Информационная безопасность на примере пенсионного фонда

Содержание

Введение 3

1 Аналитическая часть 7

1.1 Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения) 7

1.1.1. Общая характеристика предметной области 7

1.1.2. Организационно-функциональная структура предприятия 10

1.2 Анализ рисков информационной безопасности 16

1.2.1 Идентификация и оценка информационных активов 16

1.2.2. Оценка уязвимостей активов 23

1.2.3. Оценка угроз активам 30

1.2.4. Оценка существующих и планируемых средств защиты 38

1.2.5. Оценка рисков 53

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 57

1.3.1 Выбор комплекса задач обеспечения информационной безопасности 57

1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 59

1.4 Выбор защитных мер 60

1.4.1. Выбор организационных мер 60

1.4.2. Выбор инженерно-технических мер 62

2 Проектная часть 69

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 69

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 69

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 76

2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 79

2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 79

2.2.2 Контрольный пример реализации проекта и его описание 88

3 Обоснование экономической эффективности проекта 95

3.1 Выбор и обоснование методики расчёта экономической эффективности 95

3.2 Расчёт показателей экономической эффективности проекта 101

Заключение 110

Список использованной литературы 113

Приложение. Политика информационной безопасности 116

Выдержка из текста

В современных условиях можно утверждать: информация стала стратегическим национальным ресурсом — одним из основных богатств любой страны.

Разворачивающееся вокруг информационного ресурса соперничество, борьба за достижение и удержание информационного превосходства начинают занимать все более значимое место в общей геополитической конкуренции развитых стран мира. На новом этапе истории мира, когда возможности экстенсивного роста за счет механического присоединения новых ресурсов путем вооруженного захвата территории других стран и всех имеющихся на этой территории богатств оказались исчерпанными и неэффективными, встал вопрос о более приемлемых формах и способах геополитической конкуренции в информационной сфере.

Становится очевидным, что с глобализацией информационной сферы эффективность национальных систем обеспечения информационной безопасности становится решающим фактором в политике любого субъекта геополитической конкуренции. И, напротив, неэффективность системы информационной безопасности может стать фактором, способным привести к крупномасштабным авариям и катастрофам, последствия которых могут вызвать, в частности, дезорганизацию государственного управления, крах национальной финансовой системы и т. п.

Основополагающая идея информационной безопасности как социального явления заключается в установлении и реализации морально-этических, нормативно-правовых и организационных отношений между людьми, обеспечивающих сбалансированность интересов человека, общества и государства в информационной сфере.

Сущность информационной безопасности большинством специалистов видится в невозможности нанесения вреда объекту защиты, его свойствам или деятельности по выполнению своих функций. В основополагающем документе в этой сфере – Доктрине информационной безопасности РФ – под информационной безопасностью «понимается состояние защи­щенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».

Одним из видов угроз деятельности коммерческих предприятии является несанкционированный съем служебной и личной информации (более распространенное название — подслушивание). Однако в последнее время злоумышленники или конкуренты не ограничиваются использованием сравнительно простой аппаратуры, подслушивающей конфиденциальные разговоры. Для того, чтобы проникнуть в чужие секреты, применяются самые современные достижения науки и техники, которые активно используются не только государственными спецслужбами, но и предпринимателями, частными детективами и др.

"Сражения на фронтах" промышленного шпионажа достигли таких размеров, что заставляют крупные западные фирмы тратить на оснащение своих служб технической защиты больше средств, чем государственные ведомства, в том числе и армия.

Следует иметь в виду, что усиление защиты информации от несанкционированного съема вызывает ответную реакцию по наращиванию усилий конкурентов и злоумышленников, интересующихся чужими секретами. Начиная с 1960 года, ведущие западные промышленные объединения стали создавать собственные разведывательные и контрразведывательные службы.

Появилось много небольших частых бюро, специализирующихся на оказании услуг в сфере промышленного шпионажа, как по защите от него, так и по разведыванию чужих секретов, Так, например, в 1995г в Германии была создана частная организация по предоставлению консультационных услуг — "Берлинский институт по проблемам экономической безопасности. "Инициатором создания ее стал в прошлом руководитель контрразведывательной службы ФРГ, который себе в партеры пригласил одного из бывших сотрудников разведки ГДР. По мнению специалистов, такой союз позволяв создать идеальное сообщество по предоставлению западным фирмам полезных консультаций в борьбе с промышленным шпионажем.

Зарубежные издания свидетельствуют о том, что наибольшую активность в вопросах проникновения в чужие секреты проявляют промышленные круги США, Германии, Англии. Франции и Японии, занятые в таких сферах:

1) технология и производство химических продуктов, чистых металлов, сплавов редкоземельных;

2) фармацевтическая промышленность;

3) медицинская промышленность.

Промышленный шпионаж в настоящее время использует следующие методы:

1) подслушивание разговоров в помещении или автомашине с помощью предварительно установленных радиозакладок или диктофонов;

2) контроль телефонов, телексных и телефаксных линий связи, радиотелефонов и радиостанций;

3) дистанционный съем информации с различных технических средств, в первую очередь с мониторов и печатающих устройств компьютеров и др.

Конечно, существуют и другие методы подслушивания, например, лазерное облучение оконных стекол в помещении, где ведутся "интересные" разговоры, направленное радиоизлучение, которое может заставить "откликнуться и заговорить" деталь в телевизоре, в радиоприемнике и в другой технике и т. д.

Но подобные приемы требуют специфических условий Кроме этого, на сегодняшний день они трудоемки, довольно дорогостоящи и потому используются, как правило. специальными государственными службами.

Обилие направлений и методов подслушивания породило большое количество организационных и технических способов защиты, в которых используются самые разнообразные средства и аппаратура.

Целью настоящей работы является определение наиболее уязвимых информационных активов организации, а также разработка наиболее оптимальных средств и методов защиты информации, среди которых главное место занимает проект политики безопасности Пенсионного фонда.

Дипломная работа состоит из трех частей – аналитической, проектной и экономической.

В аналитической части дана характеристика рассматриваемого предприятия, определены защищаемые информационные активы, оценены угрозы и риски. Там же выбран комплекс задач и защитных мер, включая организационные и инженерно-технические.

В проектной части описан программно-аппаратный комплекс выбранных мер, приведена его структура, рассмотрен контрольный пример реализации проекта.

В экономической части рассчитана стоимость внедрения указанного комплекса, срок его окупаемости.

Список использованной литературы

Список использованной литературы

1. Федеральный закон от 27.07.2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями и дополнениями от 28.07.2012)

2. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения. Критерии оценки безопасности информационных технологий. Ч.1. Введение и общая модель. – М.: Госстандарт России, 2002.

3. Адаменко М.А., Основы классической криптологии. Секреты шифров и кодов, Издательство: ДМК Пресс, 2012 г., 256 стр.

4. Гашков С. Б., Применко Э. А., Черепнев М. А., Криптографические методы защиты информации, Издательство: Академия, 2010 г., 304 стр.

5. Гришина Н. В., Комплексная система защиты информации на предприятии, Издательство: Форум, 2010 г., 240 стр.

6. Джуди Новак, Стивен Норткатт, Дональд Маклахен, Как обнаружить вторжение в сеть. Настольная книга специалиста по системному анализу, Издательство: Лори, 2012 г., 384 стр.

7. Лебедев А. В., Защита компьютера от вирусов, хакеров и сбоев. Понятный самоучитель, Издательство: Питер, 2013 г., 160 стр.

8. Малюк А. А., Пазизин С. В., Погожин Н. С., Введение в защиту информации в автоматизированных системах, Издательство: Горячая Линия – Телеком, 2011 г., 146 стр.

9. Мельников В. П., Клейменов С. А., Петраков А. М., Информационная безопасность и защита информации, Издательство: Академия, 2012 г., 336 стр.

10. Рябко Б. Я., Фионов А. Н., Криптографические методы защиты информации, Издательство: Горячая Линия – Телеком, 2012 г., 230 стр.

11. Сергеева Ю. С., Защита информации. Конспект лекций, Издательство: А-Приор, 2011 г., 128 стр.

12. Ховард М., Д. Лебланк, Дж. Вьега 24 смертных греха компьютерной безопасности, Издательство: Питер, 2010 г., 400 стр.

13. Шаньгин В. Ф., Комплексная защита информации в корпоративных системах, Издательство: Форум, Инфра-М, 2010 г., 592 стр.

14. Шепитько Г. Е., Экономика защиты информации, Издательство: МФЮУ, 2011 г., 64 стр.

15. Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации

16. Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. Защита от несанкционированного доступа к информации. Термины и определения

17. Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации

18. Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

19. Руководящий документ. Решение председателя Гостехкомиссии России от 25 июля 1997 г. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации