В рамках дипломного проекта рассматривается объект, использующий в процессе документооборота информацию, являющуюся коммерческой тайной. Таким образом, можно сделать вывод, что данный объект подлежит анализу на соответствие требований выставленных ГТК, и в случае не соответствия – подлежит модернизации.
Темой дипломного проекта является Разработка мероприятий по защите от несанкционированного доступа к информации в ЛВС ЗАО «РБК-ТВ».
Целью проекта является повышение уровня защищенности системы информационной безопасности в компании.
Диплом состоит из 3 глав. Краткое описание каждой из них приведено ниже.
В первой главе рассмотрена задача построения информационной безопасности, для решения которой проводится характеристика информационной системы предприятия, угроз ИБ, и выдвижение требований к системе защиты информационной безопасности.
Во второй главе затрагиваются вопросы проектирования системы информационной безопасности в рамках государственных стандартов. Определяются требования к системе информационной в рамках тех же государственных стандартов. Так же производится анализ существующей системы ИБ, и выявление несоответствий требованиям государственных стандартов.
Эта же глава посвящена устранению недостатка в системе ИБ предприятия именно описанию внедрения программного-аппаратного комплекса для защиты информации компании.
В третьей главе производится оценка экономического эффекта от модернизации системы информационной безопасности компании.
1.1 Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения). 9
1.1.1. Общая характеристика предметной области. 9
1.1.2. Организационно-функциональная структура предприятия. 10
1.2 Анализ рисков информационной безопасности. 15
1.2.1 Идентификация и оценка информационных активов. 15
1.2.2. Оценка уязвимостей активов. 22
1.2.3. Оценка угроз активам.. 28
1.2.4. Оценка существующих и планируемых средств защиты.. 38
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 49
1.3.1. Выбор комплекса задач обеспечения информационной безопасности. 49
1.2.6. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 51
1.4.1. Выбор организационных мер. 53
1.4.2. Выбор инженерно-технических мер. 57
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 65
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 65
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 71
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 77
2.2.1. Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия. 77
2.2.2. Контрольный пример реализации проекта и его описание. 91
3. Обоснование экономической эффективности проекта. 102
3.1. Выбор и обоснование методики расчёта экономической эффективности. 102
3.2. Расчёт показателей экономической эффективности проекта. 106
Список использованной литературы.. 114
Приложение 1. Методика проведения аттестационных испытаний выделенного объекта 117
1. Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2005 г.- 399 с.
2. Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2006.-193 с.
3. Бузов Г.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.- Горячая линия-Телеком.-2005.-416 с.
4. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002г.-272с.
5. Домарев В.В. "Безопасность информационных технологий. Системный подход" - К.:ООО ТИД «Диасофт», 2004.-992 с.
6. Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003, 212 с.
7. Карпунин М.Г., Моисеева Н.К. «Основы теории и практики функционально-i стоимостного анализа». — М. Высшая школа, 1988.
8. Кнорринг Г.М. Справочная книга для проектирования электрического освещения / Г.М.Кнорринг, И.М.Фадин, Сидоров В.Н. — 2-е изд., перераб. и доп. — СПб.: Энергоатомиздат, 1992 .— 448с.
9. Кульгин М. В.,Технология корпоративных сетей. Энциклопедия. СПб, Питер, 2001, 300 с.
10. Лапонина О. Р., Межсетевое экранирование, Бином, 2007 г.-354с.
11. Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2002 г, 304 с.
12. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2004.-280 с.
13. Малюк А.А., Пазизин СВ., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. -2-е изд.-М.: Горячая линия-Телеком.-2004.- 147 с.
Моисеева Н.К. «Практикум по проведению функционально Олифер В.Г., Олифер Н.А. ,Компьютерные сети. Принципы, тех-нологии, протоколы, 2-е изд, СПб, Питер-пресс, 2002 год, 465 с.
14. Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие-М.: Радио и связь, 2001г.-368с.
15. Рудометов Е.А., Рудометов В.Е. Электронные средства коммерческой разведки и защиты информации. - М.: ООО «Фирма «Издательство АСТ»; С.-Петербург: ООО «Издательство Полигон», 2000. – 224 с., ил.
16. Руководящий документ Ростехкомиссии РФ «Классификация автоматизированных систем и требования по защите информации»
17. Руководящий документ Ростехкомиссии РФ «Критерии оценки безопасности информационных технологий»
18. Руководящий документ Ростехкомиссии РФ «Средства вычислительной техники. межсетевые экраны.защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»
19. Руководящий документ Ростехкомиссии РФ «Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам»
20. Сборник статей. А.Ю.Щеглов, К.А.Щеглов. Под общим названием «КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ. Новые технологии, методы и средства добавочной защиты информации от несанкционированного доступа (НСД)», СПб, 2005
21. Селезнва Н.Н., Ионова А.Ф. Финансовый анализ. Управление финансами: Учеб. пособие для вузов. – 2-е изд., перераб. и доп. – М.: ЮНИТИ-ДАНА, 2007. – 639 с.
22. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008 г.- 320 с.
23. Стандарт ЦБ РФ "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", (принят и введен в действие распоряжением ЦБ РФ от 18 ноября 2004 г. N Р-609).
24. Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» от 27 июля 2006 года
25. Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие. М.: Гостехкомиссия России, 1998. - 320 с.
26. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации(под редакцией Ковтанюка) К.: Издательство Юниор, 2003г.-504с.
27. Щеглов А.Ю., Защита компьютерной информации от несанкционированного доступа: Изд. «Наука и техника», 2004, 384 с
28. Яковлев В.В., Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта, Издательство: Маршрут, 2002 год- 327 с.
29. Ярочкин В.И. Информационная безопасность. Учебное пособие,. — М.: Междунар. отношения, 2000. — 400 с.: ил.