Организация безопасности средствами инженерно-технических мер на предприятии ООО “Берг”

На современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.

В настоящее время хорошо налаженная распределенная сеть информационно-вычислительных комплексов способна сыграть такую же роль в общественной жизни, какую в свое время сыграли электрификация, телефонизация, радио и телевидение вместе взятые. Ярким примером этому стало развитие глобальной сети Internet. Уже принято говорить о новом витке в развитии общественной формации - информационном обществе.

Любая предпринимательская деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.

Учитывая известный афоризм «цель оправдывает средства», информация представляет определенную цену. И поэтому сам факт получения информации злоумышленником приносит ему определенный доход, ослабляя тем самым возможности конкурента. Отсюда главная цель злоумышленника - получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к дезинформации по определенным сферам деятельности, учетным данным, результатам решения некоторых задач. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. В связи с этим все большее значение приобретает организация эффективной системы информационной безопасности.

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.

Исходя из поставленной цели, необходимо решить следующие задачи:

1. Определить минимальные требования на основе потребностей в ИБ;

2. Разработать концепцию ИБ;

3. Проанализировать риски;

4. Разработать политику ИБ и выбрать решения по обеспечении политики ИБ;

5. Разработать систему информационной безопасности.

Введение. 9

1 Аналитическая часть. 11

1.1 Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения). 11

1.1.1 Общая характеристика предметной области. 11

1.1.2 Организационно-функциональная структура предприятия. 12

1.2 Анализ рисков информационной безопасности. 17

1.2.1 Идентификация и оценка информационных активов. 17

1.2.2 Оценка уязвимостей активов. 24

1.2.3 Оценка угроз активам.. 27

1.2.4 Оценка существующих и планируемых средств защиты.. 31

1.2.5 Оценка рисков. 41

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 45

1.3.1 Выбор комплекса задач обеспечения информационной безопасности. 45

1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 47

1.4 Выбор защитных мер. 54

1.4.1 Выбор организационных мер. 54

1.4.2 Выбор инженерно-технических мер. 57

2 Проектная часть. 59

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 59

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 59

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 63

2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 79

2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия. 79

2.2.2 Контрольный пример реализации проекта и его описание. 83

3 Обоснование экономической эффективности проекта. 95

3.1 Выбор и обоснование методики расчёта экономической эффективности. 95

3.2 Расчёт показателей экономической эффективности проекта. 99

Заключение. 104

1. Силаенков А.Н. Проектирование системы информационной безопасности: учеб. пособие – Омск: Изд-во ОмГТУ, 2009. – 128 с.

2. Руководящий документ Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации от 30 марта 1992 г.

3. Грязнов Е.С., Панасенко С.А. Безопасность локальных сетей. – М.: Вузовский учебник, 2006.- 525 с.

4. Козлачков П.С. Основные направления развития систем информационной безопасности. – М.: финансы и статистика, 2004.- 736 с.

5. Леваков Г.Н. Анатомия информационной безопасности. – М.: ТК Велби, издательство Проспект, 2004.- 256 с.

6. Соколов Д.Н., Степанюк А.Д. Защита от компьютерного терроризма. – М.: БХВ-Петербург, Арлит, 2002.- 456 с.

7. Сыч О.С. Комплексная антивирусная защита локальной сети. – М.: финансы и статистика, 2006.- 736 с.

8. Швецова Н.Д. Системы технической безопасности: актуальные реалии. – Спб: Питер, 2004. – 340 с.

9. Липаев В.В. Процессы и стандарты жизненного цикла сложных программных средств. Справочник. – М.: Синтег, 2006. – 276 с.

10. Марка Д.А., МакГоуэн К. Методология структурного анализа и проектирования. – М.: МетаТехнология, 2011. – 274 с.

11. Мейер Б. Объектно-ориентированной конструирование программных систем. – М.: ИНТУИТ, 2009. – 1232 с.

12. Мещеряков С.В., Иванов В.М. Эффективные технологии создания информационных систем. – М.: Политехника, 2011. – 309 с.

13. Мишенин А.И. Теория экономических информационных систем. – М.: Финансы и статистика, 2008. – 240 с.

14. Мамаев М., Петренко С. Технологии защиты информации в Интернете. Спец.справочник. – СПб, Питер, 2009

15. Алексенцев А.И. Сущность и соотношение понятий «защита информации», безопасность информации» и «информационная безопасность» // Безопасность информационных технологий. 2009. № 1.

16. Бойль Томас, Мировые информационные системы.- М.: Инфо, 2007.

17. Бройдо В.Л. Вычислительные системы, сети и телекоммуникации.- СПб.: Питер, 2007.

18. http://www.lghost.ru/lib/security/kurs5/theme01_chapter04.htm

19. http://www.globaltrust.ru/

20. http://www.arnis.ru/gost_17799_common.htm