Файл: Выпускная квалификационная работа исследование уровня обеспечения информационной безопасности организации.pptx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 28.04.2024
Просмотров: 7
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Выпускная квалификационная работа
Объект исследования: Документационное обеспечение деятельности ООО «ВудИнвест»
Предмет исследования: Исследование уровня обеспечения информационной безопасности ООО «ВудИнвест»
В результате исследования сделаны следующие выводы на предприятии были выявлены следующие угрозы
Угрозы, связанной с разглашением, копированием, хищением информации ограниченного доступа
Выпускная квалификационная работа
«исследование уровня обеспечения информационной безопасности организации»
Студент: Малашенко Елены Гиллимуллаевны,
Специальность: 46.02.01 Документационное обеспечение управления и архивоведение
Руководитель ВКР: ФИО,
преподаватель АНПОО «НСПК»
Цель исследования: Проанализировать способы исследование уровня обеспечения информационной безопасности в ООО «ВудИнвест», и предложить пути повышения уровня обеспечения информационной безопасности в организации
Объект исследования: Документационное обеспечение деятельности ООО «ВудИнвест»
Предмет исследования: Исследование уровня обеспечения информационной безопасности ООО «ВудИнвест»
Задачи исследования:
- Предложить основные принципы и правила исследования уровня обеспечения информационной безопасности в организации
- Представить современные способы исследования уровня обеспечения информационной безопасности в организации
- Представить особенности организации обеспечения информационной безопасности в организации
- Сделать характеристику организации и её документооборота
- Предложить пути повышения уровня обеспечения информационной безопасности в организации
Информационная безопасность — это защищённость информации от любых действий, в результате которых владельцам или пользователям информации может быть нанесён недопустимый ущерб.
Причины ущерба:
- искажение информации
- утеря информации
- неправомерный доступ к информации
Защита не должна стоить дороже возможных потерь!
!
- организационные: распределение помещений и прокладку линий связи; политика безопасности организации
- технические: замки, решётки на окнах, системы сигнализации и видеонаблюдения и т.п.
- программные: доступ по паролю, шифрование, удаление временных файлов, защита от вредоносных программ и др.
| Стандарт | Наименование |
| ГОСТ Р ИСО/МЭК 15408-1-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России |
| ГОСТ Р ИСО/МЭК 15408-2-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России |
| ГОСТ Р ИСО/МЭК 15408-3-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России |
| ГОСТ Р 50739-95 | Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России |
| ГОСТ Р 50922-96 | Защита информации. Основные термины и определения. Госстандарт России |
| ГОСТ Р 51188-98 | Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России |
| ГОСТ Р 51275-99 | Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России |
| ГОСТ Р ИСО 7498-1-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России |
| ГОСТ Р ИСО 7498-2-99 | Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России |
Российские стандарты, регулирующие ИБ
| Стандарт | Наименование |
| ISO/IEC 27001:2013 | Российский аналог ГОСТ Р ИСО/МЭК 27001. |
| ISO/IEC 15408 | ISO/IEC 15408-1:2009 Evaluation criteria for IT security — Part 1: Introduction and general model — «Общие критерии оценки безопасности информационных технологий». ISO/IEC 15408-2:2008 Evaluation criteria for IT security — Part 2: Security functional components model — «Функциональные компоненты безопасности». ISO/IEC 15408-3:2008 Evaluation criteria for IT security — Part 3: Security assurance components — «Компоненты доверия к безопасности». |
| NIST SP 800-53 | NIST SP 800-53 - Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций NIST SP 800-50 - Создание программы повышения осведомленности в области безопасности ИТ NIST SP 800-40 - Управление уязвимостями NIST SP 800-53 A - Измерение эффективности информационной безопасности NIST SP 800-37 / NIST SP 800-39 / NIST SP 800-30 - Менеджмент рисков NIST SP 800-61 / NIST SP 800-86 - Управление инцидентами |
| SANS. CIS 20 | Организация по обучению и сертификации в области ИБ, наиболее известна своими руководствами по безопасной настройке различных систем (Benchmarks) и перечнем ключевых мер защиты Top 20 Critical Security Controls (CSC), включающим 20 рекомендаций по защите ИТ-инфраструктуры. ИБ-специалисты могут использовать этот документ как контрольный список при проверке безопасности систем |
Международные стандарты, регулирующие ИБ
| Метод | Характеристика метода |
| Вероятностный анализ | Построение и расчеты по методике производятся в соответствии с принципами теории вероятностей, в то время как при использовании выборочных методов это осуществляется путем расчетов по выборкам. Вероятность получения потерь рассчитывается на основе статистических данных предыдущего периода с определением зоны рисков, достаточности финансовых ресурсов, показателя рисков |
| Экспертный анализ рисков | Метод используется при отсутствии или недостаточности исходной информации и предполагает привлечение экспертов для проведения оценки рисков. Выбранная группа экспертов проводит оценку проекта н его отдельных процессов по степени рисков |
| Метод аналогов | Использование базы данных реализованных аналогичных проектов для переноса их показателей результативности на планируемый проект. Этот метод применяется, когда внутренняя н внешняя среда проекта сходна с основными параметрами аналога. |
| Анализ показателей предельного уровня | Вычисление степени устойчивости проекта относительно возможных изменений условий его реализации |
| Анализ чувствительности проекта | Метод позволяет провести оценку изменения результирующих показателей реализации проекта с различными значениями заданных переменных, которые необходимы для расчета |
| Метод деревьев решений проекта | Предусматривает пошаговое развитие процесса выполнения проекта с оценкой рисков, затрат, ущерба и выгод |
| Имитационные методы | Основан на пошаговом определении значения результирующего показателя путем проведения многократных опытов с моделью. К основным преимуществам относятся прозрачность расчетов, простота и возможность оценки результатов анализа проекта всеми участниками процесса планирования. Серьезным недостатком являются существенные затраты на расчеты, обусловленные большим объемом выходной информации |
Методы
Инструмент оценки безопасности Microsoft Security Assessment Tool (MSAT) предназначен для помощи организациям в оценки уязвимостей ИТ-среды. Он позволяет предоставить список расставленных по приоритетам проблем и список рекомендаций по минимизации этих угроз, а затем регулярно проверять способность инфраструктуры отвечать на эти угрозы.
Основные возможности MSAT.
- 1. Предоставляет понятную, исчерпывающую и постоянную осведомленность об уровне безопасности.
- 2. Описывает инфраструктуру эшелонированной защиты, соответствующую отраслевым стандартам.
- 3. Предоставляет подробные, постоянные отчеты, сравнивающие базовые показатели с достигнутыми успехами.
- 4. Описывает проверенные рекомендации и расставленные по приоритетам действия по улучшению безопасности.
- 5. Предоставляет структурированные рекомендации от компании Microsoft в зависимости от отраслевой принадлежности.
Опросник MSAT состоит из более 200 вопросов, охватывающих инфраструктуру, приложения, операции и персонал. Вопросы, связанные с ними ответы и рекомендации выводятся из общепринятых практических рекомендаций, стандартов, таких как ISO 27000 и NIST-800.x, а также рекомендаций и предписаний от группы надежных вычислений Microsoft и других внешних источников по безопасности.
Общество с ограниченной ответственностью "ВудИнвест" (далее - ООО "ВудИнвест") ОГРН 1153850039870, ИНН 3818043320 создано учредителем - Сологубом Андреем Николаевичем.
Компания располагается по адресу Российская федерация Иркутская область г. Усть- Кут ул. Луговая д. 20
ООО "ВудИнвест" осуществляет следующие основные видами деятельности:
- Оптовая торговля лесоматериалами;
- Предоставление услуг в области лесоводства и лесозаготовок;
- Распиловка и строгание древесины; пропитка древесины;
- Производство шпона, фанеры, плит, панелей;
План-схема офиса
| Тип информации | Ресурсы |
| информация относящаяся к коммерческой тайне | заработная плата; договоры с поставщиками и покупателями; технологии производства. |
| защищаемая информация (ограниченного доступа) | трудовые договора; личные дела работников; личные карты работников; содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности, прочие документы для внутреннего пользования. |
| открытая информация | информация о маркетинговой деятельности устав и учредительный документ; информация отдела продаж; прайс-лист продукции. |
Организационно-штатная структура ООО "ВудИнвест"
Информационные ресурсы ООО «ВудИнвест»
| Основные задачи по обеспечению ИБ | Оценка выполнения |
| обеспечение безопасности деятельности, защита информации и сведений, являющихся коммерческой тайной | Низкая |
| организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны; | Низкая |
| организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной | Отсутствует |
| предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; | Отсутствует |
| выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях; | Не обеспечивается |
| обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; | Низкая |
| обеспечение охраны территории, зданий помещений, с защищаемой информацией. | Отсутствует |
Существующая ИБ в ООО «ВудИнвест»
Фирма ООО "ВудИнвест" предоставляет всем отделам в равной степени доступ ко всем данным, находящимся в базе данных (БД), что приводит к неправильной работе самой БД, а также возможности предоставления закрытой информации лицам, у которых не должно быть доступа, т.е. к неправильной организацией политики информационной безопасности. Соответственно, данная схема организации доступа к данным имеет большое количество потенциальных угроз информационной безопасности и для улучшения защиты данных необходимо разграничить доступ в данную систему. Информация от принятия заказа от клиента и до сдачи в эксплуатацию происходит общим потоком и для всех одинаково. Что подтверждает фактор угрозы информационной безопасности.