Введение 4
1. Аналитическая часть 7
1.1. Технико-экономическая характеристика предметной области и предприятия 7
1.1.1. Общие характеристики предметной области 7
1.1.2. Организационно-функциональная структура предприятия 9
1.2. Анализ рисков информационной безопасности 10
1.2.1 Идентификация и оценка информационных активов. 10
1.2.2. Оценка уязвимостей активов. 16
1.2.3. Оценка угроз активам. 18
1.2.4. Оценка существующих и планируемых средств защиты. 20
1.2.5. Оценка рисков. 25
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 2900
1.3.1. Выбор комплекса задач обеспечения информационной безопасности. 29
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 29
1.4. Выбор защитных мер 31
1.4.1. Выбор организационных мер. 31
1.4.2. Выбор инженерно-технических мер. 33
2. Проектная часть 36
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 36
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 36
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 42
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 47
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия. 47
2.2.2. Контрольный пример реализации проекта и его описание. 47
3. Обоснование экономической эффективности проекта 55
3.1 Выбор и обоснование методики расчёта экономической эффективности 55
3.2 Расчёт показателей экономической эффективности проекта 58
Заключение 65
Список использованной литературы 70
Основная задача транспортной логистики — перемещение требуемого количества товара в нужную точку оптимальным маршрутом за требуемое время, с требуемым уровнем сервиса и с наименьшими издержками.
Осуществление перевозок достаточно сложный процесс, в организации которого принимают участие компании, оказывающие услуги в области транспортировки.
Организация единой интегрированной логистической системы для всех участников перевозок позволит согласовать действия всех звеньев транспортно-распределительной цепи любой перевозки, обеспечить жесткий контроль за грузовыми потоками, упростить процедуры оформления таможенных, перевозочных и других документов.
В связи с массовой информатизацией современного общества все большую актуальность приобретает знание нравственно-этических норм и правовых основ использования средств новых информационных технологий в повседневной практической деятельности. Наглядными примерами, иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности, являются участившиеся сообщения о компьютерных «взломах» банков, росте компьютерного пиратства, распространении компьютерных вирусов.
Число компьютерных преступлений растет, также увеличиваются масштабы компьютерных злоупотреблений. Умышленные компьютерные преступления составляют заметную часть преступлений, но злоупотреблений компьютерами и ошибок еще больше.
Основной причиной потерь, связанных с компьютерами, является недостаточная образованность в области безопасности.
Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.
Цель информационной безопасности - обезопасить ценности системы, защитить и гарантировать точность и целостность информации и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.
На практике важнейшими являются три аспекта информационной безопасности:
• доступность (возможность за разумное время получить требуемую информационную услугу);
• целостность (ее защищенность от разрушения и несанкционированного изменения);
• конфиденциальность (защита от несанкционированного прочтения).
Цель данной работы – организация безопасного обмена данными центрального офиса OOO «Ланкс» с филиалами - компания транспортной логистики.
Задачи проекта:
• охарактеризовать и проанализировать деятельность предприятия;
• определить и проанализировать риски информационной безопасности;
• охарактеризовать комплекс задач;
• выбрать защитные меры;
• рассмотреть комплекс организационных мер обеспечения безопасности;
• рассмотреть комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности;
• рассчитать показатели экономической эффективности проекта.
В первой части – описывается компания ООО «Ланкс», рассматривается организационно-функциональную структурная компании, провести анализ рисков ИБ, охарактеризовать и обосновать комплекс задач и задачи ИБ, выбрать организационные и инженерно-технические меры обеспечения ИБ.
Во второй части – определить организационно-административные основы создания системы обеспечения ИБ, определить структуру программно-аппаратного комплекса информационной безопасности и рассмотреть контрольный пример реализации выбранных мер.
В третьей части – экономической, рассматриваются теория расчёта экономической эффективности. По результатам расчётов экономической эффективности производится анализ эффективности и выгоды системы ИБ.
Основная задача транспортной логистики - перемещение требуемого количества товара в нужную точку оптимальным маршрутом за требуемое время, с требуемым уровнем сервиса и с наименьшими издержками.
Основной причиной потерь, связанных с компьютерами, является недостаточная образованность в области безопасности.
Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.
Цель данной работы - организация безопасного обмена данными центрального офиса OOO «Ланкс» с филиалами - компания транспортной логистики.
ООО «Ланкс» - транспортно-экспедиционная компания, работающая на Российском рынке с 1998 года, оказывает широкий спектр услуг по доставке грузов. В 2004 был открыт филиал в Санкт-Петербурге. В 2006 открываются филиалы в Поволжье (Волгоград, Саратов). В 2007 году был освоен юг России (Ростов-на-Дону и Краснодар). В 2008 году был покорен Екатеринбург. Сейчас у компании 18 филиалов по всей России (в т. ч. Москва, Воронеж, Самара, Оренбург и т.д.).
Приоритетные направления деятельности компании:
• курьерская и Домашняя доставка;
• грузовая перевозка для организаций и частных лиц;
• сборный груз;
• сопутствующие услуги.
В составе компании ООО «Ланкс» находятся 8 отделов:
• Бухгалтерия – отвечает за финансовые операции компании и регулирует финансовые отношения.
• Кадровая служба – работа с персоналом.
• Отдел маркетинга – отвечает за рекламу и планирование развития компании.
• Отдел сопровождения – работники отдела занимаются сопровождением грузов при перевозках, отвечают за сохранность груза.
• Отдел логистики – в обязанностях специалистов отдела входит общение с клиентами и распределение работ.
• Транспортный отдел – управление и обслуживание транспортных средств компании.
• Склад – осуществляет хранение грузов.
• IT-служба – обеспечение работы информационной структуры предприятия, ИБ.
Бизнес-процессы компании ООО «Ланкс»:
• маркетинг;
• работа с клиентами и распределение работ;
• сопровождение и транспортировка;
• работа с персоналом;
• финансовые операции.
Информационные активы компании:
• персональные данные служащих;
• персональные данные клиентов;
• данные заказа и маршруты;
• КИС;
• сервера баз-данных;
• ПК.
Определены уязвимости:
• нестабильная работа электросети;
• недостаточное обслуживание/неправильная инсталляция запоминающих сред;
• неконтролируемая загрузка и использование программного обеспечения;
• плохое управление паролями;
• незащищенные линии связи;
• незащищенные потоки конфиденциальной информации;
• бесконтрольное копирование;
• недостаточная подготовка персонала по вопросам обеспечения безопасности;
• отсутствие политики правильного пользования телекоммуникационными системами для обмена сообщениями;
• отказ системы вследствие отказа одного из элементов.
Определены угрозы:
• угроза перехвата информации;
• угроза использования сетевых средств несанкционированным способом;
• угроза хищения;
• угроза подмены информации;
• угроза нелегального проникновения злоумышленников под видом законныхпользователей;
• угроза столкновения с вредоносным программным обеспечением;
• угроза возникновения ошибки при обслуживании;
• угроза сбоев;
• угроза аппаратных отказов.
Была проведена оценка рисков.
Был определён комплексом задач является - обеспечение безопасности связи с филиалами.
Для решения поставленного комплекса задач требуется:
• защитить связь с главным сервером с ПК главного офиса и филиалов;
• защитить сеть предприятия от проникновения из сети интернет.
Для ООО «Ланкс» разработаны следующие нормативные документы и инструкции по информационной безопасности:
Инструкции:
• Инструкция по внесению изменений в списки пользователей.
• Инструкция о порядке действий в нештатных ситуациях.
• Инструкция по обеспечению работоспособности ЛВС организации.
• Инструкция по организации антивирусной защиты.
• Инструкция по организации парольной защиты.
• Инструкция по регламентации работы администратора безопасности.
• Инструкция пользователю АС.
• Модель нарушителя.
• Обязанности администратора ИБ.
• Инструкция по безопасности оборудования.
• Пример правил работы и инструкций.
Нормативная документация:
• Политика информационной безопасности ООО «Ланкс».
Требуется:
• организовать VPN-туннель для связи с филиалами;
• установить фаервол, который позволить защитить информационную сеть предприятия ООО «Ланкс» от проникновений из вне;
• обеспечить шифрование конфиденциальных данных.
Были разграничены права пользователей.
Для обеспечения требуемого функционала комплекс защиты информации включает в себя следующее:
• антивирусное программное обеспечение на серверах и рабочих станциях компании;
• межсетевой экран;
• программный комплекс шифрования данных, установленный на сервер баз данных и почтовый сервер;
• vpn-сервер.
Для реализации используется:
• GFI MailSecurity 2011 серверное решение для защиты почты.
• Система Zserver - средство защиты конфиденциальной информации, хранимой и обрабатываемой на корпоративных серверах, методом шифрования данных на диске.
• Kaspersky Enterprise Space Security представляет собой защиту мирового класса от вредоносных программ.
• Cisco Pix 535 Firewall - межсетевой экран.
• DELL PowerEdge T710 с установленной ОС MS Windows Server 2008 - VPN сервер.
Проведенные расчеты показали, что экономическая эффективность внедрения проекта составила 4,9 руб., т.е. 1 рубль, потраченный на защиту информации, позволяет ООО «Ланкс» сохранить практически 5 рублей.
Таким образов экономическая эффективность от внедрения проекта организации обмена данными снижает ущерб компании от информационных угроз в 5 раза. И позволяет сохранить 1193500 руб.