Розробка проекту захисту інформації на прикладі ТОВ ПрікамЕкоТех
зміст
введення 3
1. Інформаційні потоки циркулюють на підприємстві 5
1.1. Загальна характеристика підприємства 5
1.2. Класифікація інформації циркулюючої на підприємстві ТОВ «ПрікамЕкоТех» 7
1.3. Аналіз загроз інформаційній безпеці, побудова моделі Зловмисника 21
2. Аналіз стану інформаційної безпеки на підприємстві ТОВ «ПрікамЕкоТех» 33
2.1. Основні фактори, що впливають на інформаційну безпеку на підприємстві ТОВ «ПрікамЕкоТех» 33
2.2 Вимоги інформаційної безпеки на підприємстві відповідно до стандартів і нормативно-правовими актами РФ 39
2.3. Стан комерційної інформаційної безпеки 47
2.4. Оцінка рівня лояльності співробітників 55
3. Виявлення проблем підтримки необхідного рівня інформаційної безпеки в діяльності підприємства ТОВ «ПрікамЕкоТех» 59
3.1. Аналіз вразливих місць СЗІ 59
3.2. Розробка заходів забезпечення необхідного рівня безпеки комерційної інформації 61
4. Вибір і обгрунтування рішення вдосконалення системи інформаційної безпеки на підприємстві 71
4.1. Джерела формування ресурсів для реалізації заходів 71
4.2. План реалізації обраного рішення 74
висновок 77
Список використаної літератури 79
додатки 84
Вступ
Актуальність теми визначається загостренням проблем інформаційної безпеки навіть в умовах інтенсивного вдосконалення технологій і інструментів захисту даних. Про це свідчить безпрецедентне зростання порушень інформаційної безпеки і посилюється тяжкість їх наслідків. Загальна кількість порушень в світі щорічно збільшується більш ніж на 170%. У Росії, за статистикою правоохоронних органів, число виявлених злочинів тільки в сфері комп'ютерної інформації зростає щорічно в середньому в 4-5 рази. Статистика свідчить також, що якщо комерційна організація допускає витік більше 20% важливої внутрішньої інформації, то вона в 60 випадках з 100 банкрутує. [1] 93% компаній, що залишилися доступу до власної інформації на термін більше 15 днів, залишають бізнес, причому половина з них заявляє про свою неспроможність негайно. [2]
Перелік загроз інформаційній безпеці, порушень, злочинів настільки великий, що вимагає наукової систематизації та спеціального вивчення з метою оцінки пов'язаних з ними ризиків і розробки заходів щодо їх попередження.
Дослідження свідчать про те, що основною причиною проблем підприємств в області захисту інформації є відсутність продуманої і затвердженої політики забезпечення інформаційної безпеки, що базується на організаційних, технічних, економічних рішеннях з подальшим контролем їх реалізації та оцінкою ефективності.
Все це зумовлює необхідність розробки науково обґрунтованих методів забезпечення інформаційної безпеки підприємств, які враховують практичний досвід російських і зарубіжних підприємств в цій галузі.
Проблеми інформаційної безпеки підприємств розглядалися в роботах багатьох вітчизняних дослідників і фахівців. Разом з тим проведені дослідження стосуються лише окремих аспектів забезпечення інформаційної безпеки, в той час як комплексність цієї проблеми передбачає розробку для її вирішення більш сучасних і адекватних методів. Все це і зумовило мету і завдання дипломної роботи.
Мета роботи полягає в розробці проекту забезпечення інформаційної безпеки підприємства.
Поставлена мета зумовила наступні завдання:
вивчити інформаційні потоки на підприємстві;
виявити загрози інформаційної безпеки;
провести аналіз інформаційної безпеки на підприємстві;
виявити проблеми підтримки необхідного рівня інформаційної безпеки на підприємстві;
розробити заходи щодо вдосконалення інформаційної безпеки на підприємстві.
Об'єктом дослідження виступає система захисту інформації підприємства.
Предметом дослідження в дипломній роботі є інструментальні та економічні методи забезпечення інформаційної безпеки, спрямовані на оптимізацію витрат підприємства.
Методологічною і теоретичною основою з'явилися праці вітчизняних і зарубіжних фахівців в області економічної безпеки, інвестицій, бюджетування, статистики, теорії ризиків, інформатизації управлінських і економічних процесів. В ході роботи над дипломною роботою автор використав положення законодавчих і нормативно-правових актів, постанов Уряду РФ, що регулюють питання захисту інформації, а так само міжнародні стандарти з інформаційної безпеки.
1. Інформаційні потоки, що циркулюють на підприємстві
1.1. Загальна характеристика підприємства
Підприємство ТОВ «ПрікамЕкоТех» є суспільство з обмеженою відповідальністю і веде свою діяльність на основі Цивільного Кодексу РФ. ТОВ «ПрікамЕкоТех» є юридичною особою (ст. 48 Цивільного Кодексу РФ [3]) і діє на основі Статуту, має власне майно, самостійний баланс і розрахунковий рахунок.
ТОВ «ПрікамЕкоТех» знаходиться в м Воткінську, за адресою: м Воткинськ, вул. Визволення, 3-3. Компанія «ПрікамЕкоТех» була заснована в 1996 р Уже понад 13 років компанія «ПрікамЕкоТех» динамічно розвивається в області поставок запчастин і аксесуарів для автомобілів вітчизняного виробництва.
Компанія виробляє в цілях реалізації гумову крихту фракцій від 1 мм., 1-3 мм., 3-5мм. Продукція власного виробництва має сертифікат якості. Так само компанія приймає на утилізацію автомобільні покришки.
Обсяги виробництва гумової крихти «ПрікамЕкоТех» не обмежені, але зараз, за словами директора компанії, немає програми дорожнього будівництва, немає нормативного регулювання, що зобов'язує здавати відпрацьовану автогуму на спеціальні підприємства. А Федеральний закон від 24.06.1998 N 89-ФЗ «Про відходи виробництва та споживання» [4] не передбачає будь-яких заходів покарання порушників правил природокористування і охорони навколишнього середовища. Використані покришки просто викидають де доведеться. Компанія з утилізації автогуми «ПрікамЕкоТех» приймає покришки від СТО, ГСК, підприємств. Раз на два тижні співробітники компанії збирають по воткинск до 200 старих покришок, які псують екологію міста.
Інформація - (від лат. Informatio - роз'яснення, виклад) спочатку - відомості, що передаються людьми усним, письмовим або іншим способом; з середини 20-го століття - загальнонаукове поняття, що включає обмін відомостями між людьми, людиною і автоматом, автоматом і автоматом [6].
Загальна класифікація інформації, що циркулює на підприємстві представлена на малюнку 2. Представлена інформація побудована на принципах достовірності, оперативності, інформативності.
Малюнок 2 - Класифікація інформації, що циркулює на підприємстві ТОВ «ПрікамЕкоТех»
Стандарт BS 7799 описує 127 механізмів контролю, необхідних для побудови системи управління інформаційною безпекою (СУІБ) організації, певних на основі кращих прикладів світового досвіду (best practices) в даній області. Цей документ служить практичним посібником по створенню СУІБ. Цей стандарт в більшості своїй призначався для визначення норм безпеки при веденні комерційної діяльності. Експерти порахували, що цей стандарт з'явився кілька завчасно, коли питання безпеки ще нікого особливо не цікавили. У 1999 перша частина BS 7799 була перероблена і передана в Міжнародну організацію зі стандартизації (ISO).
Основною перевагою BS 7799 є його гнучкість і універсальність. Описаний в ньому набір кращих практик можна застосувати практично до будь-якої організації, незалежно від форми власності, виду діяльності, розміру і зовнішніх умов. Він нейтральний в технологічному плані і завжди залишає можливість вибору технологій.
Коли виникають питання: «З чого почати?», «Як управляти ІБ?», «На відповідність якими критеріями слід проводити аудит?» - цей стандарт допоможе визначити вірний напрямок і не випустити з уваги істотні моменти. Його також можна використовувати як авторитетне джерело і один з інструментів для «продажу» безпеки керівництву організації, визначення критеріїв і обгрунтування витрат на ІБ.
Малюнок 11 - Передумови розробки політики безпеки підприємства
Список використаної літератури
1. Конституція РФ від 12.12.1993 р
2. «Цивільний кодекс Російської Федерації (частина перша)» від 30.11.1994 N 51-ФЗ (прийнятий ГД ФС РФ 21.10.1994)
3. «Цивільний кодекс Російської Федерації (частина друга)» від 26.01.1996 N 14-ФЗ (прийнятий ГД ФС РФ 22.12.1995)
4. «Цивільний процесуальний кодекс Російської Федерації» від 14.11.2002 N 138-ФЗ (прийнятий ГД ФС РФ 23.10.2002)
5. «Кримінальний кодекс Російської Федерації» від 13.06.1996 N 63-ФЗ (прийнятий ГД ФС РФ 24.05.1996)
6. «Трудовий кодекс Російської Федерації» від 30.12.2001 N 197-ФЗ (прийнятий ГД ФС РФ 21.12.2001)
7. Федеральний закон від 29.07.2004 N 98-ФЗ «Про комерційну таємницю» (прийнятий ГД ФС РФ 09.07.2004)
8. Указ Президента РФ від 10.01.2000 N 24 «Про Концепцію національної безпеки Російської Федерації
9. Розпорядження Уряду РФ від 28.01.2008 N 74-р «Про Концепцію федеральної цільової програми« Національна система хімічної та біологічної безпеки Російської Федерації (2009 - 2013 роки) »
10. ДСТУ ISO / IEC 27001-2006 Методи і засоби забезпечення безпеки. Системи менеджменту інформаційної безпеки.
11. Міжнародний реєстр сертифікатів на системи управління інформаційною безпекою згідно з ISO 27001 / BS 7799-2
12. ГОСТ РД 50-34.698-90 «Комплекс стандартів і керівних документів на автоматизовані системи»
13. ГОСТ 6.10-84 Додання юридичної сили документам, створеним на машинному носії, засобі обчислювальної техніки
14. Алексенцев, А.І. Поняття і призначення комплексної системи захисту інформації / А.І.Алексенцев М. 2006.- № 2. - С. 2 - 3.
15. Аналіз загроз і побудова системи інформаційної безпеки [Електронний ресурс] // МРЦБ. Консультаційна фірма. IT -консалтинг.
16. Астахов, А. Розробка ефективних політик інформаційної безпеки / А.Астахов [Електронний ресурс] // Директор ІС # 01/2004.
17. Астахова, Л.В. Теорія інформаційної безпеки і методологія захисту інформації: Конспект лекцій / Л.В.Астахова.- Челябінськ: Вид-во «ЗАТ Челябінська міжрайонна друкарня», 2006.- 361 с.
18. Багіров А. «Нові інформаційні технології в міжнародних відносинах». Міжнародна життя, №8, 2002 р .;
19. Бажанов Є.П. «Актуальні проблеми міжнародних відносин». У 3 томах, М .: Наукова книга, 2008 р .;
20. Бажанов Є.П. «Пріоритети Росії в мінливому світі». М .: Наукова книга, 2006 - 42 с .;
21. Балуєв Д.Г. Інформаційна революція і сучасні міжнародні відносини. Н. Новгород: ННДУ, 2001..
22. Барнашов А.М. Міжнародно-правові аспекти інформаційної безпеки і «інформаційні війни» // Російський щорічник міжнародного права. 2004. СПб. 2005. С. 285-290.
23. Бєляєв, Е.А. Історичні аспекти захисту інформації в Росії / Е.А.Беляев // Інформаційна безпека = Inform. security .- М., 2004.- № 3.-С.58-59.
24. Бжезинський З. «Велика шахівниця». М .: Міжнародні відносини, 2006 - 256 с.
25. Бредінскій, А.Г. Люди - джерела конфіденційної інформації / А.Г.Бредінскій // Інформаційно-методичний журнал «Захист інформації Конфидент» .- 2008.- № 2 (56) .- С.32.
26. Зовнішньополітична інформація і сучасна дипломатія. М .: ДА МЗС РФ, 2008 - 220 с.
27. Зовнішня політика сучасної Росії: Збірник статей / Діп. академія МЗС РФ. Каф. зовнішньої політики і міжнародних відносин; Під ред. А.Ю. Рудницького. - М., 2008 - 291 с.
28. Грібунін В.Г. Політика безпеки: розробка та реазізація // «Інформаційна безпека», 2005, №1.
29. Будинків, С. Інформаційна безпека / С.Домов // Укр. Волзького ун-та.- Сер.Інформат, 2005.- № 8.- С.53-55
30. Ємельянов Г.В., Стрільців А.А. Інформаційна безпека Росії. РАГС при Президентові РФ. М., 2005. С.
31. Журин, С.І. Питання оцінки благонадійності персоналу в підготовці адміністратора інформаційної безпеки / С.І.Журін, М.Ю.Калінкіна // Інформаційно-методичний журнал «Захист інформації Конфидент» .- 2004.- № 3 (57) .- С.28.
32. Іванов І.С. «Зовнішня політика Росії і світ. Статті виступу ». М .: МДІМВ, 2004 г. - 420 с.
33. Іванов І.С. «Нова російська дипломатія. Десять років зовнішньої політики країни ». М .: ОЛМА-ПРЕСС, 2009 г. - 382 с .;
34. Іванов, А.В. Економічна безпека підприємств / А.В.Іванов.- М .: Віраж-центр, 2005.- 39 с.
35. Інформація. Дипломатія. Психологія. М .: Известия, 2002 г. - 617 с.
36. Казанцев, В.Г. Професійна освіта співробітників підрозділів економічної та інформаційної безпеки. В.Г.Казанцев // Інформаційно-методичний журнал «Захист інформації Конфидент» .- 2004.- № 3 (57) .- С.30.
37. Колесніков, К.А. Соціальні чинники інформаційного управління і інформаційна безпека в Росії / К.А.Колесніков // Інтелектуальна власність: правові, економічні та соціальні проблеми: Зб. тр. аспірантів РГІІС: У 2 ч.- М., 2005.-Ч.2.-С.140-143.
38. Крутских А.В., Федоров А.В. Про міжнародної інформаційної безпеки // Міжнародна життя. 2000. №2, С. 37-48.
39. Курело, А.П. Забезпечення інформаційної безпеки бізнесу / А.П.Курело, С.Г.Антімонов, В.В.Андріанов и др М .: БДЦ-прес, 2005.- (t - Solutions) .- 511 с.
40. Мінакова, М.М. Особливості підготовки фахівців з інформаційної безпеки автоматизованих систем / Н.Н.Мінакова, В.В.Поляков // Укр. Алтайськ. науч. центру САН ВШ, 2005. № 8.- С.125-128.
41. Міхєєва, М.Р. Проблема правового захисту персональних даних / М.Р.Міхеева [Електронний ресурс] // Владивостоцький центр дослідження організованої злочинності.
42. Модестов С.А. «Інформаційне протиборство як фактор геополітичної конкуренції». М .: МОНФ; ІЦНіУП, 2005 - 63 с .;
43. Панарін І.М. «Інформаційна війна і влада». М .: 2007 р .;
44. Панарін І.М. «Інформаційно-психологічне забезпечення національної безпеки Росії». М .; 2007 р
45. Поздняков, Е.Н. Захист об'єктів: Рекомендації для керівників і співробітників служб безпеки / Е.Н.Поздняков.- М .: Концерн «Банківський діловий центр», 2007.- (Поради «профі») .- 222 с.
46. Петренко, С. Розробка політики інформаційної безпеки підприємства / С. Петренко, В.Курбатов [Електронний ресурс] // Мережеві рішення A - Z.
47. Проблеми державної інформаційної політики. М .: РАГС, 2002 г.
48. Ракитянський Н.М. Психологічні аспекти інформаційної безпеки. - ПТіПУ, 2007, No.2, с. 106-110.
49. З лужба захисту інформації на підприємстві. Що вона собою являє і як її організувати [Електронний ресурс] // Спектр безпеки.
50. Столяров, Н.В. Розробка системи захисту конфіденційної інформації / Н.В.Столяров [Електронний ресурс] // 4 Delo. ru Бібліотека.
51. Хачатуров К. «Три знака часу: Півстоліття в міжнародній політиці». М .: Міжнародні відносини, 2008 - 400 с.
52. Шаклеин Т.А. «Росія і США в новому світовому порядку. Дискусія в політико-академічних спільнотах Росії і США 1991-2002 рр. ». М .; 2002 г. - 443 с.
53. Ш Атун, В.М. Навчання персоналу як складова частина проблеми забезпечення інформаційної безпеки енергосистеми / В.М.Шатунов, І.Н.Бабков // Інформаційно-методичний журнал «Захист інформації Конфидент» .- 2004.- № 3 (57) .- С.53.
54. Шафікова, Г.Х. До питання про захист персональних даних працівника / Г.Х.Шафікова // Регіональна інформаційна економіка: проблеми формування та розвитку: Зб. науч. тр. Міжнар. науч-практ. конф. 25-26 жовтня 2002.- Челябінськ: Вид-во ЮУрГУ, 2003. С. 359-362.
55. Щеглов, А.Ю. Частина 12. Загальні питання побудови системи захисту інформації / А.Ю.Щеглов, К.А.Щеглов [Електронний ресурс] // Міст безпеки. Бібліотека.
56. Ярочкин В.І. Інформаційна безпека: Підручник для студентів ВУЗів. М .: Академічний Проект; Фонд «Світ», 2003.
57. Журнал «Information Security / Інформаційна безпека» №3, №4, 2006
Коли виникають питання: «З чого почати?», «Як управляти ІБ?
», «На відповідність якими критеріями слід проводити аудит?