Повышение уровня информационной безопасности в компании
Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также
промокод
на новый заказ в Автор24. Это бесплатно.
Введение
Информационные технологии в настоящее время носят глобальный характер, проникая практически во сферы деятельности, становясь их неотъемлемой частью [1]. Использование современных информационных технологий направлено на существенное ускорение процессов передачи и обработки информации, позволяя тем самым повысить эффективность работы информационных систем на различных уровнях: от государственного и регионального, до небольших информационных систем внутри предприятий и компаний. Основу современных технологий составляют программное обеспечение и компьютерная техника, которая с целью быстрого обмена информацией и совместного доступа объединяется в компьютерные сети с использованием телекоммуникационного оборудования и линий связи. Как и в большинстве современных компаний, информационная система рассматриваемой в данной работе компании «Медсервис» основана на использовании компьютерной техники, объединённой в сеть. При этом для использования ресурсов и возможностей глобальной сети в фирме организован доступ в Интернет. Использование компьютеров в качестве основных инструментов для обработки и хранения информации и их объедение в сети кроме положительных аспектов, связанных с автоматизацией многих процессов, приводит и к целому спектру проблем, связанных с необходимостью обеспечения информационной безопасности. Первая группа проблем связана с обеспечением целостности и доступности информации, которая может быть достаточно легко уничтожена или изменена в электронном виде. Здесь же необходимо обеспечивать защиту не только самой информации, но и технических средств, где важная информация хранится и обрабатывается. Вторая группа проблем связана с необходимостью защищать конфиденциальность определенных видов информации: коммерческие и государственные секреты, персональные данные [2][3][4]. Использование же компьютерных сетей существенно увеличивает риски, связанные с незаконным распространением конфиденциальной информации. Еще одной важной проблемой, ставшей особенно актуальной при использовании электронного документооборота и совершении иных юридически значимых действий в электронном виде, является обеспечение подтверждение подлинности и авторства электронных документов [5]. Таким образом при использовании компьютерных технологий необходимо обеспечить защиту от целого спектра угроз информационной безопасности, которые могут быть направлены на нарушение целостности, доступности и конфиденциальности информации. Актуальность работ, связанных с анализом угроз и разработкой системы защиты информации вызвана во многом тем, что в большая часть компаний мелкого и среднего бизнеса в нашей стране по тем или иным причинам не уделяет должного внимания проблемам информационной безопасности в своих компьютерных сетях, зачастую не соблюдая нормативные требования по защите тех или иных видов информации. Кроме того, актуальность данной работе добавляет использование риск ориентированного подхода (методики) к построению системы защиты информации, когда производится оценка уязвимостей, активов и угроз активам с целью выбора наиболее адекватных в конкретной ситуации мер по защите информации, обеспечивающих снижение уровня риска до некоторого установленного и приемлемого уровня риска. Данная работа направлена на анализ угроз и разработку системы защиты в компьютерной сети компании «Медсервис». В работе решаются следующие задачи: - исследование компании «Медсервис» и ее информационной системы; - проведение анализа рисков; - обоснование необходимости выполнения работ по повышению уровня информационной безопасности в компании «Медсервис» (постановка задачи); - анализ существующей нормативно-правовой и организационной базы для построения системы защиты; - описание структуры и порядка развертывания и работы внедряемых программно-аппаратных средств обеспечения информационной безопасности; - оценка эффективности от внедрения спроектированной системы защиты информации. В целом же можно отметить, что данная работа имеет ярко выраженную практическую направленность на повышение уровня информационной безопасности в компании «Медсервис».
Общая характеристика предметной области
В данной работе рассматривается информационная система общества с ограниченной ответственностью «Медсервис», где обрабатывается и хранится информация ограниченного доступа: персональные данные сотрудников и клиентов компании. Основная сфера деятельно...
Открыть главуОрганизационно-функциональная структура предприятия
Организационно-функциональная структура компании «Медсервис» представлена на рис. 1. Директор компании «Медсервис» Заместитель по врачебной части Врачи (стоматологи, хирурги, ортодонты) Младший медицинский персонал Финансовая служба IT отдел Отдел юр...
Открыть главуАнализ рисков информационной безопасности
Сам по себе риск информационной безопасности определяет возможность успешного использования конкретной угрозой некоторой уязвимости актива или активов с нанесением определённого ущерба организации [10]. При этом для измерения риска учитывают два его ...
Открыть главуИдентификация и оценка информационных активов
В информационной системе компании циркулирует информация различного характера, некоторая из которой может быть более важной, а другая менее. Соответственно и приоритеты в защите различных видов информации определяются ее важностью для организации и т...
Открыть главуОценка уязвимостей активов
Под уязвимостью понимается некоторый недостаток или слабость актива, системы защиты или среды функционирования, который позволяет реализовать угрозу. На момент проведения работы формальной оценки уязвимостей в компании не проводилось, в работе выбран...
Открыть главуОценка угроз активам
Угроза представляет собой потенциальную причину нежелательного события или событий (инцидента) информационной безопасности, которая может нанести определенный ущерб в случае своей успешной реализации. С другой же стороны угрозу информационной безопа...
Открыть главуОценка существующих и планируемых средств защиты
На момент проведения данной работы в организации уже применятся некоторые средства защиты информации и имеется структурное подразделение, на которое возложены функции по защите информации, таким подразделением является отдел информационных технологий...
Открыть главуВыбор организационных мер
Существует три основных стратегии выбора защитных мер: оборонительная, наступательная и упреждающая. Использовать упреждающую стратегию в данном случае не возможно, поскольку автоматизированная система уже разработана, поэтому выбор происходит между ...
Открыть главуВыбор инженерно-технических мер
Для нейтрализации угрозы несанкционированного доступа к информации в сети используется специальный класс средств защиты – системы защиты информации (СЗИ) от НСД, которые нивелируют имеющиеся недостатки с точки зрения безопасности в современных операц...
Открыть главуКомплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия
Основополагающим нормативно-правовым актом в информационной сфере и сфере защиты информации является Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[24]. Само понятие защиты информации о...
Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия
С точки зрения административного уровня система управления информационной безопасностью в компании «Медсервис» представлена в графическом виде на рис.8. Директор Начальник отдела информационных технологий Сотрудники отдела информационных технологий Р...
Открыть главуСтруктура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия
К уже имеющимся в компании средствам антивирусной защиты и защитным механизмам, встроенным в операционную систему, по результататам оценки рисков и для выполнения требований законодательства в области защиты информации в компании «Медсервис» выбрано ...
Открыть главуКонтрольный пример реализации проекта и его описание
Установка средств защиты от НСД Secret Net студио выполняется во всех структурных подразделениях компании «Медсервис», включая компьютеры руководства. СКЗИ VipNet Client устанавливаются всему руководящему составу (директору и его заместителям, работн...
Открыть главуСписок литературы
1. Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ от 5 декабря 2016 г. № 646) 2. Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (c изменениями от 18.04.2018) 3. Закон РФ от 21.07.1993 N 5485-1 "О государственной тайне" (c изменениями от 26.07.2017) 4. Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (с изменениями от 31.12.2017) 5. Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи" (с изменениями от 31.12.2017) 6. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" 7. Приказ Минздравсоцразвития России от 28.02.2011 N 158н "Об утверждении Правил обязательного медицинского страхования" с изменениями от 11.01.2017). 8. Национальный стандарт РФ ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст) 9. «Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ (ред. от 29.07.2018) (с изм. и доп., вступ. в силу с 31.07.2018) 10. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27005-2010. "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (утв. и введен в действие Приказом Росстандарта от 30.11.2010 N 632-ст) 11. Национальный стандарт Российской Федерации. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. "Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий" (утв. и введен в действие Приказом Ростехрегулирования от 07.06.2007 N 122-ст) 12. Национальный стандарт Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст) 13. Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" 14. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" 15. Руководящий документ. «Защита от несанкционированного доступа к информации. Термины и определения» Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г. 16. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" 17. Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" (Зарегистрировано в Минюсте РФ 06.08.2001 N 2848) 18.Компания «Код безопасности» [Офиц. сайт]. URL: https://www.securitycode.ru/products/secret-net-studio/abilities/ (дата обращения: 22.08.2018) 19.СЗИ DALLAS LOCK [Офиц. сайт]. URL: https://www.dallaslock.ru (дата обращения: 22.08.2018) 20.Компания «ОКБ САПР» [Офиц. сайт]. URL: http://www.accord.ru/acwin32.html (дата обращения: 23.08.2018) 21.Компания «ИнфоТеКС» [Офиц. сайт]. URL: https://infotecs.ru/product/all/?line=vipnet-network-security (дата обращения: 22.08.2018). 22.Компания «КриптоПро» [Офиц. сайт]. URL: http://www.cryptopro.ru/products (дата обращения: 23.08.2018). 23.Компания «Код безопасности» [Офиц. сайт]. URL: https://www.securitycode.ru/products/apksh_kontinent/abilities/ (дата обращения: 23.08.2018). 24. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с изменениями от 19.07.2018)
