Пример готовой дипломной работы по предмету: Информационные технологии
Содержание
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 5
ГЛАВА
1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ АКТИВОВ И АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИЯХ 9
1.1. Угрозы защищаемым информационным активам и модели нарушителей 9
1.2.Принципы организации комплексных систем защиты информации в масштабах предприятия 15
1.3. Принципы и методы организации и управления системами защиты информационных активов 17
1.4. Аудит информационной безопасности как основа эффективной защиты предприятия 22
1.4.1. Состав работ по проведению аудита безопасности 22
1.4.2. Методика оценки уровня информационной безопасности на основе данных аудита……….. 26
ГЛАВА
2. АНАЛИЗ И ОЦЕНКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ АКТИВОВ НА ООО «СПЕКТР» 32
2.1. Технико-экономическая характеристика системы защиты информации на ООО «Спектр» 32
2.1.1.Общая характеристика системы информационной безопасности на ООО «Спектр» 32
2.1.2. Организационно-функциональная структура комплексной системы защиты информации на предприятии 35
2.2. Аудит и анализ рисков информационной безопасности 41
2.2.1 Идентификация и оценка информационных активов 41
2.2.2. Оценка уязвимостей активов 42
2.2.3. Оценка угроз активам 44
2.2.4. Оценка рисков 45
2.3. Обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 48
ГЛАВА
3. ОПТИМИЗАЦИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ АКТИВОВ НА ООО «СПЕКТР» 54
3.1. Постановка задач совершенствования системы обеспечения информационной безопасности и защиты информации на ООО «Спектр» 54
3.2. Разработка структуры и принципы работы для Группы криптографической защиты информационных активов ООО «Спектр» 57
3.3. Разработка комплекса защитных мер на ООО «Спектр» 62
3.3.1. Разработка организационных мер информационной защиты 62
3.3.2. Разработка инженерно-технических мер информационной защиты 65
3.4 Обоснование экономической эффективности проекта 75
3.4.1 Выбор и обоснование методики расчёта экономической эффективности проекта 75
3.4.2 Расчёт показателей экономической эффективности проекта 77
ЗАКЛЮЧЕНИЕ 84
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 87
ПРИЛОЖЕНИЯ 91
Приложение А. Идентификация и оценка информационных активов ООО «Спектр» 91
Приложение Б. Результаты оценки уязвимости активов 92
Приложение В. Результаты оценки угроз активам 93
Выдержка из текста
ВВЕДЕНИЕ
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, вследствие чего может быть нанесен ущерб самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.
В 2014 году зафиксированный объем потерь составил около $450 млрд., и в целом за последние годы это значение стало еще больше. И это при том, что такие преступления в области информационной безопасности разглашаются лишь в районе около 15%. Внутренние атаки нанесли до
70. потерь, понесенных компаниями, из-за действий их собственных сотрудников.
Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой. Не менее важным с точки зрения общего развития предприятия является его аудит безопасности, который включает анализ рисков, связанных с возможностью реализации угроз безопасности, особенно в отношении информационных ресурсов, оценку текущего уровня защищенности информационных систем (ИС), локализацию критических мест в системе их защиты, оценку соответствия ИС существующим стандартам в области информационной безопасности и выработку рекомендаций по повышению эффективности существующих механизмов безопасности ИС и внедрению новых.
Если говорить о главной цели аудита информационной безопасности, то можно ее определить как проведение оценки уровня безопасности информационной системы предприятия для управления им в целом с учетом перспектив его развития.
Для ООО «Спектр», крупного производственного предприятия, специализирующегося на производстве продукции нефтехимического комплекса, одного из крупных производителей синтетических каучуков и пластиков в Московской области, вопросы обеспечения надлежащего уровня информационной безопасности, в том числе на основе регулярно проводимых аудиторских проверок системы защиты информационных активов, особенно актуальны, поскольку идет обмен информационными массивами, имеющими безусловную коммерческую ценность. Для клиентов и партнеров ООО «Спектр» особенно важно обеспечение высочайшего уровня безопасности передаваемой информации, гарантия её целостности и гарантия отсутствия утечек данных. Наиболее подходящим инструментом для обеспечения столь высоких требований являются системы программно-аппаратного шифрования данных.
В данной дипломной работе отражена постановка задачи информационного аудита корпоративной информационной системы ООО «Спектр», проведение аудита безопасности и формулировка на его базе качественных предложений по улучшению системы защиты информационных активов ООО. В частности, на базе проведенного аудиторского анализа системы защиты в рамках дипломной работы предложена разработка программного комплекса шифрования, функционирующего в составе КИС ООО «Спектр» и осуществляющего шифрование данных, передаваемых по сети, в режиме реального времени, «на лету». Предлагаемый к внедрению на ООО программный комплекс должен обеспечивать защиту как данных, формируемых с использованием форм на веб-страницах предприятия, так и шифрование передаваемых файловых архивов.
Задачами, решаемыми при выполнении данной работы, являются:
- теоретическое описание принципов и методов выполнения аудиторского анализа систем информационной безопасности;
- анализ системы защиты информации на ООО «Спектр»;
- проведение аудиторской проверки системы информационной безопасности на предприятии;
- формирование требований и улучшение системы защиты информационных активов предприятия на основе результатов аудита безопасности, в частности, постановка задания на проектирование программно-аппаратного комплекса криптозащиты в структуре веб-сервера предприятия;
- формулировка административно-правовых и программно-аппаратных мер по повышению уровня защищенности информационных активов предприятия на основе результатов аудита безопасности, планирование процедур разработки и внедрения системы криптозащиты данных от НСД в систему документооборота предприятия;
- оценка экономической эффективности мероприятий по повышению уровня защищенности информационных активов предприятия.
При проектировании мероприятий по улучшению системы защиты информационных активов на ООО «Спектр» предполагается использовать систему оценки информационной безопасности, описываемой нормативными документами, определяющими критерии для оценки защищенности ИС и требования, предъявляемые к механизмам защиты:
- Общие критерии оценки безопасности ИТ (The Common Criteria for Information Technology Security Evaluation/ISO 15408)
- Практические правила управления информационной безопасностью (Code of practice for Information security management/ISO 17799).
Объект дипломного исследования – технологии и приемы проведения комплексного аудита информационной безопасности на предприятиях, средства разработки организационных, инженерно-технических и программно-аппаратных средств защиты информационных активов предприятий, оцениваемые комплексно, как обеспечивающие снижение уровня риска в отношении активов ниже некоторого допустимого уровня.
Предмет дипломного исследования – система защиты информационных активов на ООО «Спектр».
Цель проекта – проведение аудиторской проверки системы защиты информационных активов и формулировка предложений по улучшению защиты активов на ООО «Спектр», в том числе комплексные организационные мероприятия по организации системы криптозащиты данных и наиболее значимых информационных активов.
Идея проекта – комплексная система криптографической защиты информации на ООО «Спектр» будет обеспечивать приемлемый уровень рисков.
Для достижения поставленной цели в работе поставлены и решены следующие задачи:
1. Провести аудит безопасности информационных активов ООО «Спектр», возможных угроз и проведена оценка рисков для активов;
2. Выявить требования к КСЗИ ООО «Спектр» и построить ее модель;
3. Разработать структуру и принципы работы для Группы криптографической защиты информационных активов ГКЗИА;
4. Реализовать основные программные модули системы криптозащиты данных в режиме шифрования при передаче пакетов внутри информационной системы предприятия;
5. Произвести расчет экономических затрат на разработку и внедрение КСЗИ, оценить экономическую эффективность проекта.
Методы исследования и разработки проекта – моделирование, тестирование, изучение практических разработок и документации, обобщение, сопоставительный и системный анализ.
Данная дипломная работа представлена на
12. листах, состоит из введения, основной части работы, состоящей из 3 глав, заключения, списка использованной литературы и приложений. В работе содержится 7 таблиц, 27 рисунков, 3 приложения.
Список использованной литературы
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Федеральный закон Российской Федерации от
2. июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
2. Федеральный закон Российской Федерации от
2. июля 2006 г. № 152-ФЗ «О персональных данных»
3. ГОСТ Р 51241-2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.
4. ГОСТ Р ИСО/МЭК 27000-2011 «Системы менеджмента информационной безопасности. Общий обзор и терминология», проект;
5. ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью»;
6. ГОСТ Р ИСО/МЭК 27003-2011 «Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности», проект;
7. ISO/IEC 27005-2008 «Информационные технологии. Менеджмент рисков информационной безопасности»;
8. ГОСТ Р ИСО/МЭК 13335-1-2006 «Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»;
9. ГОСТ Р ИСО/МЭК 13335-3-2007 «Методы менеджмента безопасности информационных технологий»;
10. ГОСТ Р ИСО/МЭК 15408-1-2008 «Критерии и методы оценки безопасности информационных технологий. Введение и общая модель»;
11. РС БС ИББС 2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности»;
12. ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищённом исполнении»
13. ГОСТ 2.105-95. Единая система конструкторской документации. Общие требования.- Введ. 1.07.06.-М.: ИПК Издательство стандартов, 2006.-36с.
14. ГОСТ 19.791-01 (ИСО 5807-85).
Единая система программной документации. Схемы алгоритмов, программ, данных и систем. Условные обозначения и правила выполнения.- М.: ИПК Издательство стандартов, 2011.
15. Аверченков, В.И., Служба защиты информации: организация и управление: учеб. пособие / В.И. Аверченков, М.Ю. Рытов – Брянск:БГТУ, 2005 – 186с..
16. Анчаров Р.О., Стандарты безопасности XML, Изд-во РГE, Ростов-на-Дону, 2012
17. Анисимова И.Н. Защита информации., СПб: Изд-во СПбГИЗУ,2007
18. Анин Б.Ю. Защита компьютерной информации. — СПб.: БХВ-Санкт-Петербург, 2005. — 384 с.
19. Варфоломеев А. и др. Количественные методы оценки уровня защищенности информационных активов. М.: МИФИ, 2012
20. Галатенко, В.А. Основы информационной безопасности: учеб. пособие/В.А. Галатенко – М: ИНТУИТ.РУ «Интернет-университет информационных технологий», 2013. – 264с..
21. Домарев В.В. Защита информации и безопасность компьютерных систем. — К.:Издательство "ДиаСофт", 2003
22. Мак-Мак, В.П. Служба безопасности предприятия. Организационно-управленческие и правовые аспекты деятельности/В.П. Мак-Мак – М.: ИД МБ, 2009. – 160 с..
23. Нечаев В.И. Элементы криптографии. Основы теории защиты информации.: Учеб.пособие для ун-тов и пед.вузов. — М.: Высшая школа, 2005. — 109 с.
24. Николаев Ю.И. оценка результатов аудита информационной безопасности корпоративных ИС. — СПб.: Изд-во СПбГТУ, 2009
25. Петров А.А. Компьютерная безопасность. Аудит информационной безопасности.-М.:ДМК, 2010.-448с
26. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах.: Учеб.пособие для вузов./ Проскурин В.Г., Крутов С.В., Мацкевич И.В. — М.:Радио и связь, 2009. — 168 с.
27. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в современных компьютерных системах. – 2-е издание: М.: Радио и связь, 2005.
28. Саломаа А. Криптография с открытым ключом: Пер. с англ.–М.: Мир, 1996.– 304 с.
29. Теоретические основы компьютерной безопасности. : Учеб. пособие для вузов./ Девянин Н.Н., Михальский О.О. и др. — М.: Радио и связь, 2010. — 192 с.
30. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. — М.: Издательство ТРИУМФ, 2009, — 816 с.; ил.
31. Андреев И.Н., Использование протокола SOAP в распределенных приложениях.// RSDN Magazine № 1-2005, стр. 123-139
32. Бияшев Р.Г., Диев С.И., Размахнин М.К. Основные направления развития и совершенствования криптографического закрытия информации // Радиоэлектроника.– 2010.– № 12.– С. 76– 91.
33. Галатенко, А. Активный аудит/ А. Галатенко // Jet Info on line.– 2009.– № 8(75).
34. Жервис К., Управление параметрами протоколов SOAP// RSDN Magazine № 6-2012, стр. 62-73
35. Кобзарев, М Методология оценки безопасности информационных технологий по общим критериям / М. Кобзарев, А.Сидак // Jet Info on line. – 2014. – 6 (133).
36. Левин В.К.- Защита информации в информационно-вычислительных системах и сетях//Программирование, 5, 2008, с. 5-16
37. Никитин А. Обеспечение защищенного обмена информацией в корпоративных сетях и Internet // Конфидент.-2008.- № 5.- С. 34-37
38. Покровский, П. Оценка информационных рисков/ П. Покровский – 2014. – №
10. Изд-во «Открытые системы».
39. Стахов В. Теория и практика OpenSSL//Системный администратор, N1(2), январь 2013 г. — 17-26 с
40. Тимофеев П.А. Средства криптографической защиты информации. // Information Security. – 2009 — № 3 – с. 36-41.
41. Тульчиснкий А.П., Защита XML-документов при передаче по открытым коммуникациям//КомпьютерПресс № 1, 2013, стр. 75-81
42. Тульчиснкий А.П., Защита данных на основе XML// RSDN Magazine 2011, № 4, стр. 16-29
43. Аудит безопасности информационных систем // Networkdoc.ru в помощь системному администратору URL: www.networkdoc.ru/it-press/audit-safery.html (дата обращения: 12.02.2015).
44. Показатели экономической эффективности ИТ-проектов // LSI Лаборатория информационной безопасности URL: http://www.security.ase.md/publ/ru/pubru 107/Dvorciuk_O.pdf (дата обращения: 15.02.2015).
45. Экономика информационной безопасности // pcweek.ua Корпоративные информационные технологии и решения URL: http://www.pcweek.ua/ themes/detail.php?ID=127249 (дата обращения: 18.01.2015).
46. Возможная методика построения системы информационной безопасности предприятия // bre.ru Прогноз финансовых рисков URL: http://www.bre.ru/security/13985.html (дата обращения: 22.02.2015).
47. XML Key Management Specification (XKMS) // w 3.org URL: http://www.w 3.org/TR/xkms/ (дата обращения: 16.02.2015).
