Введение 5
I. Аналитическая часть 7
1.1. Технико-экономическая характеристика предметной области и предприятия. 7
1.1.1. Общая характеристика предметной области. 7
1.1.2. Организационно-функциональная структура предприятия. 9
1.2. Анализ рисков информационной безопасности 12
1.2.1 Идентификация и оценка информационных активов. 12
1.2.2. Оценка уязвимостей активов. 25
1.2.3. Оценка угроз активам. 31
1.2.4. Оценка существующих и планируемых средств защиты. 39
1.2.5. Оценка рисков. 46
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 52
1.3.1. Выбор комплекса задач обеспечения информационной безопасности. 52
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 56
1.4. Выбор защитных мер 59
1.4.1. Выбор организационных мер. 59
1.4.2. Выбор инженерно-технических мер. 68
II Проектная часть 77
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 77
2.1.1. Отечественная и международная нормативно-правовая основа создания 77
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 83
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 90
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия. 90
2.2.2. Контрольный пример реализации проекта и его описание 93
3.1 Выбор и обоснование методики расчёта экономической эффективности 108
3.2 Расчёт показателей экономической эффективности проекта 111
Заключение 116
Список использованной литературы 118
Приложение 1. Должностная инструкция администратора баз данных 121
Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ.
Стремительное развитие информационных технологий и современных средств коммуникации значительно осложнило контроль над потоками данных.
Представить нормальную работу компании без электронной почты, интернет, мобильных устройств и других средств оперативной передачи информации просто невозможно. Бухгалтерские документы, финансовые отчеты, базы данных, договоры с клиентами, планы по развитию и другие конфиденциальные сведения хранятся и обрабатываются в электронном виде, а значит, могут быть частично или полностью скопированы и переданы злоумышленникам.
Особенно остро этот вопрос стоит по отношению к информационным системам (ИС), функционирование которых критично для бизнес-процессов организации. Т.е. тех, при нарушении работы которых или деструктивном воздействии на активы, компания несет прямые или косвенные потери в виде финансов, репутации, доли рынка и т.д.
Таким образом, для успешного ведения бизнеса в равной степени важно не только эффективно управлять самой информационной системой компании, но и защитой ИС.
Объект исследования – ООО «Вадис-центр».
Предмет проектного исследования – инженерно-техническая защита корпоративной БД предприятия.
Цель исследования – разработка системы защиты БД.
Задачи для достижения цели:
? Установление границ рассмотрения ООО «Вадис-центр» и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации;
? Идентификация активов предприятия (оценка активов, оценка уязвимостей активов, оценка угроз активам;
? Идентификация существующих средств защиты;
? Идентификация планируемых средств защиты;
? Оценка рисков;
? Выбор защитных мер (организационных и технических);
? Описание мероприятий инженерно-технической защиты;
? Реализация контрольного примера;
? Оценка экономической эффективности проекта.
Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:
- необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;
- необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
- необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).
В ходе дипломного проектирования была реализована система защиты базы данных, как комплекс мер направленных на защиту БД, и включающий в себя средства инженерно-технической защиты, организационные средства и программные средства защиты БД.
Выполнены поставленные задачи:
? Установлены границы рассмотрения ООО «Вадис-центр» и выявлены недостатки в существующей системе обеспечения информационной безопасности и защите информации;
? Идентификация активов предприятия (оценка активов, оценка уязвимостей активов, оценка угроз активам;
? Идентификация существующих средств защиты;
? Идентификация планируемых средств защиты;
? Оценка рисков;
? Выбор защитных мер (организационных и технических);
? Описание мероприятий инженерно-технической защиты;
? Реализация контрольного примера;
? Оценка экономической эффективности проекта.
В рамках организационных мер разработана должностная инструкция администратора баз данных.
Также в ходе дипломного проектирования была предложена программно-аппаратная и инженерно-техническая реализация обеспечения безопасности информационных систем на предприятии.
Средства программно-аппаратной реализации:
Реализованы правила организация доступа на уровне операционной системы сервера;
Реализованы правила обеспечения разделения прав доступа в MS SQL Server;
Реализованы правила обеспечения доступа к информационной базе в системе 1С Предприятие;
Предложены средства обеспечения безопасности передачи данных в сети с помощью программы SecretNet;
Организованы средства криптографии и шифрования на уровне СУБД.
Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях.
Средства инженерно-технической реализации:
- охранная сигнализация и охранное телевидение;
- пожарная сигнализация;
- резервное копирование данных.
Расчет экономической эффективности внедрения системы информационной безопасности в ООО «Вадис-центр» обосновал необходимость внедрения. По итогам расчета срок окупаемости внедряемой системы составит 4 года, при этом данная оценка субъективна, поскольку активы организации в тот или иной момент времени может иметь различную ценность.