Синергия -Разработка политики информационной безопасности ООО «Инфраструктура ТК»

ЗАДАНИЕ НА ВЫПУСКНУЮ КВАЛИФИКАЦИОННУЮ РАБОТУ

Студент ____________________________________________
(Фамилия Имя Отчество)

1. Тема выпускной квалификационной работы (ВКР):
Разработка политики информационной безопасности ООО «Инфраструктура ТК»

Утверждена приказом университета № ___________ от «____»___________ 202_ г.

2. Срок сдачи студентом ВКР «____» ________ 202_ г.

3. Исходные данные по ВКР характеристика предприятия, организационная структура управления предприятием, программная и техническая архитектура ИС предприятия, описание существующих бизнес-процессов ООО «Инфраструктура ТК».

4. Содержание разделов выпускной квалификационной работы

Введение
I Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).
1.1.1. Общая характеристика предметной области.
1.1.2. Организационно-функциональная структура предприятия.
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов.
1.2.2. Оценка уязвимостей активов.
1.2.3. Оценка угроз активам.
1.2.4. Оценка существующих и планируемых средств защиты.
1.2.5. Оценка рисков.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности.
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер.
1.4.2. Выбор инженерно-технических мер.
II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.
2.2.2. Контрольный пример реализации проекта и его описание.
III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
Заключение
Приложения

5. Основные вопросы, подлежащие разработке
В главе 1 необходимо представить обоснование актуальности выбора задачи обеспечения информационной безопасности, обосновать и изложить используемую стратегию действий по защите информационных ресурсов, результаты анализа предметной области, а также обоснование и результаты выбора административных и инженерно-технических мер.
В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание.
В разделе 1.2 следует провести анализ рисков информационной безопасности, для чего необходимо:
• идентифицировать информационные активы;
• ранжировать их по степени важности;
• определить активы, которые относятся к конфиденциальным;
• оценить уязвимость активов;
• оценить степень угроз выбранным информационным активам;
• дать характеристику действующей системе защиты информации на предприятии на предмет полноты и адекватности реагирования на угрозы информационной безопасности.
• провести обоснование выбора методики оценки рисков с последующим проведением оценки.
Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
В разделе 1.3 необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.
В разделе 1.4 необходимо провести анализ и обоснование выбора:
• стратегии обеспечения информационной безопасности
• организационных и инженерно-технических мер обеспечения информационной безопасности;
• необходимых документов, регламентирующих проведение мероприятий по обеспечению информационной безопасности

В главе 2 необходимо представить проектные решения в соответствии с выбранным направлением обеспечения информационной безопасности.
В разделе 2.1 необходимо провести выбор нормативных актов отечественного и международного права, которые будут использоваться в качестве основы для разработки внутренних нормативных документов, а также разработать образцы документов в соответствии с выбранной темой.
Раздел 2.2 должен содержать описание внедряемых (разрабатываемых) программно-аппаратных средств информационной безопасности, а также описание контрольного примера применения выбранных средств информационной безопасности.
Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, выполненные в соответствии с изложенной методикой. Расчетные данные следует представить в виде таблиц и диаграмм, отражающие сравнение величины ущерба до и после реализации мер по защите информации.
Приложение обязательно должно содержать формы внутренних нормативных документов. Кроме того также могут быть приведены:
• схемы или таблицы из основной части выпускной квалификационной работы;
• результаты выполнения контрольного примера;
• схемы документооборота;
• примеры классификаторов;
• формы первичных и результатных документов;
• распечатки меню, экранных форм ввода, получаемых отчетов в разработанной системе;
• а также другие материалы выпускной квалификационной работы, кроме копий документов, не имеющих отношения к выпускной квалификационной работе, рекламных сообщений, скриншотов. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части выпускной квалификационной работе.
С детальным рассмотрением содержания каждого пункта, а также примерами схем и таблиц необходимо ознакомиться в «Методических указаниях по подготовке выпускной квалификационной работы для направления «Информационные системы и технологии», профиль «Информационная безопасность», размещенных на сайте МЕГАКАМПУСа в личном кабинете студента. При подготовке выпускной квалификационной работы вы можете пользоваться дополнительными литературными источниками, а также основной литературой, список которой приведен ниже.

6. Список литературы
1. Доктрина информационной безопасности Российской Федерации
2. Федеральный закон РФ от от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации

3. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3
4. Н.Скабцов. Аудит безопасности информационных систем – СП-б.:Питер, 2018
5. А.Бирюков. Информационная безопасность. Защита и нападение – М.:ДМК Пресс, 2017
6. С.Нестеров. Информационная безопасность. Учебник и практикум – М.:Юрайт, 2017
7. Д.А.Мельников. Организация и обеспечение безопасности информационно-технологических сетей и систем. Учебник – М.:КДУ, 2015
8. Нестеров, С.А. Основы информационной безопасности : учебное пособие / С.А. Нестеров ; Министерство образования и науки Российской Федерации, Санкт-Петербургский государственный политехнический университет. - СПб. : Издательство Политехнического университета, 2014. - 322 с. : схем., табл., ил. - ISBN 978-5-7422-4331-1 ; То же [Электронный ресурс].
9. Аверченков, В.И. Аудит информационной безопасности : учебное пособие для вузов / В.И. Аверченков. - 3-е изд., стереотип. - М. : Флинта, 2016. - 269 с. - Библиогр. в кн. - ISBN 978-5-9765-1256-6 ; То же [Электронный ресурс].
Дата выдачи задания «_20__» _Сентября____________ 2021 г.

Руководитель выпускной квалификационной работы ___________________
подпись

Студент ___________________
подпись

СОДЕРЖАНИЕ
ВВЕДЕНИЕ 8
I АНАЛИТИЧЕСКАЯ ЧАСТЬ 12
1.1. Технико-экономическая характеристика предметной области и предприятия 12
1.1.1. Общая характеристика предметной области 12
1.1.2. Организационно-функциональная структура предприятия 14
1.1.3. Программная и техническая архитектура ИС предприятия 20
1.2. Анализ рисков информационной безопасности 22
1.2.1 Идентификация и оценка информационных активов 22
1.2.2. Оценка уязвимостей активов 26
1.2.3. Оценка угроз активам 31
1.2.4. Оценка существующих и планируемых средств защиты 34
1.2.5. Оценка рисков 38
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 40
1.3.1. Выбор комплекса задач обеспечения информационной безопасности 40
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 43
1.4. Выбор защитных мер 44
1.4.1. Выбор организационных мер 44
1.4.2. Выбор инженерно-технических мер 48
II ПРОЕКТНАЯ ЧАСТЬ 54
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 54
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 54
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 56
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 61
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 61
2.2.2. Контрольный пример реализации проекта и его описание 68
III ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА 75
3.1 Выбор и обоснование методики расчёта экономической эффективности 75
3.2 Расчёт показателей экономической эффективности проекта 77
ЗАКЛЮЧЕНИЕ 81
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 85

ВВЕДЕНИЕ

Информация стала товаром, который можно приобрести, обменять или продать. При этом стоимость такой информации часто в тысячи раз превосходит стоимость самой компьютерной системы, где она сохраняется.
От уровня безопасности информационных технологий (ИТ) в настоящее время также зависит и благополучие, жизнь многих людей. Это все - плата за усложнение, распространение автоматизированных информационных систем (АИС) обработки информации.
Под понятием «информационная безопасность» понимается защищенность некоторой информационной системы (ИС) от случайного или же преднамеренного вмешательства, что наносит ущерб владельцам или же другим пользователям информации.
На практике самыми важными являются 3 аспекта информационной безопасности, а именно:
- доступность – возможность получить за разумное время требуемые информационные услуги;
- целостность – актуальность, непротиворечивость информации, а также ее защищенность от несанкционированного изменения и разрушения;
- конфиденциальность – защита от несанкционированного доступа к информации.
Нарушения доступности или конфиденциальности данных могут также вызываться различными опасными действиями в информационных компьютерных системах.
Современная информационная система (ИС) представляет собой сложнейшую систему, что состоит из большого числа компонентов самой различной степени автономности, которые связаны между собой, и также обмениваются данными.
Каждый компонент, может быть подвергнут внешнему воздействию или же выйти из строя. Компонент АИС можно разбивать на следующие подгруппы:
– аппаратные средства – персональные компьютеры (ПК) и их составные (процессоры, терминалы, мониторы, периферийные устройства: дисководы, принтеры, кабели, контроллеры, линии связи и прочее);
– программное обеспечение – приобретенные компьютерные программы, объектные, исходные, загрузочные модули для программ; операционные системы (ОС) и системные программы (компоновщики, компиляторы и др.), диагностические программы, утилиты и т.д.;
– данные (информация) – хранимые постоянно и временно, на носителях, архивы, печатные, системные журналы и т.п.;
– персонал – пользователи и обслуживающий персонал.
Все эти структурные части кардинально могут влиять на параметры защиты информации в организациях.
Необходимость, высокая экономическая эффективность, а также фундаментальная значимость применения современных средств защиты информации (по сравнению с классическими системами защиты данных) могут определяться, прежде всего, по их способности предупреждать и устранять угрозы информации.
Исключительно эффективным является использование брандмауэров, фильтров, антивирусных программ и других примеров средств защиты информации в организациях разного уровня развития, собственности и направления деятельности.
В ряде предприятий достигнут на сегодня высокий уровень безопасности рабочих станций, поскольку грамотно разработан проект вычислительных сетей, а также используются качественные образцы аппаратного и лицензионного программного обеспечения.
В настоящее время управление фирмой практически невозможно без постоянного отслеживания состояния безопасности информации, без оперативной коррекции деятельности всех сотрудников, филиалов и отделов в плане защиты данных.
Реализация всех названных задач требует участия большого количества различных специалистов, которые друг от друга часто территориально удалены.
Актуальность написания ВКР состоит в том, что использование политики информационной безопасности на предприятиях является одной из важнейших составляющих, так как от этого зависит достижение целей функционирования организации и ее миссии.
Целью написания, представляемой выпускной квалификационной работы, является разработка политики информационной безопасности в ООО «Инфраструктура ТК».
При определении цели написания исследования решены следующие задачи:
– дать характеристику деятельности ООО «Инфраструктура ТК», а также рассмотреть организационно-функциональную структуру предприятия;
– выполнить анализ рисков информационных активов (оценка уязвимостей, угроз, существующих и планируемых средств защиты и прочее);
– дать характеристику комплексу задач, а также обоснование необходимости совершенствования системы обеспечения информационной безопасности (ИБ) в ООО «Инфраструктура ТК»;
– выполнить выбор защитных организационных и инженерно- технических мер;
– рассмотреть комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия;
– описать комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия;
– выполнить обоснование экономической эффективности проекта.
Объект работы – ООО «Инфраструктура ТК».
Предмет работы – инструменты и политики информационной безопасности в ИС ООО «Инфраструктура ТК».
Практической ценностью исследования считается то, что в настоящее время множество организаций разной сферы деятельности испытывают огромные трудности при непосредственном осуществлении защиты данных, так как уязвимая информационная среда является основным «слабым звеном» для воздействия на него злоумышленников.
Представляемая ВКР состоит из таких структурных компонентов: введение, 3 раздела основной части, заключение, список использованных источников, приложение.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Доктрина информационной безопасности Российской Федерации
2. Федеральный закон РФ от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
3. ГОСТ Р ИСО/МЭК 15408-1-2012. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3
4. Анин Б. Защита компьютерной информации. Серия "Мастер". - СПб.: БХВ-Петербург, 2019. – 250 с.
5. Анин Б. Ю. Защита компьютерной информации. – СПб.:"BHV-Санкт- Петербург" – 2019. –384 с.
6. Бабаш А.В. Криптография. - М.: Изд-во "СОЛОН-Пресс", 2018. – 340 с.
7. Бабенко Л.К. Современные алгоритмы блочного шифрования и методы их анализа. - М.: Гелиос АРВ, 20206.-376 с., ил.
8. Ворона В.А. Системы контроля и управления доступом, издательство: Политехника, 2020. – 236 с.
9. Галатенко В. А. Информационная безопасность. –М.: Финансы и статистика, 2019. –158 с.
10. Галатенко В.А. Стандарты информационной безопасности. 2-е изд. Курс лекций. Учебное пособие", издательство: ИНТУИТ.РУ, 2019. – 250 с.
11. Галицкий, А.В. Защита информации в сети - анализ технологий и синтез решений / А.В. Галицкий, С.Д. Рябко, В.Ф. Шаньгин. - М.: ДМК Пресс, 2018. - 615 c.
12. Герасименко В. А. Защита информации в автоматизированных системах обработки данных кн. 1.-М.: Энергоатомиздат, 2018.-400с.
13. Емельянова, Н. З. Защита информации в персональном компьютере / Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2020. - 368 c.
14. Защита информации. - М.: Горячая линия - Телеком, 2019. - 176 c.
15. Защита информации в телекоммуникационных системах / Г.Ф. Конахович и др. - М.: МК-Пресс, 2019. - 288 c.
16. Конеев И. Р. Информационная безопасность предприятия.-СПб.: БХВ- Петербург, 2017.- 752с.:ил.
17. Кухарев Г.А. Методы и средства идентификации, издательство: Политехника, 2020.–368 с.
18. Лапонина О.Р. Криптографические основы безопасности. - М.: Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру", 2020. – 250 с.
19. Ратенко В. Н. Защита информации в сетях / В.Н. Ратенко, В.В. Афанасьев, Н.В. Волков. - М.: Горячая линия - Телеком, 2019. - 360 c.
20. Шалюк, А. А. Введение в защиту информации в автоматизированных системах / А.А. Шалюк, С.В. Пазизин, Н.С. Погожин. - М.: Горячая линия - Телеком, 2017. - 147 c.
21. Челухин, Информационная безопасность предприятия, 2020, -144с. Москва.
22. С.А. Петренко, В.А. Курбатов, Политики информационной безопасности, 2017, -400с.
23. В. Гребенников, Управление информационной безопасностью Издательство: Издательские решения, 2019, -302с.
24. Родичев Ю. А. Информационная безопасность. Национальные стандарты Российской Федерации. Учебное пособие, Серия: Учебник для вузов, Издательство: Питер, 2019, -304с.
25. Душкин А. В., Барсуков О. М., Кравцов Е. В., Славнов К. В. Программно- аппаратные средства обеспечения информационной безопасности. Учебное пособие для вузов, 2019, -248с. Горячая линия – телеком
26. Бондарев В. В. Введение в информационную безопасность автоматизированных систем. Учебное пособие | Бондарев Валерий Васильевич

27. Издательство: МГТУ им. Н. Э. Баумана, 2018, -252с.
28. Душкин А. В., Барсуков О. М., Кравцов Е. В., Славнов К. В., Кущев С. С. Программно-аппаратные средства обеспечения информационной безопасности. Горячая линия –телеком, 2019, -412с.
29. Бирюков А. А. Информационная безопасность. Защита и нападение. Издательство: ДМК Пресс, 2017,-434с.
30. Масхут М. В., Т. Х. Агишев, В. Г. Дмитриев, Системы информационной безопасности и защита информации, -260с.
31. Хорев П. Б. Программно-аппаратная защита информации, издательство: Форум, 2018,-352 с.

9053(2)