uzluga.ru
добавить свой файл
1

Оглавление


Введение 2

1 Аналитическая часть 3

1.1Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения) 3

1.1.1 Общая характеристика предметной области 3

1.2Анализ рисков информационной безопасности 4

1.2.1 Идентификация и оценка информационных активов 4

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 5

1.3.1Выбор комплекса задач обеспечения информационной безопасности 5

1.4 Выбор защитных мер 6

1.4.1 Выбор организационных мер 6

2Проектная часть 7

2.1Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 7

2.1.1Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 7

2.2Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 8

2.2.1Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 8

3Обоснование экономической эффективности проекта 9

3.1Выбор и обоснование методики расчёта экономической эффективности 9

3.2Расчёт показателей экономической эффективности проекта 10

Заключение 11



Введение




В современных условиях можно утверждать: информация стала стратегическим национальным ресурсом - одним из основных богатств любой страны.

Разворачивающееся вокруг информационного ресурса соперничество, борьба за достижение и удержание информационного превосходства начинают занимать все более значимое место в общей геополитической конкуренции развитых стран мира. На новом этапе истории мира, когда возможности экстенсивного роста за счет механического присоединения новых ресурсов путем вооруженного захвата территории других стран и всех имеющихся на этой территории богатств оказались исчерпанными и неэффективными, встал вопрос о более приемлемых формах и способах геополитической конкуренции в информационной сфере.

Становится очевидным, что с глобализацией информационной сферы эффективность национальных систем обеспечения информационной безопасности становится решающим фактором в политике любого субъекта геополитической конкуренции. И, напротив, неэффективность системы информационной безопасности может стать фактором, способным привести к крупномасштабным авариям и катастрофам, последствия которых могут вызвать, в частности, дезорганизацию государственного управления, крах национальной финансовой системы и т. п.

Основополагающая идея информационной безопасности как социального явления заключается в установлении и реализации морально-этических, нормативно-правовых и организационных отношений между людьми, обеспечивающих сбалансированность интересов человека, общества и государства в информационной сфере.

Сущность информационной безопасности большинством специалистов видится в невозможности нанесения вреда объекту защиты, его свойствам или деятельности по выполнению своих функций. В основополагающем документе в этой сфере – Доктрине информационной безопасности РФ – под информационной безопасностью «понимается состояние защи­щенности ее

1 Аналитическая часть

1.1Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)

1.1.1 Общая характеристика предметной области



На сегодня компания ООО «Динтранс» обслужила уже более 20 тысяч пассажиров. Клиенты ценят оперативность и надежность работы, многие из них становятся постоянными клиентами. Корпоративным клиентам предлагается профессиональное содействие в организации деловых и инсентив - поездок.

Компания все время совершенствует свою работу, чтобы клиенты могли получить наивысочайший уровень .

Сотрудники компании обеспечивают соблюдение высоких стандартов обслуживания потребителей, в соответствии с которыми любой заказанный железнодорожный билет подтверждается в течение 5 минут.

Основными задачами производственной деятельности ООО «Динтранс» являются:

резервирование мест и предварительная продажа билетов пассажирам;

резервирование и продажа проездных документов во внутреннем, межгосударственном и международном сообщениях по заявкам организаций, пассажирских служб сети железных дорог РФ, СНГ и Балтии, железных дорог других стран;

повышение культуры и качества обслуживания пассажиров за счет расширения предоставляемых пассажирам услуг;

развитие сети туристических услуг.

Организована продажа билетов с оплатой по международным банковским картам.

На текущий момент компания имеет центральный офис и собственную агентскую сеть продаж железнодорожных билетов в Москве. В ближайших планах нашего агентства – автоматизация процессов оформления и бронирования через интернет.

Таблица 1.

Основные показатели деятельности компании за 2011 год

1.2Анализ рисков информационной безопасности

1.2.1 Идентификация и оценка информационных активов




Идентификация информационных ресурсов должна быть выполнена в отношении поименованных информационных объектов (массивов и баз данных, документов и массивов документов, сообщений и т. д.) с учетом выявления сведений по их владению и использованию.

Целесообразно выделить характеристические показатели (признаки) использования:

  • в функциональных подсистемах (прикладных сервисах) АС и автоматизированных задачах функциональных подсистем, для решения которых необходима информация из этих информационных объектов;

  • в подразделениях и службах (возможно, с указанием должностей), в интересах которых решаются автоматизированные задачи;

  • в удаленных объектах ОИ (площадки, представительства и т. д.) (наименование, место расположения объекта).

Обязательным характеристическим показателем информационного объекта должен быть уровень конфиденциальности.

Категорирование информационных активов компании является необходимым элементом организации работ по обеспечению информационной безопасности компании, целями которого является:

  • создание нормативно-методической основы для дифференцированного подхода к защите ресурсов АС компании, (информации, задач, специализированных АРМ, рабочих станций);

  • выработка типовых решений по принимаемым организационным мерам защиты и распределению аппаратно-программных средств защиты для различных категорий рабочих станций АС компании.

Активы компании делятся на 2 класса:

  • информационные ресурсы;

  • аппаратные ресурсы.

Для выделения активов информации в качестве исходных данных используются: перечень сведений составляющих государственную,

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

1.3.1Выбор комплекса задач обеспечения информационной безопасности




В таблице 1.10 показано, какие виды деятельности имеют отношение к обеспечению информационной безопасности организации, и кто несет за них ответственность, – при условии, что все службы добросовестно исполняют свои обязанности.

Таблица 1.

Информационная безопасность в ООО «Динтранс»


Виды операций

Информационные ресурсы

 Бумажные документы

Электронные документы

 Информация и знания сотрудников

Создание информационного ресурса (создание и оформление документов)

 Бухгалтерия, отдел по работе с клиентами

 Бухгалтерия, отдел по работе с клиентами

 Бухгалтерия, отдел по работе с клиентами

Оперативная работа с документами и документационное обеспечение деловых процессов

Служба делопроизводства

Служба делопроизводства

 ?

Организация документооборота

 Бухгалтерия

   ИТ

 -

Обеспечение соответствия требованиям законодательства

Отдел по работе с клиентами




Руководство

Учет документов (ознакомленности с информацией)

 Бухгалтерия




?



1.4 Выбор защитных мер

1.4.1 Выбор организационных мер



В качестве основных организационных мер предполагается модернизация существующей политик безопасности путем разработки дополняющих ее документов, которые бы конкретизировали выполнение мер обеспечения информационной безопасности по отдельным вопросам и угрозам.

Политика информационной безопасности — самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности.

Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.

Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа — политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливающей критерии для оценивания рисков и т.д.

Политика информационной безопасности и политика СУИБ организации могут быть описаны в одном документе. Разработка такого документа — задача непростая и очень ответственная. С одной стороны политика информационной безопасности должна быть достаточно емкой и понятной для всех сотрудников организации. С другой стороны, на основе этого документа строится вся система мер по обеспечению информационной безопасности, поэтому он должен быть достаточно полным и всеохватывающим. Любые упущения и неоднозначности могут серьезным образом отразиться на функционировании СУИБ организации. Политика информационной безопасности должна полностью соответствовать

2Проектная часть

2.1Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия



Правоотношения субъектов в информационной сфере определяются различными правовыми, нормативными и подзаконными актами. Все они имеют разную степень приоритетности исполнения.

Среди документов, составляющих нормативно-правовую базу обеспечения информационной безопасности выделяются документы, формирующие правовое поле отношений субъектов (правовое обеспечение) и документы, устанавливающие комплекс норм, правил, требований к элементам информационных систем (нормативно-техническое обеспечение).

Документы, направленные на правовое обеспечение должны использоваться при определении статуса, прав и обязанностей, границ ответственности субъектов при обеспечении информационной безопасности.

Документы, направленные на нормативно-техническое обеспечение должны использоваться при определении уровней обеспечения информационной безопасности и формулировании конкретных технических требований к элементам информационных систем.

Нормативно-правовую базу составляют следующие основные группы документов, которые должны учитываться при обеспечении информационной безопасности:

  1. Международное правовое обеспечение, которое составляют международные нормативные акты (Конвенции, Соглашения, Декларации) к которым присоединилась (подписала, ратифицировала) Российская Федерация, а также заключенные от лица Российской Федерации международные Договоры (Пакты).





2.2Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия

2.2.1Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия


Технология ViPNet осуществляет функции межсетевого экрана как для открытых соединений, так и для защищенных, системы обнаружения вторжений (IDS), IM-клиента, почтовой службы (защищенной от спама и несанкционированного доступа), назначения виртуальных адресов видимости.

Для развертывания сети ViPNet достаточно установить на рабочие станции программное обеспечение ViPNet. При этом практически не требуется менять топологию существующей сети или приобретать дополнительное оборудование. В технологии ViPNet для организации защищенного соединения используется схема с автоматически распределенными на этапе установки ПО симметричными ключами шифрования и автоматизированной процедурой их синхронного обновления. Каждый пакет, который отправляется в сеть, автоматически шифруется с использованием уникального производного ключа, без каких-либо процедур установления соединения (handshaking). Это позволяет организовывать защищенную передачу данных по ненадежным каналам, по каналам, которые характеризуются большими потерями трафика (спутниковые каналы, модемное соединение и т. п.), а также обеспечивать бесперебойную работу локальной сети, для которой недопустимы задержки в установлении соединений.

Технология ViPNet без потери качества соединения обеспечивает постоянство тех свойств защищенного соединения, которые существенно влияют на безопасность. А именно: постоянное шифрование всего IP-пакета вместе с исходными IP-адресами и протоколами, постоянное обеспечение имитозащиты пакета (защиты от навязывания ложных пакетов), исключение возможности шифрования только части трафика в направлении заданного защищенного узла. Протокол, используемый в рамках технологии ViPNet, обеспечивает защищенную передачу данных по любым каналам связи, через любые устройства NAT/PAT — даже в том случае, когда интернет-провайдер

3Обоснование экономической эффективности проекта

3.1Выбор и обоснование методики расчёта экономической эффективности




В соответствии с современной теорией оценки эффективности систем [15], качество любого объекта, в том числе и СЗИ, проявляется лишь в процессе его использования по назначению (целевое функционирование), поэтому наиболее объективным является оценивание по эффективности применения.

Проектирование, организация и применение СЗИ фактически связаны с неизвестными событиями в будущем и поэтому всегда содержат элементы неопределенности. Кроме того, присутствуют и другие причины неоднозначности, такие как недостаточно полная информация для принятия управленческих решений или социально-психологические факторы. Поэтому, например, этапу проектирования СЗИ естественным образом сопутствует значительная неопределенность. По мере реализации проекта ее уровень снижается, но никогда эффективность СЗИ не может быть адекватно выражена и описана детерминированными показателями. Процедуры испытаний, сертификации или лицензирования не устраняют полностью неопределенность свойств СЗИ или ее отдельных элементов и не учитывают случайный характер атак. Поэтому объективной характеристикой качества СЗИ - степенью ее приспособленности к достижению требуемого уровня безопасности в условиях реального воздействия случайных факторов, может служить только вероятность, характеризующая степень возможностей конкретной СЗИ при заданном комплексе условий. В общей теории систем такая характеристика называется вероятностью достижения цели операции или вероятностью выполнения задачи системой. Данная вероятность должна быть положена в основу комплекса показателей и критериев оценки эффективности СЗИ. При этом критериями оценки служат понятия пригодности и оптимальности. Пригодность означает выполнение всех установленных к СЗИ требований, а оптимальность — достижение одной из характеристик экстремального значения при соблюдении ограничений и условий на другие свойства системы. При выборе конкретного критерия необходимо его согласование с целью, возлагаемой на СЗИ.

3.2Расчёт показателей экономической эффективности проекта



В предыдущей главе была рассчитана суммарная величина потерь в случае реализации рассмотренных угроз. В данном пункте рассчитаем постоянные и переменные затраты на разработку документов для обеспечения системы защиты информации и внедрение аппаратно-программного комплекса, определим экономическую эффективность ее внедрения и срок окупаемости предлагаемых мер.

В ходе проектирования, внедрения и эксплуатации системы безопасности возможны разовые и постоянные затраты. К разовым затратам относятся следующие:

  • Заработная плата персонала при разработке системы безопасности, в том числе политики безопасности;

  • Затраты на приобретение материалов, аппаратного и программного обеспечения.

К постоянным затратам отнесем такие затраты, как заработная плата сотрудников, поддерживающих работоспособность системы безопасности информационной системы.

Разовые затраты оценены в таблице 3.2..


Таблица 3.

Содержание и объем разового ресурса, выделяемого на защиту информации

Организационные мероприятия

п\п

Выполняемые действия

Среднечасовая зарплата специалиста (руб.)

Трудоемкость операции (чел.час)

Стоимость, всего (тыс.руб.)



Изучение требований руководящих документов

138

28,8

3,312



Исследование существующей информационной системы

138

21,6

2,484


Заключение



Одним из основных сдерживающих факторов внедрения информационных систем и информационных и коммуникационных технологий в сферы экономики и бизнеса является их принципиальная уязвимость от различного рода угроз. Информационная безопасность компьютерных систем, рассматриваемая как состояние их защищенности от воздействий деструктивного характера, является в настоящее время одной из самых существенных проблем, причем их значимость по мере масштабов внедрения компьютерной техники во все жизненно важные сферы жизнедеятельности общества, будет только возрастать. Однако отсутствие надлежащих знаний, умений и навыков в области ИБКС чревато серьезными издержками при использовании ИКТ в сфере экономики и бизнеса, поскольку одним из основных сдерживающих факторов их внедрения является принципиальная уязвимость от различного рода угроз информационной безопасности. Сложность, многоаспектность и чрезвычайная важность для пользователей ИКТ проблематики ИБКС (в условиях конкурентной борьбы в рамках современных рыночных отношений, когда понятия информационного противоборства и информационного оружия отражают реалии современного бизнеса) требуют комплексного, системного подхода к её изучению.

Понятие безопасности – чрезвычайно сложное, как сама жизнь, явление, с признаками общего, особенного и единичного. Безопасность в глобальном плане – это состояние защищенности личности, общества, государства и ноосферы от многообразных факторов, базирующееся на деятельности людей, общества, государства, мирового сообщества по выявлению (изучению), предупреждению, ослаблению, устранению (ликвидации) и отражению опасностей и угроз, способных погубить их, лишить фундаментальных материальных и духовных ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития.

Итак, в нашей работе был произведен анализ угроз, которые могут возникнуть в ходе деятельности ООО «Динтранс», а также определены основные программные, аппаратные и административные факторы обеспечения

Список использованной литературы


  1. Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2005 г.- 399 с.

  2. Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2006.-193 с.

  3. Бузов Г.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.- Горячая линия-Телеком.-2005.-416 с.

  4. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002г.-272с.

  5. Домарев В.В. "Безопасность информационных технологий. Системный подход" - К.:ООО ТИД «Диасофт», 2004.-992 с.

  6. Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003, 212 с.

  7. Карпунин М.Г., Моисеева Н.К. «Основы теории и практики функционально-i стоимостного анализа». — М. Высшая школа, 1988.

  8. Кнорринг Г.М. Справочная книга для проектирования электрического освещения / Г.М.Кнорринг, И.М.Фадин, Сидоров В.Н. — 2-е изд., перераб. и доп. — СПб.: Энергоатомиздат, 1992 .— 448с.

  9. Кульгин М. В.,Технология корпоративных сетей. Энциклопедия. СПб, Питер, 2001, 300 с.

  10. Лапонина О. Р., Межсетевое экранирование, Бином,  2007 г.-354с.

  11. Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2002 г, 304 с.

  12. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2004.-280 с.