Идентификация и оценка информационных активов. Оценка уязвимостей активов, угроз активам, существующих и планируемых средств защиты. Выбор комплекса задач обеспечения информационной безопасности. Разработка комплекса мер по обеспечению защиты информации.
При низкой оригинальности работы "Разработка проекта комплексной системы защиты информации на предприятии ООО "Рапидо"", Вы можете повысить уникальность этой работы до 80-100%
1.2 Анализ рисков информационной безопасности 1.3 Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 2.1.1 Нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятияИнформация становится стратегическим ресурсом, товаром, владение которым приносит немалую прибыль. Информация обладает некоторыми стоимостными характеристиками и потребительскими свойствами. В связи с этим особо актуальной становится проблема защиты информации. Однако, случайные угрозы возникают не так уж часто, и современные программные и технические средства защищают информацию от случайных сбоев и ошибок. Перечень таких угроз с каждым днем растет, поэтому для их предотвращения необходимо совершенствовать средства обнаружения угроз и защиты информации.Внедрение системы информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности. Этапы построения политики безопасности - это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, а также определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим определенную степень ценности. Правовые меры обеспечения сохранности коммерческой тайны являются первоочередными, т.к. они призваны обеспечить эффективное функционирование остальных мер обеспечения конфиденциальности информации. Все документы должны пройти согласование с юридической службой предприятия, утверждены руководством и введены в действие приказомпо предприятию. При этом необходимо также учитывать, что документы должны соответствовать законам и другим правовым документам РФ в этой области, так как на работников накладываются определенные ограничения и ответственность, вплоть до уголовной, за нарушения правил работы с коммерческой тайной.Целью настоящего Положения является защита законных прав и интересов ООО «Рапидо» (далее - Общество) как субъекта предпринимательской деятельности, а также организация мероприятий по недопущению распространения среди третьих лиц информации, составляющей коммерческую тайну Общества. Настоящее Положение о коммерческой тайне и режиме ее обеспечения (далее - «Положение») разработано и принято в соответствии со ст.Под информацией, составляющей коммерческую тайну, понимается научно-техническая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании, и в отношении которой Обществом введен режим коммерческой тайны. Обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.3.1.30. сведения о размерах, расположении, техническом состоянии движимого и недвижимого имущества, находящегося в собственности, аренде, владении, доверительном управлении, коммерческой или технической эксплуатации, временном пользовании Общества или иным образом принадлежащего Обществу либо переданного Обществом другим организациям в аренду/субаренду, временное пользование, владение, доверительное управление, коммерческую или техническую эксплуатацию или иным образом, а также какие-либо сведения об арендаторах, субарендаторах и иных организациях, занимающих, использующих или эксплуатирующих указанное имущество, в том числе о тех организациях, которым соответствующие помещения предоставлены исключительно в качестве юридического адреса; 3.1.31. сведения о переговорах и коммерческой корреспонденции (деловой переписке), ведущихся Обществом со страховыми организациями на предмет страхования Обществом имущества, строительно-монтажных работ, доходов от предпринимательской деятельности, иных видов страхования, о заключении Обществом договоров и соглашений со страховыми организациями, о страховых суммах и ставках страховых премий по этим договорам, а также о каких-либо выплатах страховых премий или страхового возмещения по этим договорам; 3.1.33. сведения о целях, задачах, тактике переговоров с деловыми партнерами Общества; о подготовке и результатах проведения переговоров с деловыми партнерами Общества; обо всех переговорах и коммерческой корреспонденции (деловой переписке), ведущихся Обществом на предмет заключения договоров (контрактов) касательно реализации товаров, работ и услуг, аренды, пользования имуществом, привлечения инвестиций в форме денежных и иных материальных средств, созд
План
Оглавление
Введение
1. Аналитическая часть
1.1 Технико-экономическая характеристика предметной области и предприятия
Введение
С каждым днем повышается роль информации в современном обществе. Информация становится стратегическим ресурсом, товаром, владение которым приносит немалую прибыль. Информация обладает некоторыми стоимостными характеристиками и потребительскими свойствами. В связи с этим особо актуальной становится проблема защиты информации.
С любым информационным объектом могут быть связаны определенные угрозы. При этом угрозы могут быть как случайными, так и преднамеренными. Так, служащий организации может случайно удалить важную информацию в базе, испортить носитель данных, допустить ошибки при вводе или передаче информации. Однако, случайные угрозы возникают не так уж часто, и современные программные и технические средства защищают информацию от случайных сбоев и ошибок.
Более опасными являются преднамеренные угрозы информационной безопасности, в ходе которых нарушается целостность, достоверность или конфиденциальность информации. Перечень таких угроз с каждым днем растет, поэтому для их предотвращения необходимо совершенствовать средства обнаружения угроз и защиты информации.
Арсенал и изощренность таких угроз неуклонно расширяются, поэтому для их нейтрализации необходимо предугадать не только возможные цели злоумышленника, но и его квалификацию и техническую оснащенность.
Однако, при организации системы защиты информации важно не ждать, когда угрозы проявятся, а уметь спрогнозировать их и провести профилактику. Для этого в организации должна быть разработана политика информационной безопасности, которая предусматривает возникновение угроз различным носителям и каналам информации, а также предлагает меры для их предотвращения и устранения.
Для реализации политики информационной безопасности используются различные средства, методы и мероприятия. К их числу относятся, в частности, правовые нормы, организационные мероприятия, инженерно-технические и программно-аппаратные средства, методы криптографии.
На информационную безопасность организации влияет множество факторов. В связи с этим эффективное решение проблемы информационной безопасности в организации будет возможным только благодаря комплексным и систематическим мерам.
В настоящее время, вопросам информационной безопасности уделяется достаточно много внимания. В связи с этим ведутся многочисленные исследования, разрабатываются алгоритмы защиты информации, появляются новые технические и программные средства защиты информации.
На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее, она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.
Целью дипломной работы является разработка проекта комплексной системы защиты информации на предприятии ООО «Рапидо». Для достижения поставленной цели сформулированы следующие задачи: - изучение предметной области и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации, определяющих необходимость разработки проекта;
- разработка постановки задачи проектирования;
- обоснование выбора основных проектных решений;
- разработка всех видов обеспечивающих подсистем;
- обоснование экономической эффективности проекта.
Предметом нашей дипломной работы является комплексная система защиты информации, а объектом - информационная система ООО «Рапидо».
При написании работы применялись такие методы, как анализ литературных источников, методы системного анализа, методы функционального моделирования, экономические и математические методы.
Предложенная в дипломной работе политика защиты информационных ресурсов может быть внедрена в ООО «Рапидо», что определяет практическую значимость работы.
Вывод
Внедрение системы информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности. Этапы построения политики безопасности - это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, а также определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим определенную степень ценности.
Правовые меры обеспечения сохранности коммерческой тайны являются первоочередными, т.к. они призваны обеспечить эффективное функционирование остальных мер обеспечения конфиденциальности информации. С этой точки зрения правовые меры являются первичными по отношению к остальным мерам.
Все документы должны пройти согласование с юридической службой предприятия, утверждены руководством и введены в действие приказомпо предприятию. При этом необходимо также учитывать, что документы должны соответствовать законам и другим правовым документам РФ в этой области, так как на работников накладываются определенные ограничения и ответственность, вплоть до уголовной, за нарушения правил работы с коммерческой тайной.
На предприятии предлагается внедрить программный комплекс КУБ. Использование системы КУБ позволяет комплексно решить все задачи, связанные с управлением доступом и учетными данными пользователей. При этом роль КУБ заключается в формировании и согласовании заявок на доступ, а также реализации и контроле доступа. Именно эти задачи являются ключевыми для комплексного управления доступом.
По результатам анализа объекта защиты и обзора технических средств разработаны проект модернизации существующей системы видеонаблюдения. Модернизированная система обеспечивает надежную защиту объекта от несанкционированного проникновения и полностью отвечает требованиям банка в сфере видеонаблюдения. При выборе технических средств особое внимание уделялось их функциональным характеристикам и технической совместимости устройств друг с другом. Разработанная система полностью отвечает требованиям технического задания и готова к внедрению на данном объекте.
Таким образом, в дипломной работе были предложены меры по защите информации, которые позволят избежать рисков и потерь. Затраты на реализацию мер составляют 1 455 000 рублей. Разработанная система принятия мер по обеспечению информационной безопасности оправдает себя через 5 лет.
Список литературы
1. Искусство управления информационными рисками. [Электронный ресурс] - Режим доступа: 2. Анализ рисков в управлении информационной безопасностью. [Электронный ресурс] - Режим доступа: 3. Гражданский кодекс РФ. [Электронный ресурс] - Режим доступа: 4. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. [Электронный ресурс] - Режим доступа: 5. Функции Сервера 1С. [Электронный ресурс] - Режим доступа: .
6. Система «Ареал CRM». [Электронный ресурс] - Режим доступа: http://www.arealcrm.ru/features#part1
7. Система «CRM клиенты и продажи». [Электронный ресурс] - Режим доступа: 8. 1С: Предприятие 8. Управление торговлей и взаимоотношениями с клиентами (CRM). [Электронный ресурс] - Режим доступа: 9. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности. Основные термины и определения. [Электронный ресурс] - Режим доступа: 10. Кустов Г.А. Управление информационными рисками организации на основе логико-вероятностного метода: автореф. дис. канд. тех. наук. - Уфа, 2008. - 18 с.
11. Симонов С. Технологии и инструментарий для управления рисками // Jet Info. - 2003. - № 2 (117). - С. 3-32.
12. Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002).
13. Информационная безопасность (2-я книга социально-политического проекта "Актуальные проблемы безопасности социума"). М.: "Оружие и технологии", 2009.
14. Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006).
15. Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799-2005).
16. Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 - 2006).
17. Рекомендации по стандартизации "Информационные технологии. Основные термины и определения в области технической защиты информации" (Р 50.1.053-2005).
18. Рекомендации по стандартизации "Техническая защита информации. Основные термины и определения" (Р 50.1.056-2005).
19. Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи
20. Бачило И.Л. Информационное право: основы практической информатики. Учебное пособие. М.: 2001.
21. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. - М.: ПЕР СЭ-Пресс, 2005.
22. Доктрина информационной безопасности Российской Федерации / Чернов А.А. Становление глобального информационного общества: проблемы и перспективы. Приложение 2. М.: "Дашков и К", 2003.
23. Домарев В. В. Безопасность информационных технологий. Системный подход - К.: ООО ТИД Диа Софт, 2004. - 992 с.
