комплексная система защиты информации в условиях ООО (название типографии)

В настоящее время с развитием информационных технологий появляются возможности обработки больших массивов информации. Общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. Объектом обработки данных становится финансовая информация, информация, составляющая коммерческую тайну, а также данные о личной жизни и состоянии здоровья людей. Утечка информации, содержащей коммерческую тайну, может привести к прямым убыткам, а в некоторых случаях поставить под угрозу само существование организации. Все чаще становятся известными случаи, когда утечка персональной информации приводила к совершениям неправомерных операций злоумышленниками (выдача кредитов, снятие наличных средств). Недостаточная защищенность электронных учетных записей также зачастую приводит к утечкам денежных средств со счетов граждан. Все вышесказанное показывает актуальность внедрения технологий защиты информации во все сферы, связанные с работой в автоматизированных системах [1].
Цель дипломной работы заключается в разработке системы мероприятий по совершенствованию комплексной системы информационной безопасности на примере общества с ограниченной ответственностью «Альтиграфика».
Объект исследования: ООО «АЛЬТИГРАФИКА».
Предмет исследования: система информационной безопасности ООО «АЛЬТИГРАФИКА».
ООО «АЛЬТИГРАФИКА» работает в области типографского бизнеса. Основными направлениями деятельности типографии являются: производство полиграфической продукции, печать на промо-одежде, сувенирной продукции, создание портфолио. Технология ООО «АЛЬТИГРАФИКА» предполагает работу с информацией, содержащей компоненты коммерческой тайны. Кроме того, в работе организации используются системы электронного документооборота, что предполагает необходимость построения комплексной системы защиты информации.
В рамках выполнения дипломной работы мной были выполнены следующие задачи:
- анализ системы информационной безопасности ООО «АЛЬТИГРАФИКА»;
- анализ исполнения требований федерального законодательства в области информационной безопасности специалистами ООО «АЛЬТИГРАФИКА»;
- анализ локальных нормативных актов ООО «Альтиграфика» в области защиты информации»;
- анализ структуры информационной системы предприятия;
- анализ технологических компонент защиты информации;
- рекомендации по совершенствованию системы информационной безопасности;
- оценка экономической эффективности мер по совершенствованию системы информационной безопасности.
Проведена разработка организационных мероприятий по обеспечению информационной безопасности, сформулированы предложения по совершенствованию технологии защиты информации.
Потребность предприятия в аудите системы информационной безопасности обусловлена требованиями законодательства в области информационной безопасности, ростом числа угроз информационной безопасности, необходимостью выработки политики информационной безопасности на предприятии [2].
Методы исследования: изучение литературных источников, нормативно-правовой базы, изучение технической документации средств защиты информации, анализ состояния работы в области защиты информации, сравнения, включенного наблюдения.
 

Введение 4
I Аналитическая часть 6
1.1. Технико-экономическая характеристика предметной области и предприятия 6
1.2. Анализ рисков информационной безопасности 11
1.2.1. Идентификация и оценка информационных активов 11
1.2.2. Оценка уязвимостей активов 19
1.2.3 Оценка угроз активам 20
1.2.4.Оценка существующих и планируемых средств защиты 27
1.2.5.Оценка рисков 37
1.3.Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 40
1.3.1.Выбор комплекса задач обеспечения информационной безопасности 40
1.3.2.Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 42
1.4.Выбор защитных мер 43
1.4.1.Выбор организационных мер 43
1.4.2.Выбор инженерно-технических мер 46
II Проектная часть 52
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 52
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 52
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 59
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 65
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 65
2.2.2. Контрольный пример реализации проекта 65
III Выбор и обоснование методики расчёта экономической эффективности 87
3.1 Выбор и обоснование методики расчёта экономической эффективности 87
3.2 Анализ структуры затрат на обеспечение информационной безопасности ООО «Альтграфик» 90
Заключение 98
Список источников и литературы 100
Приложение 1 102
Приложение 2 105
Приложение 3 109

 

В рамках данной работы был проведено изучение системы информационной безопасности на примере структуры ООО «Альтграфик», проведена оценка рисков, угроз активам.
В рамках работы над теоретической частью работы проведено рассмотрение теоретических основ и нормативной базы систем защиты информации. Было проведено определение перечня информации, отнесенной к разряду конфиденциальных данных, перечня документов, образующихся в работе типографии ООО «Альтрафик», в которых фигурирует конфиденциальная информация. Проведен анализ классификации типов конфиденциальных данных с использованием методики ФСТЭК, оценки степеней защищенности автоматизированных информационных систем, документационного и организационного обеспечения исполнения требований законодательных актов относительно класса конфиденциальности информации, определенного для информационной системы ООО «Альтграфик».
Далее проведено рассмотрение организации защиты информации применительно к структуре ООО «Альтграфик», определение бизнес-процессов организации, связанных с обработкой конфиденциальной информации. Приведена модель угроз безопасности конфиденциальной информации, для каждого из типов угроз. Определена ценность каждого из ресурсов информационной системы, оценены степени риска их утраты и стоимость информационных активов.
В рамках требований, предъявляемых нормативными актами к классу информационных систем, соответствующему данным, обрабатываемым в ООО «Альтграфик», необходимо исполнение ряда организационных мер по защите конфиденциальной информации. Необходимо также наличие локальных документов согласно перечню, утвержденному действующим федеральным законодательством. Согласно указанным требованиям проведен анализ существующего документационного обеспечения, а также организационных и технологических мер по защите конфиденциальной информации. Показано, что в условиях ООО «Альтграфик» организационные меры и локальные нормативные акты, а также программное и инженерно-техническое обеспечение соответствуют требованиям стандартов защиты информации. Вместе с этим показано, что существующая информационная система ООО «Альтграфик» не имеет целостного подхода к защите информационных ресурсов, поскольку политики защиты информации для каждого информационного ресурса являются уникальными, что приводит к росту трудозатрат сотрудников на исполнение требований защиты информации, снижая общую защищенность системы.
Далее проведено рассмотрение системы ООО «Альтиграфика» видеонаблюдением и охранно-пожарной сигнализацией. Показано, что в настоящее время управление данными ресурсами осуществляется на аппаратном уровне, что имеет ряд недостатков. Предложено внедрение ПО «Орион», что позволяет реализовать управление пожарной сигнализацией и видеосистемой в едином режиме, что в целом повышает эффективность физической защиты объектов ООО «Альтграфик». Оценка экономической эффективности проекта показала срок окупаемости системы в 2 года, что является приемлемым результатом.

1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.
2. Баймакова, И.А.. Обеспечение защиты персональных данных– М.: Изд-во 1С-Паблишинг, 2010. – 216 с.
3. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - 324 c.
4. Гашков С.Б., Применко Э.А., Черепнев М.А. Криптографические методы защиты информации. – М.: Академия, 2010. – 304 с.
5. Герасименко, В.А. Основы защиты информации/ В.А.Герасименко, А.А.Малюк - М.: МИФИ, 1997.
6. Грибунин В.Г.. Комплексная система защиты информации на предприятии/ В.Г.Грибунин, В.В.Чудовский. – М.: Академия, 2009. – 416 с.
7. Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.
8. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.
9. Емельянова, Н.З. Защита информации в персональном компьютере/ Н.З. Емельянова, Т.Л.Партыка, И.И.Попов – М.: Форум, 2009. – 368 с.
10. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.
11. Завгородний, В.И. Комплексная защита в компьютерных системах: Учебное пособие/ В.И. Завгородний – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.
12. Корнеев, И.К. Защита информации в офисе /И.К. Корнеев, Е.А.Степанова – М.: ТК Велби, Проспект, 2008. – 336 с.
13. Максименко, В.Н. Защита информации в сетях сотовой подвижной связи/ В.Н. Максименко, В.В.Афанасьев, Н.В.Волков – М.: Горячая Линия - Телеком, 2007. – 360 с.
14. Малюк, А.А. Введение в защиту информации в автоматизированных системах/ А.А.Малюк, С.В.Пазизин, Н.С.Погожин – М.: Горячая Линия - Телеком, 2011. – 146 с.
15. Малюк, А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации/А.А.Малюк – М.: Горячая Линия - Телеком, 2004. – 280 с.
16. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - 432 c.
17. Петраков, А.В. Основы практической защиты информации. Учебное пособие/ А.В.Петраков – М.: Солон-Пресс, 2005. – 384 с.
18. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. - 296 c.
19. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2010. - 277 c.
20. Проектирование экономических систем: Учебник / Г.Н. Смирнова, А. А.Сорокин, Ю. Ф. Тельнов – М.: Финансы и статистика, 2003.
21. Сурис М.А., Липовских В.М. Защита трубопроводов тепловых сетей от наружной коррозии. – М.: Энергоатомиздат, 2003. – 216 с.
22. Хорев, П.Б. Методы и средства защиты информации в компьютерных системах/ П.Б.Хорев – М.: Академия, 2008. – 256 с.
23. Хорев, П.Б. Программно-аппаратная защита информации/ П.Б.Хорев – М.: Форум, 2009. – 352 с.
24. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 c.
25. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2008. - 544 c.