Разработка специализированной политики информационной безопасности ИБ ООО "Крисби".

Разработка специализированной политики информационной безопасности ИБ ООО "Крисби".

Тип работы: 
Диплом
Предмет: Безопасность базы данных
Год выполнения: 
2011
Объем: 
96
Цена: 
6 000руб.
№ работы: 1104
Дополнительная информация: 
С презентацией, раздаточным материалом.

ВВЕДЕНИЕ 5
1. Аналитическая часть 8
1.1. Технико-экономическая характеристика предметной области и предприятия. Анализ деятельности «КАК ЕСТЬ». 8
1.1.1. Характеристика предприятия и его деятельности. 8
1.1.2. Организационно-функциональная структура предприятия. 10
1.1.3. Существующая организационная, программно-аппаратная и инженерно-техническая архитектура системы обеспечения информационной безопасности и защиты информации предприятия. 12
1.2. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. 15
1.2.1. Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих угроз, характеристика существующих средств информационной безопасности и защиты информации. 15
1.2.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 21
1.2.3. Анализ целесообразности автоматизации системы обеспечения информационной безопасности и защиты информации предприятия. 26
1.3. Анализ существующих технологий и выбор стратегии развития информационной безопасности и защиты информации предприятия «КАК ДОЛЖНО БЫТЬ». 32
1.3.1. Анализ существующих технологий для решения задачи обеспечения информационной безопасности и защиты информации. 32
1.3.2. Обоснование внедрения существующих технологий с учетом стратегии развития информационной безопасности и защиты информации предприятия. 34
1.3.3. Обоснование предлагаемых средств автоматизации системы обеспечения информационной безопасности и защиты информации предприятия. 36
2. Проектная часть 40
2.1. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности и защиты информации предприятия. 40
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 40
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 46
2.1.3. Обоснование выбранной политики информационной безопасности предприятия. 51
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 58
2.2.1. Общие положения. 58
2.2.2 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия. 60
2.2.3. Контрольный пример реализации проекта и его описание. 62
2.3. Комплекс проектируемых инженерно-технических средств обеспечения информационной безопасности и защиты информации предприятия. 71
2.3.1. Общие положения. 71
2.3.2 Структура инженерно-технического комплекса информационной безопасности и защиты информации предприятия. 74
2.3.3. Контрольный пример реализации проекта и его описание. 75
3. Обоснование экономической эффективности проекта 82
3.1. Выбор и обоснование методики расчёта экономической эффективности 82
3.2. Расчёт показателей экономической эффективности проекта 82
Заключение 91
Список используемой литературы 95

Любое государственное и коммерческое предприятие заинтересовано в сохранении информации, которая может ему навредить, если попадёт в руки злоумышленников или будет уничтожена. Для государственных учреждений такая информация носит гриф «Секретно», для коммерческих предприятий – «Коммерческая тайна» или «Ценная информация».
Угрозы конфиденциальности направлены на разглашение секретной информации, т. е. информация становится известной лицу, которое не должно иметь к ней доступ. Иногда для обозначения этого явления используется понятие «несанкционированный доступ» (НСД). Традиционно противостоянию угрозам этого типа уделялось максимальное внимание, и фактически подавляющее большинство исследований и разработок было сосредоточено именно в этой области, так как она непосредственно относится к задаче охраны государственных и военных секретов.
Угрозы целостности представляют собой любое искажение или изменение неуполномоченным на это действие лицом хранящейся в вычислительной системе или передаваемой информации. Целостность информации может быть нарушена как злоумышленником, так и в результате объективных воздействий со стороны среды эксплуатации системы. Наиболее актуальна эта угроза для систем передачи информации — компьютерных сетей и систем телекоммуникаций.
Под угрозой безопасности вычислительной системы понимаются воздействия на систему, которые прямо или косвенно могут нанести ущерб ее безопасности. Разработчики требований безопасности и средств защиты выделяют три вида угроз: угрозы нарушения конфиденциальности обрабатываемой информации, угрозы нарушения целостности обрабатываемой информации и угрозы нарушения работоспособности системы (отказа в обслуживании).
Когда возникает необходимость обеспечить информационную безопасность компании, руководство, как правило, обращается к системным интеграторам. Они проводят комплексный анализ и разрабатывают проект по защите информации. В конечном счёте всё это оборачивается приобретением дорогостоящих программных и аппаратных средств, таких как Cisco PIX, Checkpoint, Microsoft ISA. Такие большие комплексные проекты стоят более 15 тыс. долл., требуют постоянного сопровождения и целесообразны только для крупных предприятий.
К сожалению, сложные сетевые технологии достаточно уязвимы для целенаправленных атак. Причем такие атаки могут производиться удаленно, в том числе и из-за пределов национальных границ. Все это ставит новые проблемы перед разработчиками и строителями информационной инфраструктуры. Некоторые современные формы бизнеса полностью базируются на сетевых технологиях (электронная торговля, IP-телефония, сетевое провайдерство и т.д.) и по этой причине особенно уязвимы. Потребуется здесь и международное сотрудничество в сфере законодательства и установления барьеров для сетевых террористов. Не исключено, что придется со временем модифицировать с учетом требований безопасности некоторые протоколы и программы.
Безопасность представляет собой комплексное понятие, куда входят технические аспекты надежности оборудования, качество питающей сети, уязвимость программного обеспечения и т.д. Можно отключить сеть от Интернет, установить систему RAID для обеспечения дисковой защиты, снабдить систему надежным UPS, но в случае, например, пожара возможно потерять базу данных, которую создавали несколько лет. Проектируя сеть, надо с самого начала учитывать все возможные угрозы, как объективные, так и субъективные.
Одна из проблем, связанных с критериями оценки безопасности систем, заключалась в недостаточном понимании механизмов работы в сети. При объединении компьютеров к старым проблемам безопасности добавляются новые. Да, мы имеем средства связи, но при этом локальных сетей гораздо больше, чем глобальных. Скорости передачи стали выше, появилось множество линий общего пользования. Шифровальные блоки иногда отказываются работать. Существует излучение от проводки, проходящей по всему зданию. И, наконец, появились многочисленные пользователи, имеющие доступ к системам.
Объектом исследования является торговая компания ООО «Крисби».
Предмет исследования – политика информационной безопасности.
Целью дипломной работы является разработка специальной политики информационной безопасности на предпрятии ООО «Крисби».
Для достижения указанной цели необходимо выполнить ряд задач:
? выявление возможных источников угроз объектов атаки в локальной сети вуза;
? проектирование политики безопасности корпоративной сети;
? разработка комплекса мероприятий по защите информации в сети;
? анализ эффективности реализации политики безопасности в сети предприятия.

Безопасность представляет собой комплексное понятие, куда входят технические аспекты надежности оборудования, качество питающей сети, уязвимость программного обеспечения и т.д. Проектируя сеть, надо с самого начала учитывать все возможные угрозы, как объективные, так и субъективные. Комплексное решение по организации информационной безопасности невозможно без разработки и внедрения политики безопасности предприятия. Целью дипломной работы является разработка специальной политики информационной безопасности на предпрятии ООО «Крисби».
ООО «Крисби» было организованно в 1995 году. На данный момент ООО «Крисби» развилось в крупную торговую сеть. Компания предлагает широкий ассортимент мобильных телефонов, портативных аудио и видео устройств, а также аксессуаров для них.
Компания имела слабозащищённую информационную структуру и была подвержена многим видам угроз. Угрозами могут являться ошибочные действия сотрудников компании, кража информации удалённо, вредоносные программы – рабочие места сотрудников компании имеют выход в интернет. А также, кража информации внутри компании. Потеря информации в результате чрезвычайного происшествия (пожар например).
ИС предприятия ООО «Крисби» имеет следующие источники информации:
? сотрудники, отвечающие за связь с поставщиками;
? сотрудники касс;
? сотрудники бухгалтерии;
? интернет.
Разработка ПБ – длительный и трудоемкий процесс, содержащий следующие этапы:
1. Первоначальный аудит безопасности.
2. Разработка.
3. Внедрение.
4. Аудит и контроль.
5. Пересмотр и корректировка.
Для ООО Крисби разработаны следующие нормативные документы и инструкции по информационной безопасности:
Инструкции:
? Инструкция по внесению изменений в списки пользователей.
? Инструкция о порядке действий в нештатных ситуациях.
? Инструкция по обеспечению работоспособности ЛВС организации.
? Инструкция по организации антивирусной защиты.
? Инструкция по организации парольной защиты.
? Инструкция по регламентации работы администратора безопасности.
? Инструкция пользователю АС.
? Модель нарушителя.
? Обязанности администратора ИБ.
? Инструкция по безопасности оборудования.
? Пример правил работы и инструкций.
Нормативная документация:
? Политика информационной безопасности ООО Крисби.
Согласно политике информационной безопасности компании ООО «Крисби» информация компании делится на следующие категории:
? первая категория - база данных компании, расположенная на файловом сервере компании;
? вторая категория - почта компании, расположенная на почтовом сервере;
? третья категория - информация, хранящаяся на рабочих станциях сотрудников;
? четвёртая категория - информация, хранящаяся на веб-сервере компании.

Программно-аппаратный комплекс защиты информации выполняет следующие функции:
? защита информации от вирусов и других вредоносных программ;
? обеспечение безопасности ЛВС;
? защита шифрованием информации относящейся к первой и второй категориям;
? мониторинг и логирование;
? организация безопасного удалённого доступа для сотрудников, работающих вне офиса;
? организация защиты информации относящейся к первой и второй категориям от копирования и перемещения на съёмные носители;
? организация авторизации пользователей;
? резервное копирование информации относящейся к первой и второй категориям и четвёртой категориям.
Для реализации используется:
? GFI EndPointSecurity 4.3 - управление съёмными носителями для отдельных пользователей или групп пользователей.
? GFI MailSecurity 2011 серверное решение для защиты почты.
? GFI NetworkServerMonitor 7 сканирует и обнаруживает неполадки в сети.
? GFI Backup - инструмент, предназначенный для резервного копирования и восстановления важных данных, с функцией синхронизации любых файлов, веб, серверов.
? Система Zserver — средство защиты конфиденциальной информации, хранимой и обрабатываемой на корпоративных серверах, методом шифрования данных на диске.
? Kaspersky Enterprise Space Security представляет собой защиту мирового класса от вредоносных программ.
? Cisco Pix 535 Firewall - межсетевой экран.
? DELL PowerEdge T710 с установленной ОС MS Windows Server 2008 - VPN сервер.
В политике безопасности ООО «Крисби» содержится разграничение на зоны: зона тщательного контроля и слабозащищённая зона. Зона тщательного контроля: серверная; комната сетевого оборудования. Слабозащищённая зона: кабинеты пользователей; комната оргтехники.
В тщательно контролируемую зону разрешён вход: системному и сетевому администратору; специалисту по ИБ. В слабозащещённые зоны разрешён вход всем сотрудникам компании.
Для обеспечения контроля доступа в компании ООО «Крисби» используются следующие средства:
? Считыватель MF-Reader (формат Mifare).
? Proximity карта Clamshell Card Unique.
? Контроллер системы контроля доступа (СКУД) ADEMANT-500-F.
Проведенные расчеты показали, что экономическая эффективность внедрения политики безопавности составила 3, 8 руб., т.е. 1 рубль, потраченный на защиту информации, позволяет ООО «Крисби» сохзхранить практически 4 рубля.
Таким образов экономическая эффективность от внедрения политики безопасности снижает ущерб компании от информационных угроз в 4 раза. И позволяет сохранить 1102800 руб.

Разработка специализированной политики информационной безопасности ИБ ООО "Крисби".
+7

Вертикальные вкладки