспечения деятельности фронта и тыла.
В настоящее время предприятие осуществляет 3 основных вида деятельности. Это изготовление изделий из металла, цинкование и нанесение порошкового покрытия на металлические конструкции. Также на предприятии выпускаются эфирные телевизионные антенны, известные под маркой «LOCUS».
...

1.2 Анализ, информационных потоков, обрабатываемых с использованием рабочих станций в компании АО «Металлоизделия»

«Оценка организации основывается на двух видах источников информации, таких как внутренние которые представлены в виде официальных каналов распространения информации, представления информации руководителю организации, ее структурным подразделениям, филиалам и представительствам и внешние, к которым относится любая иная информация, полученная из любых других источников: партнеров, конкурентов, клиентов, органов власти и т.д.» Баранова Е.К. [3]
«Источники конфиденциальной информации предоставляют полную информацию о составе, описании и виде деятельности организации. Поэтому хорошая система защиты информации, созданная с учетом всех нюансов, поможет избежать различных проблем.» Баранова Е.К. [3]
Источники информации в АО «Металлоизделия» представлены на рисунке 1.
...

1.3 Анализ источников угроз безопасности защищаемой информации при подключении рабочих станций к сети Интернет

Для создания защищенных автоматизированных информационных систем требуется наличие соответствующих знаний и опыта.
«Заказчик автоматизированных систем может не понимать детали проекта, но он должен отслеживать каждый этап на предмет соответствия техническим спецификациям и требованиям необходимых нормативных документов. В свою очередь, процесс проектирования требует использования необходимых документов в этой области для получения максимально эффективного результата.
Таким образом, процесс проектирования защищенных автоматизированных информационных систем должен основываться на знаниях и строгом соблюдении требований действующих нормативных документов, как со стороны его создателей, так и пользователей» Гафнер В.В.
...

2.1 Определение показателей и критериев эффективности функционирования системы защиты информации

Для проведения анализа систем защиты информации выбрана модель оценки Домарева, позволяющая оценить эффективность функционирования системы информационной безопасности и защищённость подсистемы технической защиты.
В.В. Домарев разработал свою модель оценки систем защиты информации, основанную на системном подходе. Понятие системности по Домареву заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла информационной системы. При этом все средства, методы и мероприятия, используемые для защиты информации, объединяются в единый целостный механизм – систему защиты.
Создавая данную модель, Домарев исходил из того, что многообразие вариантов построения информационных систем порождает необходимость создания различных систем защиты, учитывающих индивидуальные особенности каждой из них.
...

2.2 Разработка модели угроз и нарушителей информационной безопасности в информационной системе компании АО «Металлоизделия»

Для составления модели угроз и модели нарушителя необходимо определить наиболее важную информацию, проходящую в сети организации, а также хранимую на бумажных носителях.
В организации циркулируют:
– персональные данные сотрудников организации;
– персональные данные клиентов;
– коммерческая тайна организации;
– открытая информация. [8]
Под угрозой имеется в виду высокая существующая вероятность специального или непреднамеренного действия, в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность. [15]
Модель угроз информационной безопасности представлена в Приложении 2.
Следует иметь в виду, что финальная цель нарушения может быть разной, она варьируется от категории объекта и облика возможного нарушителя.
...

2.3 Анализ эффективности системы информационной безопасности

На всех этапах жизненного цикла системе защиты информации присущи неопределенность ее свойств в условиях реального воздействия случайных факторов из внешней и внутренней среды. Оценка эффективности деятельности является составной частью процедуры управления эффективностью деятельности организации. Оценка эффективности системы защиты информации выполняется с учетом определенных потенциальных угроз и моделей нарушителей.
Проектируемая система информационной безопасности АО «Металлоизделия» представлена на рисунке 9.

Рисунок 9 – Проектируемая система информационной безопасности АО «Металлоизделия»

Из рисунка 9 видно, что проектируемая система информационной безопасности состоит из 5 ключевых подсистем.
...

3.1 Разработка системы защиты информации

Проектирование системы защиты, обеспечивающей достижение поставленных перед технической защитой информации целей и решение задач, проводится путем системного анализа существующей и разработки вариантов требуемой системы защиты.
Последовательность проектирования системы технической защиты включает три основных этапа:
1. моделирование объектов защиты;
2. моделирование угроз информации;
3. выбор мер защиты.
В общем случае подсистему технической защиты АО «Металлоизделия» целесообразно разделить на комплексы, каждый из которых объединяет силы и средства предотвращения одной из угроз утечки информации (рисунок 11).
Рисунок 11 – Структурно-функциональная схема разрабатываемой подсистемы технической защиты АО «Металлоизделия»

Из анализа рисунка 11 видно, какими способами и средствами реализуется защита основных объектов помещения.
В общем случае комплекс защиты информации от наблюдения должен обеспечивать:

3.2 Выбор целесообразных технических средств и организационных мероприятий

Для предотвращения хищения и утраты информации из рассматриваемого помещения используется ряд мер по обеспечению информационной безопасности.
К этим мерам относятся: пожарно-охранная сигнализация, СКУД (1 этаж), система разграничения доступа, двери, окна.
За организацию и ведение пропускного режима и охранной деятельности отвечает служба охраны.
Дверь в защищаемое помещение не является взломостойкой, запирается на обычный ключ, не имеет тепло- и шумоизоляцию.
Техническое мероприятие – это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений. Технические мероприятия направлены на закрытие каналов утечки информации.
К техническим мероприятиям с использованием пассивных средств относятся:

3.3 Функциональная оценка эффективности подсистемы технической защиты информации

Ниже представлен результат оценки защищённости подсистемы технической защиты информации (таблица 11).
Таблица 11 – Итоговая оценка эффективности подсистемы технической защиты информации
№ этапа
Перечень показателей
№ элемента матрицы
Требуемый профиль безопасности
Достигнутый профиль безопасности
Степень выполнения групп требований
Количественная оценка

m

Qтр

Qгруп
Q
1
2
3
4
5
6
7
1. Определение объектов ИС, подлежащих защите
1
151
0,87
0,91
0,9
0,88

2
152
0,87
0,89

3
153
0,87
0,88

4
154
0,87
0,9

2. Выявление потенциальных угроз
5
251
0,87
0,91
0,89

6
252
0,87
0,89

7
253
0,87
0,87

8
254
0,87
0,88

3. Проведение оценки угроз и рисков
9
351
0,87
0,9
0,88

4.
10
352
0,87
0,88

11
353
0,87
0,87

12
354
0,87
0,87

4. Определение требований к СЗИ
13
451
0,87
0,9
0,88


3.4 Расчет затрат на модернизацию системы защиты информации

Сметная стоимость модернизации включает в себя затраты, определяемые по формуле (1) [18]:
Смодерн = Спр + Со + Сосн + Ссоц + Сн , (1)

где Спр – стоимость программных средств;
Со – затраты на оборудование;
Сосн – основная заработная плата исполнителей;
Ссоц – взносы во внебюджетные фонды обязательного социального страхования (пенсионный фонд, фонд обязательного медицинского страхования, фонд социального страхования). Рассчитывается в соответствии с установленным тарифом как 30% от основной и дополнительной заработной платы;
Сн – накладные расходы включают затраты на управление, уборку, ремонт, электроэнергию, отопление и др. (принимаются в размере 60% от основной и дополнительной заработной платы).
...

3.4.1 Основная заработная плата исполнителей
К основной заработной плате относят заработную плату научных, инженерно-технических и других работников, непосредственно участвующих в модернизации. Расчёт ведётся по формуле (2) [18]:
Зисп = Зср ∙

Список литературы


1. Альтерман, А.Д. Современное программное и аппаратное обеспечение / А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 19 с.
2. Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс, 2015 - 312 с.
3. Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2018. - 400 c.
4. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2013. - 474 c.
5. Воронов А.А. Обеспечение системы управления рисками при возникновении угроз информационной безопасности / А.А. Воронов, И.Я. Львович, Ю.П. Преображенский, В.А. Воронов // Информация и безопасность. 2016. – 234 с.
6. Гафнер, В. В. Информационная безопасность / В.В. Гафнер. - М.: Феникс, 2010. - 336 c.
7. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Мето¬ды и средства обеспечения безопасности. Менеджмент риска информационной безопасности». М.: Стандартинформ, 2011
8. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». М.: Стандартинформ, 2008
9. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России;
10. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России;
11. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
12. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения;
13. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью;
14. ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности;
15. ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем;
16. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий;
17. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 5 декабря 2016 г. №646).
18. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 г. №149 - ФЗ // «Российская газета» от 29 июля 2006 г.
19. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
20. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
21. Постановление Правительства Российской Федерации от 15.09. 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
22. Постановление Правительства РФ от 8 февраля 2018 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
23. Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - М.: Форум, 2018. - 118 c.
24. Денисов Ю. Экономьте время и деньги. Часть 1. Построение локальной сети. // «Системный администратор», №7-8, 2011 г. - 74 с.
25. Дибров, М.В. Компьютерные сети и телекоммуникации. Маршрутизация в IP-сетях в 2-х частях. Часть 1. Учебник и практикум для СПО / М.В. Дибров. - М.: Юрайт, 2015. - 174 c.
26. Дибров, М.В. Компьютерные сети и телекоммуникации. Маршрутизация в IP-сетях в 2-х частях. Часть 2. Учебник и практикум для СПО / М.В. Дибров. - М.: Юрайт, 2017. - 229 c.
27. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.: ТИД Диа Софт, 2012;
28. Завгородний, И.В. Комплексная защита информации // Логос, 2011г. - 370с.
29. Исакова, А.И. Основы информационных технологий: учебное пособие /А.И. Исакова. – Томск: ТУСУР, 2016 – 206 с.
30. Кучинская Е., Рыжко А., Лобанова Н., Рыжко Н. Экономика информационных систем // 2-е изд., испр. и доп. Учебное пособие для бакалавриата и магистратуры, 2018г. - 168 с.
31. Лушников, Н.Д. Комплексная установка элементов системы безопасности предприятий / Н.Д. Лушников, А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 74 с.
32. Лушников, Н.Д. Современные технические средства борьбы с хакерскими атаками / Н.Д. Лушников, А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 80 с.
33. Львович И.Я. Применение методологического анализа в исследовании безопасности / И.Я. Львович, А.А. Воронов // Информация и безопасность. 2011. – 470с.
34. Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации // М.: Горячая линия - Телеком, 2013г.
35. Мищенко, Е.С. Организационные структуры управления (современное состояние и эволюция): учебное пособие / Е.С. Мищенко. – Тамбов: Изд-во ГОУ ВПО ТГТУ, 2018. – 104 с. – 450 экз.
36. Нойкин, С.А. Анализ и оценка внешней среды организации /С.А. Нойкин // Вестник Пензенского государственного университета. - 2017. - №3(11). - С. 44-49.
37. Семенов, Ю. А. Алгоритмы телекоммуникационных сетей. В 3 частях. Часть 2. Протоколы и алгоритмы маршрутизации в Internet / Ю.А. Семенов. - М.: Бином. Лаборатория знаний, Интернет-университет информационных технологий, 2019. - 832 c.
38. Степанов, Е.А. Информационная безопасность и защита информации. Учебное пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА-М, 2016. - 304 c.
39. Солдатов М.А., Анализ угроз информационной безопасности. Теория и практика экономики и предпринимательства / Солдатов М. А., Бойко Е. В. – М., 2016 – 272с.
40. Торокин А.А. Инженерно-техническая защита информации // М.: Гелиос АРВ, 2015г. - 958 с.
41. Труфанов А. И. Политика информационной безопасности как предмет исследования // Проблемы Земной цивилизации. - Вып. 9. - Иркутск: ИрГТУ, 2014 / library.istu.edu/civ/default.htm
42. Трофимова, Н.О. Анализ угроз информационной безопасности. Экономика и социум / Трофимова, Н. О., Фахрутдинова, И. Р // М., 2016 – 556с.
43. Хорев, А.А. Защита информации от утечки по техническим каналам. Технические каналы утечки информации: учеб. пособие //А. А. Хорев; Гостехкомиссия России, 2008г.- 320 с.
44. Хорев А. А. Способы и средства защиты информации: учеб. пособие // М.: МО РФ, 2010г.
45. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. - М.: Форум, Инфра-М, 2011. - 416 c.
46. Черников С.Ю. Использование системного анализа при управлении организациями / С.Ю. Черников, Р.В. Корольков // Моделирование, оптимизация и информационные технологии. 2014. – 350с.
47. Эпельфельд И.И., Сухотерин А.И. Рекомендации по внедрению защищенного документооборота на предприятии // Ресурсам области - эффективное использование / Сборник материалов XV Ежегодной научной конференции студентов Финансово-технологической академии. Часть 1. - Королёв: Финансово, 2017. - С. 175-183.
48. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М: Академический Проект, Парадигма, 2015. 544 с
49. Электронный ресурс. Научная электронная библиотека. http://www.elibrary.ru
50. Электронный ресурс. Национальный открытый Универсистет НОУ «ИНТУИТ». http://www.intuit.ru/
Очень похожие работы
Найти ещё больше
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.00373
© Рефератбанк, 2002 - 2024