КАЛЕНДАРНЫЙ ПЛАН 2
Введение 5
I. Аналитическая часть 7
1.1. Технико-экономическая характеристика предметной области и предприятия. 7
1.1.1. Общая характеристика предметной области. 7
1.1.2. Организационно-функциональная структура предприятия. 9
1.2. Анализ рисков информационной безопасности 14
1.2.1 Идентификация и оценка информационных активов. 16
1.2.2. Оценка уязвимостей активов. 35
1.2.3. Оценка угроз активам. 43
1.2.4. Оценка существующих и планируемых средств защиты. 52
1.2.5. Оценка рисков. 63
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 71
1.3.1. Выбор комплекса задач обеспечения информационной безопасности. 71
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 73
1.4. Выбор защитных мер 76
1.4.1. Выбор организационных мер. 76
1.4.2. Выбор инженерно-технических мер. 82
II Проектная часть 89
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 89
2.1.1. Отечественная и международная нормативно-правовая основа создания 89
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 95
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 102
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия. 102
2.2.2. Контрольный пример реализации проекта и его описание 103
III Обоснование экономической эффективности проекта 116
3.1 Выбор и обоснование методики расчёта экономической эффективности 116
3.2 Расчёт показателей экономической эффективности проекта 120
Заключение 125
Список использованной литературы 127
Приложение 1. Должностная инструкция администратора баз данных 129
Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ.
Стремительное развитие информационных технологий и современных средств коммуникации значительно осложнило контроль над потоками данных.
Туризм, как отрасль народного хозяйства страны, может быть производительным и очень прибыльным при решении комплекса вопросов, удовлетворяющих, с одной стороны интересы регионов и организаций, занимающихся туризмом, наличием постоянного и устойчивого источника дохода, и с другой стороны - интересы конечных потребителей услуг - туристов из всех стран мира. Именно из-за высокой доходности туризма, особенно международного, правительства многих стран активно участвуют в создании туристской инфраструктуры.
Туризм, кроме того, ускоряет развитие ряда отраслей экономики: строительства, производства товаров повышенного туристского спроса, городского хозяйства и других.
Серьезная конкурентная борьба обусловила в странах с развитой рыночной экономикой разработку программ повышения качества туристского продукта, невозможного без внедрения в туристических компаниях современных систем автоматизации деятельности.
Современные автоматизированные системы предназначены для использования: менеджерами турагентств для работы с клиентами и поставщиками: оформление туров, подготовка заявок туристов, выписка путевок, подготовка отчетов туроператорам; бухгалтерами, ведущими полный финансовый учет взаиморасчетов с клиентами и поставщиками (полный бухгалтерский налоговый учет и отчетность); руководителями, которые нуждаются в системе управления предприятием, полной и достоверной аналитической информации.
Особенно остро этот вопрос стоит по отношению к информационным системам (ИС), функционирование которых критично для бизнес-процессов организации. Т.е. тех, при нарушении работы которых или деструктивном воздействии на активы, компания несет прямые или косвенные потери в виде финансов, репутации, доли рынка и т.д.
Таким образом, для успешного ведения бизнеса в равной степени важно не только эффективно управлять самой информационной системой компании, но и защитой ИС.
Объект исследования – ООО «ГРАНД Трэвел».
Предмет проектного исследования – инженерно-техническая и программная защита информации.
Цель исследования – Совершенствование и развитие системы информационной безопасности и защиты информации в ООО «ГРАНД Трэвел»
Задачи для достижения цели:
? Установление границ рассмотрения ООО «ГРАНД Трэвел» и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации;
? Идентификация активов предприятия (оценка активов, оценка уязвимостей активов, оценка угроз активам;
? Идентификация существующих средств защиты;
? Идентификация планируемых средств защиты;
? Оценка рисков;
? Выбор защитных мер (организационных и технических);
? Описание мероприятий инженерно-технической защиты;
? Реализация контрольного примера;
? Оценка экономической эффективности проекта.
Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:
- необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;
- необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
- необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).
В ходе дипломного проектирования была разработаны комплекс мер по совершенствованию системы защиты информации ООО «ГРАНД Трэвел», как комплекс мер направленных на защиту БД, каналов передачи данных, файловой системы и непосредственно помещения с помощью пожарной, охранной систем и системы видеонаблюдения
Выполнены поставленные задачи:
? Установлены границы рассмотрения ООО «ГРАНД Трэвел» и выявлены недостатки в существующей системе обеспечения информационной безопасности и защите информации;
? Идентификация активов предприятия (оценка активов, оценка уязвимостей активов, оценка угроз активам;
? Идентификация существующих средств защиты;
? Идентификация планируемых средств защиты;
? Оценка рисков;
? Выбор защитных мер (организационных и технических);
? Описание мероприятий инженерно-технической защиты;
? Реализация контрольного примера;
? Оценка экономической эффективности проекта.
В рамках организационных мер разработана должностная инструкция администратора баз данных.
Также в ходе дипломного проектирования была предложена программно-аппаратная и инженерно-техническая реализация обеспечения безопасности информационных систем на предприятии.
Средства программно-аппаратной реализации:
Реализованы правила организация доступа на уровне операционной системы сервера;
Реализованы правила обеспечения разделения прав доступа в MS SQL Server;
Организованы средства криптографии и шифрования на уровне СУБД.
Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях.
Средства инженерно-технической реализации:
- охранная сигнализация и охранное телевидение;
- пожарная сигнализация;
- резервное копирование данных.
Расчет экономической эффективности внедрения системы информационной безопасности в ООО «ГРАНД Трэвел» обосновал необходимость внедрения. По итогам расчета срок окупаемости внедряемой системы составит 1.4 года, при этом данная оценка субъективна, поскольку активы организации в тот или иной момент времени может иметь различную ценность.