Разработка и внедрение политики информационной безопасности логистической компании
В современных компаниях конфиденциальная информация является одним из самых главных активов, который должен быть защищен в первую очередь. В случае утечки конфиденциальной информации организация может столкнуться с серьезными финансовыми и репутационными рисками.
Логистика – это высококонкурентная среда, где компании стремятся привлечь большое число клиентов. ООО «Виза Лоджистик» – логистическая фирма, которая предоставляет широкий спектр различных услуг, связанных с глобальной перевозкой грузов любого объема. Политика информационной безопасности требуется для обеспечения убежденности в ориентированности на клиентов и работы в рамках закона. По причине отсутствия данного документа рассматриваемая компания сталкивается с регулярной потерей заказчиков. Кроме того, руководство обеспокоено возможной утечкой информации, в результате чего конфиденциальные данные могут быть раскрыты, что влечет за собой серьезные репутационные риски.
Политика информационной безопасности является важнейшим документом в области защиты данных и помогает предотвратить различные виды угроз. Созданный акт содержит структурированные руководящие принципы и инструкции по снижению потенциальных рисков, связанных с утечкой конфиденциальной информации, а также включает в себя действия по немедленному реагированию в случае нарушения безопасности.
Целью данной выпускной квалификационной работы является разработка политики информационной безопасности для логистической организации ООО «Виза Лоджистик». Данный акт направлен на обеспечение информационной безопасности для защиты активов и конфиденциальной информации. Результатом работы является документ политики информационной безопасности, который внедрен руководством компании и использован в существующих бизнес-процессах. Для достижения цели необходимо решение следующих задач:
1. изучение деятельности компании;
2. анализ основных активов;
3. создание комплексной и эффективной политики информационной безопасности;
4. внедрение политики информационной безопасности.
Документ политики информационной безопасности был получен руководством ООО «Виза Лоджистик». Данный акт помогает увеличить финансовые показатели благодаря привлечению крупных клиентов и минимизировать риски утечки конфиденциальной информации.
Информационной базой для изучения выбранной темы послужили различные источники, включая статьи, опубликованные на веб-сайтах и представленные на конференциях, а также нормативно-правовые акты и ГОСТы, которые остаются актуальными в настоящее время.
Данная дипломная работа состоит из введения, трех глав, заключения, авторского вклада, списка использованной литературы и двух приложений.
Первая глава состоит из обзора действующих практик и включает нормативно-правовую базу Российской Федерации в области информационной безопасности, а также международные практики.
Вторая глава состоит из изучения и анализа деятельности, ценных активов ООО «Виза Лоджистик» с целью выявления потенциальных угроз.
Третья глава представляет из себя разработку документа политики информационной безопасности, в которой определены цели и задачи каждого создаваемого пункта.
Внедренная политика информационной безопасности ООО «Виза Лоджистик» располагается в Приложении 1.
Содержание
Введение 5
1 Объект исследования работы 7
1.1 Обзор нормативно-правовой базы 7
1.1.1 Понятие информационной безопасности 7
1.1.2 Обзор законов и указов 8
1.1.2.1 ГОСТы и Доктрина информационной безопасности 8
1.1.2.2 Конституция РФ 8
1.1.2.3 Федеральный закон №98 «О коммерческой тайне» 8
1.1.2.4 Федеральный закон №149 «Об информации, информационных технологиях и о защите информации» 9
1.1.2.5 Федеральный закон №152 «О персональных данных» 9
1.1.2.6 Федеральный закон №187 «О безопасности критической информационной инфраструктуры Российской Федерации» 10
1.1.2.7 Трудовой кодекс Российской Федерации 10
1.1.2.8 Органы контроля 11
1.1.2.9 Вывод 11
1.2 Обзор действующих практик 12
1.2.1 Обзор действующих политик информационной безопасности 12
1.2.1.1 ООО «Юсодент» 12
1.2.1.2 Частное образовательное учреждение среднего профессионального образования «Колледж управления и права» 12
1.2.1.3 ПАО «НК Роснефть» 13
1.2.1.4 ООО «СМК РЕСО-Мед» 13
1.2.1.5 Вывод 14
1.2.2 Обзор научных статей на тему безопасности 14
1.2.2.1 Международные практики 15
1.2.2.2 Определение политики информационной безопасности и ее актуальность 17
1.2.2.3 Политика информационной безопасности организации 19
2 Анализ активов и систем безопасности логистической компании ООО «Виза Лоджистик» 21
2.1 Анализ деятельности 21
2.2 Технико-экономическая характеристика 22
2.2.1 Анализ бюджетных ограничений и рисков 22
2.2.2 Организационная структура 23
2.2.3 Анализ состояния информационных технологий 24
2.2.4 Анализ конфиденциальной информации 26
2.3 Анализ существующей организации обеспечения безопасности 26
2.3.1 Составляющие информационной системы 27
2.3.2 Потенциальные уязвимости данных средств 29
2.3.2.1 Аппаратные средства 30
2.3.2.2 Системный блок, моноблок, рабочие ноутбуки 30
2.3.2.3 Принтер 32
2.3.2.4 Внешние жесткие диски, USB-флеш накопители 34
2.3.2.5 Корпоративный телефон 35
2.3.2.6 Wi-Fi роутер 36
2.3.2.7 Программное обеспечение 38
2.3.2.8 Windows 7 38
2.3.2.9 Windows 10 39
2.3.2.10 «1C:Предприятие» 40
2.3.2.11 «КриптоПро» CSP 40
2.3.2.12 Настольные приложения мгновенного обмена сообщениями: WhatsApp, Telegram, WeChat 41
2.3.2.13 Данные 42
2.3.2.14 Цифровые данные 42
2.3.2.15 Накладные (бумажные данные) 44
2.3.2.16 Персонал 45
2.3.2.17 Руководство компании 45
2.3.2.18 Сотрудники компании 47
2.3.2.19 Внешние партнеры 48
2.3.3 Модель угроз 49
2.3.4 Модель нарушителя 55
2.3.5 Оценка рисков 59
3 Разработка политики информационной безопасности ООО «Виза Лоджистик» 63
3.1 Общие положения 63
3.2 Нормативные ссылки 63
3.3 Глоссарий 64
3.4 Цели политики 65
3.5 Задачи политики 65
3.6 Область применения 65
3.7 Объекты защиты 66
3.8 Программное обеспечение проекта организации безопасности 66
3.8.1 Цели программного обеспечения защиты информации 66
3.8.2 Меры программного обеспечения безопасности 66
3.8.3 Средства межсетевого экранирования 67
3.8.4 Средства зашифрованного канала передачи данных 70
3.8.5 Средства обнаружения и предотвращения несанкционированного доступа к сети 71
3.8.6 Средства антивирусной защиты 72
3.8.7 Средства проверки подлинности прав доступа 73
3.9 Физическая безопасность организации 74
3.9.1 Цели и задачи физической безопасности 74
3.9.2 Процедуры и обязанности в сфере физической безопасности 75
3.9.3 Внедренные элементы физической безопасности ООО «Виза Лоджистик» 76
3.9.4 Существующие проблемы и потенциальные решения физической безопасности ООО «Виза Лоджистик» 77
3.10 Организационное обеспечение информационной безопасности 79
3.10.1 Задачи организационного обеспечения информационной безопасности 79
3.10.2 Роль организационного обеспечения информационной безопасности 80
3.11 Аудит информационной безопасности 80
3.12 Реагирование на инциденты информационной безопасности 81
3.13 Порядок пересмотра политики информационной безопасности 82
Авторский вклад 84
Заключение 87
Список используемой литературы 89
Приложение 1. Политика информационной безопасности ООО «Виза Лоджистик» 94
Приложение 2. Подробная оценка рисков 120
...................Сямиуллин И. И., Чернышев К. К. Анализ тенденций развития политики информационной безопасности предприятия / И. И. Сямиуллин, К. К. Чернышев // Наука, студенчество, образование. – 2022. С. 33-35.
9. Джиоева К. О. Государственная политика в сфере информационной безопасности в России, США и Китае: сравнительно-правовой анализ / К. О. Джиоева // Теория государства и права. – 2020. - №1(17). – С. 64-71.
10. Кильченко В. С. Политика исламской республики Иран в сфере информационной безопасности / В. С. Кильченко // Актуальные проблемы правового, социального и политического развития России. – 2020. – С. 91-93.
11. Морозов И. Л. Государственная политики в сфере информационной безопасности по легитимации политического порядка современной России – тенденции, проблемы, решения / И. Л. Морозов // Общество: политика, экономика, право. – 2020. – №9(86). – С. 12-15.
12. Романова И. Б., Крамаренко И. В. К вопросу политики информационной безопасности предприятия / И. Б. Романова, И. В. Крамаренко // Мировые научные исследования и разработки в эпоху цивилизации. – 2021. – С. 763-766.
13. Челухин В. А., Монастырная Е. И. Ключевые элементы политики информационной безопасности / В. А. Челухин, Е. И. Монастырная // Наука, инновации и технологии: от идей к внедрению. – 2022. – С. 173-175.
14. Гришанова Т. В. Особенности разработки политики информационной безопасности / Т. В. Гришанова // Вестник образовательного консорциума среднерусский университет. Информационные технологии. – 2021. – №2(18). – С. 48-51.
15. Николаева К. А., Шабурова А. В. Совершенствование политики информационной безопасности в организации / К. А. Николаева, А. В. Шабурова // Интерэкспо гео-сибирь. – 2022. – С. 186-191.
16. Колпаков Н. А. Разработка методики применения политики информационной безопасности на предприятии согласно ГОСТ РФ / Н. А.
итого 39 источников
