Введение
I Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).
1.1.1. Общая характеристика предметной области.
1.1.2. Организационно-функциональная структура предприятия.
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов.
1.2.2. Оценка уязвимостей активов.
1.2.3. Оценка угроз активам.
1.2.4. Оценка существующих и планируемых средств защиты.
1.2.5. Оценка рисков.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности.
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер.
1.4.2. Выбор инженерно-технических мер.
II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.
2.2.2. Контрольный пример реализации проекта и его описание.
III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
Информационная система современного предприятия постоянно модернизируется и усложняется. Это неизбежно приводит к появлению все новых уязвимых мест в информационной системе и риска их недобросовестного использования. Поэтому в организации должен существовать определенный набор правил по работе с информационными ресурсами, а также система контроля их выполнения. Эта задача должна решаться на уровне всей организации в рамках единой политики информационной безопасности.
Развитие человечества на фоне показного благополучия в развитых странах и деклараций о необходимости защиты человеческих ценностей характеризуется обострением конкуренции между государствами, организациями и людьми за «жизненное» пространство, рынки сбыта, качество жизни. Она вызвано ростом численности человечества, уменьшением сырьевых ресурсов Земли, ухудшением экологии, побочными негативными процессами технического прогресса.
Основу любой деятельности людей составляет ее информационное обеспечение. Информация становится одним из основных средств решения проблем и задач государства, политических партий и деятелей, различных коммерческих структур и отдельных людей. Так как получение информации путем проведения собственных исследований становится все более дорогостоящим делом, то расширяется сфера добывания информации более дешевым, но незаконным путем. Этому способствует недостатки правовой базы по защите интеллектуальной собственности, позволяющие злоумышленникам (нарушителям законов) избегать серьезного наказания за свои противоправные действия, а также наличие на рынке разнообразных технических средств по нелегальному добыванию информации.
В связи с этими обстоятельствами непрерывно возрастает актуальность задач защиты информации во всех сферах деятельности людей: на государственной службе, в бизнесе, в научной деятельности и даже в личной жизни. Постоянное соперничество между методами и реализующих их средствами добывания и защиты информации привело к появлению на рынке такого разнообразия различных устройств и приборов в этой предметной области, что возникла проблема рационального выбора и применения для конкретных условий мер защиты.
Цель – разработать мероприятия для совершенствования политики информационной безопасности и защиты информации.
Для достижения поставленной цели необходимо выполнить ряд задач:
Ознакомление с нормативными, законодательными актами и стандартами по политике информационной безопасности;
Ознакомление с предприятием и проблемами информационной безопасности, существующими на нем;
Выбор программно-аппаратных и инженерно-технических средств системы обеспечения информационной безопасности;
Разработка основных положений политики информационной безопасности.
Объектом исследования является ОАО «Домостроительный комбинат №1» (ДСК-1). Предмет исследования – информационная безопасность фирмы.
При выполнении работы были использованы следующие методы исследования: анализ литературных источников, обобщение материала, сравнение.
Работа состоит из трех глав. Первая глава – аналитическая, посвящена описанию предприятия, его организационной структуры. Рассмотрены также существующие технологии на предприятии, проблемы безопасности, которые необходимо решить.
Вторая глава – проектная, посвящена непосредственно разработке политики безопасности, выбору программных и технических средств для разработки.
Третья глава – экономическая, в которой будет выбрана методика расчета экономической эффективности и рассчитаны экономические показатели.
Руководство российских компаний зачастую рассматривает проблему обеспечения информационной безопасности как исключительно техническую. Однако, как показывают исследования, в мире в структуре убытков, связанных с инцидентами в сфере защиты информации, свыше 75% приходятся на проблему "человеческого фактора", для решения которой необходима разработка адекватной политики.
Политика информационной безопасности — главный документ, в котором ожидания руководства по обеспечению безопасности озвучиваются в определенные, измеряемые и контролируемые цели и задачи. В российской терминологии документ определяющий стратегию называют концепцией, а документ определяющий тактику — политикой. На Западе принято создавать единый документ, включающий в себя оба аспекта.
В политику безопасности включаются обязанности сотрудников по ее обеспечению и описываются наказания за нарушения ее требований. Определение ответственности за нарушения политики информационной безопасности является очень важным моментом, так как не везде можно реализовать технические средства безопасности. Политика является фундаментом для разработки целого ряда сопутствующих документов (стандартов, руководств, процедур).
В ходе дипломного проектирования были разработаны основные положения политики информационной безопасности для ОАО «ДСК-1». Сюда входит не только приказы, распоряжения, положения, но и комплекс программно-аппаратных и инженерно-технических средств защиты информации. Необходимость внедрения политики в фирме была обусловлена высокой конкуренцией в этой области, а именно конкуренты являются самыми опасными с точки зрения конфиденциальности информации.
Во второй главе были рассмотрены основные положения политики безопасности, а именно:
Технические средства защиты: карты доступа в помещение, сигнализация, средства пожаротушения;
Программные средства: межсетевой экран, антивирус Касперского;
Правила для сотрудников, ограничение доступа в Intermet, пароли к компьютерам и т.д.
В третьей главе произведен расчет экономической эффективности. Выявлено, что разработанная политика безопасности окупится через 1 год, а с учетом косвенных затрат чуть более года.
Действительно, политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности. По мнению экспертов, оптимальная доля усилий, направленных на разработку политики безопасности, составляет от 60% до 80%.
Российский рынок услуг и решений в сфере защиты информации продолжает расти. Многим компаниям за последний год удалось удвоить свой оборот и расширить штат сотрудников. Интерес к российским продуктам в сфере ИБ со стороны отечественных и иностранных организаций не только не снижается, но и растет. На внутреннем рынке происходит постепенное смещение от потребления продуктов в сторону большего потребления услуг. Данная тенденция свидетельствует о том, что, в целом, рынок развивается в правильном направлении.