Каталог

Помощь

Корзина

Разработка проекта защиты информации на примере ООО ПрикамЭкоТех

Оригинальный документ?

Содержание

Введение3

1. Информационные потоки циркулирующие на предприятии5

1.1. Общая характеристика предприятия5

1.2. Классификация информации циркулирующей на предприятии ООО «ПрикамЭкоТех»7

1.3. Анализ угроз информационной безопасности, построение модели Злоумышленника21

2. Анализ состояния информационной безопасности на предприятии ООО «ПрикамЭкоТех»33

2.1. Основные факторы, влияющие на информационную безопасность на предприятии ООО «ПрикамЭкоТех»33

2.2 Требования информационной безопасности на предприятии в соответствии со стандартами и нормативно-правовыми актами РФ39

2.3. Состояние коммерческой информационной безопасности47

2.4. Оценка уровня лояльности сотрудников55

3. Выявление проблем поддержания необходимого уровня информационной безопасности в деятельности предприятия ООО «ПрикамЭкоТех»59

3.1. Анализ уязвимых мест СЗИ59

3.2. Разработка мер обеспечения необходимого уровня безопасности коммерческой информации61

4. Выбор и обоснование решения совершенствования системы информационной безопасности на предприятии71

4.1. Источники формирования ресурсов для реализации мероприятий71

4.2. План реализации выбранного решения74

Заключение77

Список использованной литературы79

Приложения84


Введение


Актуальность темы определяется обострением проблем информационной безопасности даже в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 170%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной информации возрастает ежегодно в среднем в 4-5 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится.[1] 93% компаний, лишившихся доступа к собственной информации на срок более 15 дней, покидают бизнес, причем половина из них заявляет о своей несостоятельности немедленно.[2]

Перечень угроз информационной безопасности, нарушений, преступлений настолько обширный, что требует научной систематизации и специального изучения с целью оценки связанных с ними рисков и разработки мероприятий по их предупреждению.

Исследования свидетельствуют о том, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной и утвержденной политики обеспечения информационной безопасности, базирующейся на организационных, технических, экономических решениях с последующим контролем их реализации и оценкой эффективности.

Все это предопределяет необходимость разработки научно обоснованных методов обеспечения информационной безопасности предприятий, учитывающих практический опыт российских и зарубежных предприятий в этой области.

Проблемы информационной безопасности предприятий рассматривались в работах многих отечественных исследователей и специалистов. Вместе с тем проведенные исследования касаются лишь отдельных аспектов обеспечения информационной безопасности, в то время как комплексность этой проблемы предполагает разработку для ее решения более современных и адекватных методов. Все это и предопределило цели и задачи дипломной работы.

Цель работы состоит в разработке проекта обеспечения информационной безопасности предприятия.

Поставленная цель обусловила следующие задачи:

изучить информационные потоки на предприятии;

выявить угрозы информационной безопасности;

провести анализ информационной безопасности на предприятии;

выявить проблемы поддержания необходимого уровня информационной безопасности на предприятии;

разработать меры по совершенствованию информационной безопасности на предприятии.

Объектом исследования выступает система защиты информации предприятия.

Предметом исследования в дипломной работе являются инструментальные и экономические методы обеспечения информационной безопасности, направленные на оптимизацию затрат предприятия.

Методологической и теоретической основой явились труды отечественных и зарубежных специалистов в области экономической безопасности, инвестиций, бюджетирования, статистики, теории рисков, информатизации управленческих и экономических процессов. В ходе работы над дипломной работой автор использовал положения законодательных и нормативно-правовых актов, постановлений Правительства РФ, регулирующих вопросы защиты информации, а так же международные стандарты по информационной безопасности.


1. Информационные потоки, циркулирующие на предприятии

1.1. Общая характеристика предприятия


Предприятие ООО «ПрикамЭкоТех» представляет собой общество с ограниченной ответственностью и ведет свою деятельность на основе Гражданского Кодекса РФ. ООО «ПрикамЭкоТех» является юридическим лицом (ст. 48 Гражданского Кодекса РФ[3]) и действует на основе Устава, имеет собственное имущество, самостоятельный баланс и расчетный счет.

ООО «ПрикамЭкоТех» находится в г. Воткинске, по адресу: г. Воткинск, ул. Освобождения, 3-3. Компания «ПрикамЭкоТех» была основана в 1996 г. Уже более 13 лет компания «ПрикамЭкоТех» динамично развивается в области поставок запчастей и аксессуаров для автомобилей отечественного производства.

Компания производит в целях реализации резиновую крошку фракций от 1 мм., 1-3 мм., 3-5мм. Продукция собственного производства имеет сертификат качества. Так же компания принимает на утилизацию автомобильные покрышки.

Объемы производства резиновой крошки «ПрикамЭкоТех» не ограничены, но сейчас, по словам директора компании, нет программы дорожного строительства, нет нормативного регулирования, обязывающего сдавать отработанную авторезину на специальные предприятия. А Федеральный закон от 24.06.1998 N 89-ФЗ «Об отходах производства и потребления»[4] не предусматривает каких-либо мер наказания нарушителей правил природопользования и охраны окружающей среды. Использованные покрышки просто выбрасывают где придется. Компания по утилизации авторезины «ПрикамЭкоТех» принимает покрышки от СТО, ГСК, предприятий. Раз в две недели сотрудники компании собирают по Воткинску до 200 старых покрышек, которые портят экологию города.

Информация - (от лат. Informatio – разъяснение, изложение) первоначально – сведения, передаваемые людьми устным, письменным или другим способом; с середины 20-го века – общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом[6].

Общая классификация информации, циркулирующей на предприятии представлена на рисунке 2. Представленная информация построена на принципах достоверности, оперативности, информативности.

Рисунок 2 Классификация информации, циркулирующей на предприятии ООО 

Рисунок 2 – Классификация информации, циркулирующей на предприятии ООО «ПрикамЭкоТех»

 

Стандарт BS 7799 описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ. Этот стандарт в большинстве своём предназначался для определения норм безопасности при ведении коммерческой деятельности. Эксперты посчитали, что этот стандарт появился несколько раньше времени, когда вопросы безопасности ещё никого особенно не интересовали. В 1999 первая часть BS 7799 была переработана и передана в Международную организацию по стандартизации (ISO).

Основным достоинством BS 7799 является его гибкость и универсальность. Описанный в нем набор лучших практик применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.

Когда возникают вопросы: «С чего начать?», «Как управлять ИБ?», «На соответствие каким критериям следует проводить аудит?» — этот стандарт поможет определить верное направление и не упустить из виду существенные моменты. Его также можно использовать как авторитетный источник и один из инструментов для «продажи» безопасности руководству организации, определения критериев и обоснования затрат на ИБ.

Рисунок 11 - Предпосылки разработки политики безопасности предприятия

Рисунок 11 - Предпосылки разработки политики безопасности предприятия

Список использованной литературы


1. Конституция РФ от 12.12.1993 г. 

2. «Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ (принят ГД ФС РФ 21.10.1994)

3. «Гражданский кодекс Российской Федерации (часть вторая)» от 26.01.1996 N 14-ФЗ (принят ГД ФС РФ 22.12.1995)

4. «Гражданский процессуальный кодекс Российской Федерации» от 14.11.2002 N 138-ФЗ (принят ГД ФС РФ 23.10.2002)

5. «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (принят ГД ФС РФ 24.05.1996)

6.  «Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (принят ГД ФС РФ 21.12.2001) 

7.  Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (принят ГД ФС РФ 09.07.2004)

8. Указ Президента РФ от 10.01.2000 N 24 «О Концепции национальной безопасности Российской Федерации

9. Распоряжение Правительства РФ от 28.01.2008 N 74-р «О Концепции федеральной целевой программы «Национальная система химической и биологической безопасности Российской Федерации (2009 - 2013 годы)»

10. ГОСТ Р ИСО/МЭК 27001-2006 Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.

11. Международный реестр сертификатов на системы управления информационной безопасностью по ISO 27001 / BS 7799-2

12. ГОСТ РД 50-34.698-90 «Комплекс стандартов и руководящих документов на автоматизированные системы»

13. ГОСТ 6.10-84 Придание юридической силы документам, созданным на машинном носителе, средстве вычислительной техники

14. Алексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев М.- 2006.- № 2. - С. 2 - 3.

15. Анализ угроз и построение системы информационной безопасности [Электронный ресурс] // МРЦБ. Консультационная фирма. IT-консалтинг.

16. Астахов, А. Разработка эффективных политик информационной безопасности/ А.Астахов [Электронный ресурс]// Директор ИС #01/2004.

17.  Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Изд–во «ЗАО Челябинская межрайонная типография», 2006.- 361 с.

18. Багиров А. «Новые информационные технологии в международных отношениях». Международная жизнь, №8, 2002 г.;

19. Бажанов Е.П. «Актуальные проблемы международных отношений». В 3 томах, М.: Научная книга, 2008 г.;

20.  Бажанов Е.П. «Приоритеты России в меняющемся мире». М.: Научная книга, 2006 г. – 42 с.;

21. Балуев Д.Г. Информационная революция и современные международные отношения. Н. Новгород: ННГУ, 2001.

22. Барнашов А.М. Международно-правовые аспекты информационной безопасности и «информационные войны» // Российский ежегодник международного права. 2004. СПб. 2005. С. 285–290.

23. Беляев, Е.А. Исторические аспекты защиты информации в России/ Е.А.Беляев// Информационная безопасность = Inform.security.- М., 2004.- № 3.-С.58–59.

24. Бжезинский З. «Великая шахматная доска». М.: Международные отношения, 2006 г. – 256 с.

25. Брединский, А.Г. Люди – источники конфиденциальной информации/ А.Г.Брединский// Информационно–методический журнал «Защита информации Конфидент».- 2008.- № 2 (56).- С.32.

26.  Внешнеполитическая информация и современная дипломатия. М.: ДА МИД РФ, 2008 г. – 220 с.

27. Внешняя политика современной России: Сборник статей / Дип. академия МИД РФ. Каф. внешней политики и международных отношений; Под ред. А.Ю. Рудницкого. – М., 2008 г. – 291 с.

28. Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1.

29. Домов, С. Информационная безопасность/ С.Домов// Вестн. Волжского ун–та.- Сер.Информат, 2005.- № 8.- С.53–55

30. Емельянов Г.В., Стрельцов А.А. Информационная безопасность России. РАГС при Президенте РФ. М.,2005. С.

31. Журин, С.И. Вопросы оценки благонадежности персонала в подготовке администратора информационной безопасности/ С.И.Журин, М.Ю.Калинкина// Информационно–методический журнал «Защита информации Конфидент».- 2004.- № 3 (57).- С.28.

32. Иванов И.С. «Внешняя политика России и мир. Статьи выступления». М.: МГИМО, 2004 г. – 420 с.

33. Иванов И.С. «Новая российская дипломатия. Десять лет внешней политике страны». М.: ОЛМА-ПРЕСС, 2009 г. – 382 с.;

34. Иванов, А.В. Экономическая безопасность предприятий/ А.В.Иванов.- М.: Вираж-центр, 2005.- 39 с.

35. Информация. Дипломатия. Психология. М.: Известия, 2002 г. – 617 с.

36. Казанцев, В.Г. Профессиональное образование сотрудников подразделений экономической и информационной безопасности. В.Г.Казанцев// Информационно–методический журнал «Защита информации Конфидент».- 2004.- № 3 (57).- С.30.

37. Колесников, К.А. Социальные факторы информационного управления и информационная безопасность в России/ К.А.Колесников// Интеллектуальная собственность: правовые, экономические и социальные проблемы: Сб. тр. аспирантов РГИИС: В 2 ч.- М., 2005.-Ч.2.-С.140–143.

38. Крутских А.В., Федоров А.В. О международной информационной безопасности // Международная жизнь. 2000. №2, С. 37–48.

39. Курело, А.П. Обеспечение информационной безопасности бизнеса/ А.П.Курело, С.Г.Антимонов, В.В.Андрианов и др.- М.: БДЦ–пресс, 2005.- (tSolutions).- 511 с.

40. Минакова, Н.Н. Особенности подготовки специалистов по информационной безопасности автоматизированных систем/ Н.Н.Минакова, В.В.Поляков// Вестн. Алтайск. науч. центра САН ВШ, 2005.- № 8.- С.125–128.

41. Михеева, М.Р. Проблема правовой защиты персональных данных/ М.Р.Михеева [Электронный ресурс]// Владивостокский центр исследования организованной преступности.

42. Модестов С.А. «Информационное противоборство как фактор геополитической конкуренции». М.: МОНФ; ИЦНиУП,  2005 г. – 63 с.;

43.   Панарин И.Н. «Информационная война и власть». М.: 2007 г.;

44. Панарин И.Н. «Информационно-психологическое обеспечение национальной безопасности России». М.; 2007 г.

45.  Поздняков, Е.Н. Защита объектов: Рекомендации для руководителей и сотрудников служб безопасности/ Е.Н.Поздняков.– М.: Концерн «Банковский деловой центр», 2007.- (Советы «профи»).- 222 с.

46. Петренко, С. Разработка политики информационной безопасности предприятия/ С.Петренко, В.Курбатов [Электронный ресурс]// Сетевые решения A-Z.

47. Проблемы государственной информационной политики. М.: РАГС, 2002 г.

48. Ракитянский Н.М. Психологические аспекты информационной безопасности. - ПТиПУ, 2007, No.2, с. 106-110.

49. Служба защиты информации на предприятии. Что она из себя представляет и как ее организовать [Электронный ресурс]// Спектр безопасности.

50. Столяров, Н.В. Разработка системы защиты конфиденциальной информации/ Н.В.Столяров [Электронный ресурс]// 4Delo.ru Библиотека.

51. Хачатуров К. «Три знака времени: Полвека в международной политике». М.: Международные отношения, 2008 г. – 400 с.

52. Шаклеина Т.А. «Россия и США в новом мировом порядке. Дискуссия в политико-академических сообществах России и США 1991–2002 гг.». М.; 2002 г. – 443 с.

53. Шатунов, В.М. Обучение персонала как составная часть проблемы обеспечения информационной безопасности энергосистемы/ В.М.Шатунов, И.Н.Бабков// Информационно–методический журнал «Защита информации Конфидент».- 2004.- № 3 (57).- С.53.

54. Шафикова, Г.Х. К вопросу о защите персональных данных работника/ Г.Х.Шафикова// Региональная информационная экономика: проблемы формирования и развития: Сб. науч. тр. Междунар. науч-практ. конф. 25-26 октября 2002.- Челябинск: Изд-во ЮУрГУ, 2003.- С. 359-362.

55.  Щеглов, А.Ю. Часть 12. Общие вопросы построения системы защиты информации/ А.Ю.Щеглов, К.А.Щеглов [Электронный ресурс]// Мост безопасности. Библиотека.

56. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд «Мир», 2003.

57.  Журнал «Information Security/ Информационная безопасность» №3, №4,  2006