Введение 5
I. Аналитическая часть 7
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения). 7
1.1.1. Общая характеристика предметной области. 7
1.1.2. Организационно-функциональная структура предприятия. 11
1.2. Анализ рисков информационной безопасности 15
1.2.1 Идентификация и оценка информационных активов. 17
1.2.2. Оценка уязвимостей активов. 32
1.2.3. Оценка угроз активам. 32
1.2.4. Оценка существующих и планируемых средств защиты. 43
1.2.5. Оценка рисков. 53
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 59
1.3.1. Выбор комплекса задач обеспечения информационной безопасности. 59
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 64
1.4. Выбор защитных мер 69
1.4.1. Выбор организационных мер. 69
1.4.2. Выбор инженерно-технических мер. 76
II Проектная часть 83
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 83
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 83
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 85
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 90
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия. 90
2.2.2. Контрольный пример реализации проекта и его описание. 97
III Обоснование экономической эффективности проекта 102
3.1 Выбор и обоснование методики расчёта экономической эффективности 102
3.2 Расчёт показателей экономической эффективности проекта 103
Заключение 115
Список литературы 117
Приложение 1.РЕГЛАМЕНТ использования средств криптографической защиты информации в при обмене информацией по телекоммуникационным каналам связи с веб-сайтом организации с использованием электронной цифровой подписи 120
Приложение 2. Должностной регламент специалиста по обеспечению безопасности персональных данных 128
В настоящее время многие торговые компании для повышения конкурентоспособности, удешевления услуг населению, улучшения их качества, с целью повышения экономических показателей деятельности используют информационные системы для автоматизации всех бизнес-процессов.
Быстрый рост глобальной сети Интернет и стремительное развитие информационных технологий привели к формированию такой информационной среды, которая облегчает распространение информации, повышает эффективность производственных процессов, способствует расширению деловых отношений.
Деятельность любой организации обеспечивается целой структурой вычислительных средств. Компьютеры, локальные сети, копировальные устройства, внутренняя телефонная сеть – все это обеспечивает жизнеспособность подразделений организации.
Организации при решении своих прикладных задач выполняют различные действия, связанные с информацией. Информация может использоваться в организации, если удовлетворяет следующим требованиям: конфиденциальность, целостность, оперативность использования (доступность) и достоверность. Часть информации обращающейся в фирме представляет собой конфиденциальную информацию, чаще она отражает коммерческую тайну.
В настоящее время информация является не абстрактным понятием, а вполне материальным, которое имеет свою цену. Поэтому удобное и безопасное хранение информации, безопасный обмен информацией, быстрая обработка огромных массивов данных – все это необходимые условия ведения любого бизнеса. Чем лучше защищена информация, тем меньше вероятность ущерба для организации в случае ее утечки и потери, несанкционированных и непреднамеренных действий.
Эффективность защиты информации растет вместе со сложностью архитектуры хранения данных и чтобы в один прекрасный момент все это не исчезло по причине сбоя оборудования, нерадивости системного администратора, или, что еще хуже - благодаря действиям злоумышленников, необходимо разработать эффективную и экономически выгодную систему безопасности информационных систем организации и безопасный обмен данными между структурными подразделениями организации. Это позволит: защитить удаленный доступ к информации; защитить персональные данные.
Объектом исследования является ООО ««Sermax group».
Предметом исследования является инженерно-техническая защита информационных ресурсов организации.
Целью дипломного проекта является организация безопасного обмена данными с базой веб-сайта.
В соответствии с целью были поставлены основные задачи дипломной работы:
дать технико-экономическую характеристику предметной области;
выполнить идентификацию активов предприятия;
рассмотреть аппаратно-программную и нормативно-правовую базу организации защиты информации на предприятии, выявить недостатки в существующей системе обеспечения информационной безопасности и защите информации;
провести оценку рисков;
разработать и внедрить комплекс практических предложений и мероприятий по обеспечению информационной безопасности и защите информации при обмене с базой данных веб-сайта для ООО «Sermax group» разработку всех видов обеспечивающих подсистем;
обосновать экономическую эффективность проекта.
Теоретической и методологической основой проведенного исследования послужили труды отечественных и зарубежных ученых в области безопасности информационных систем. В работе использованы законодательные акты и нормативные документы Российской Федерации.
Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:
- необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;
- необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
- необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).
В ходе дипломного проектирования был разработан механизм защищенной передачи данных с веб-сайта компании в центральный офис, посредством взаимодействия системы 1С Предприятие, разработанного для даннйо системы модуля и средств веб-сайта, передача данных защищена специальными средствами криптографирования и шифрования, для обеспечения безопасности во время передачи данных.
Так же разработан должностной регламент специалиста по обеспечению безопасности передачи персональных данных.
Для регламентации деятельности по криптографической защите и шифрованию был разработан регламентирующий документ.
Также в ходе дипломного проектирования была предложена программно-аппаратная и инженерно-техническая реализация обеспечения безопасности информационных систем на предприятии.
Средства программно-аппаратной реализации:
- Antiviral Toolkit Pro;
- Doctor WEB;
- Aidstest;
- Integrity Anti-Spyware;
- корпоративные продукты Safe’n’Sec;
- программное средство DeviceLock;
- Outpost Security Suite/Firewall 7.0.4 (3403.520.1244);
- BestCrypt для криптографической защиты информации;
- Online Security Audit.
Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях.
Инженерно-техническая защита — это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.
Инженерно-техническая защита использует следующие средства:
- физические средства;
- аппаратные средства;
- программные средства;
- криптографические средства.
Физические средства включают в себя различные инженерные средства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и защищающие персонал (личные средства безопасности), материальные средства и финансы, информацию от противоправных действий.
Средства инженерно-технической реализации:
- охранная сигнализация и охранное телевидение;
- пожарная сигнализация;
- резервное копирование данных.
Расчет экономической эффективности внедрения системы информационной безопасности в ООО «Sermax group» обосновал необходимость внедрения. По итогам расчета чистая прибыль после внедрения проекта в деятельность компании составит 1861387,3 в первый год после внедрения.