Разработка регламента проведения аудита ФГБУ ФНКЦ ФМБА России
Целью проекта является повышение уровня защищенности системы информационной безопасности в ФГБУ ФМБА ФНКЦ России.
Задача аудита - объективно оценить, насколько текущее состояние информационной безопасности компании соответствует предъявляемым требованиям и стандартам ИБ, а также задачам бизнеса по увеличению эффективности и рентабельности экономической деятельности компании.
Диплом состоит из 3 глав.
В первой главе выделены информационные активы, нуждающиеся в защите, рассмотрена задача построения информационной безопасности, для решения которой проводится характеристика информационной системы предприятия, угроз ИБ, и сформулированы требования к системе защиты информационной безопасности, произведен анализ и выбор средств информационной безопасности.
Во второй главе затрагиваются вопросы проектирования системы информационной безопасности в рамках государственных стандартов. Описаны основные организационные мероприятия по повышению уровня информационной безопасности, рассмотрена структура программно-аппаратного комплекса, приведен контрольный пример, включая схемы технической и программной архитектуры после внедрения предлагаемой системы защиты информации.
В третьей главе производится оценка экономического эффекта от модернизации системы информационной безопасности компании на основании снижения возможных потерь после внедрения предлагаемых мер информационной безопасности.
1.1 Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения). 7
1.1.1 Общая характеристика предметной области. 7
1.1.2 Организационно-функциональная структура предприятия. 8
1.2 Анализ рисков информационной безопасности. 9
1.2.1 Идентификация и оценка информационных активов. 9
1.2.2 Оценка уязвимостей активов. 21
1.2.3 Оценка угроз активам.. 27
1.2.4 Оценка существующих и планируемых средств защиты.. 33
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 43
1.3.1 Выбор комплекса задач обеспечения информационной безопасности. 43
1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 47
1.4.1 Выбор организационных мер. 58
1.4.2 Выбор инженерно-технических мер. 62
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 69
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 69
2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 76
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 85
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия. 85
2.2.2 Контрольный пример реализации проекта и его описание. 91
3 Обоснование экономической эффективности проекта. 100
3.1 Выбор и обоснование методики расчёта экономической эффективности. 100
3.2 Расчёт показателей экономической эффективности проекта. 106
Список использованной литературы.. 114
Приложение 1. Опросник для определения степени критичности систем.. 116
1. Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2006.-193 с.
2. Баричев С. Г., Серов Р. Е., Гончаров В. В.Основы современной криптографии, Изд-во: Горячая Линия – Телеком, 176 стр.
3. Бузов Г.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.- Горячая линия-Телеком.-2005.-416 с.
4. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002г.-272с.
5. Домарев В.В. "Безопасность информационных технологий. Системный подход" - К.:НПО ТИД «Диасофт», 2004.-992 с.
6. Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003, 212 с.
7. Лапонина О. Р., Межсетевое экранирование, Бином, 2007 г.-354с.
8. Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2002 г, 304 с.
9. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2004.-280 с.
10. Малюк А.А., Пазизин СВ., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. -2-е изд.-М.: Горячая линия-Телеком.-2004.- 147 с.
11. Моисеева Н.К. «Практикум по проведению функционально Олифер В.Г., Олифер Н.А. ,Компьютерные сети. Принципы, технологии, протоколы, 2-е изд., СПб, Питер-пресс, 2002 год, 465 с.
12. Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие-М.: Радио и связь, 2001г.-368с.
13. Руководящий документ Ростехкомиссии РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»
14. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008 г.- 320 с.
15. Стандарт ЦБ РФ "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", (принят и введен в действие распоряжением ЦБ РФ от 18 ноября 2004 г. N Р-609).
16. Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» от 27 июля 2006 года
17. Фороузан Б. А., Криптография и безопасность сетей, изд-во, Бином. Лаборатория знаний, 2010 год, 784 стр.
18. Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие. М.: Гостехкомиссия России, 1998. - 320 с.
19. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации (под редакцией Ковтанюка) К.: Издательство Юниор, 2003г.-504с.
20. Щеглов А.Ю., Защита компьютерной информации от несанкционированного доступа: Изд. «Наука и техника», 2004, 384 с
21. Ярочкин В.И. Информационная безопасность. Учебное пособие,. — М.: Междунар. отношения, 2000. — 400 с.: ил.
