Главная страница
Навигация по странице:

  • (Установление границ рассмотрения) 1.1.1 Общая характеристика предметной области

  • Экономические показатели ООО Альпина за 2020 и 2021г.

  • Наименование показателя 2020 2021

  • 1.1.2. Организационно-функциональная структура предприятия

  • 1.2 Анализ рисков информационной безопасности 1.2.1 Идентификация и оценка информационных активов

    		•

    работа. На сегодняшней день, в связи с развитием Информационных Технологий и компьютеризацией экономики одним из важнейших вопросов в деятельности компании становится обеспечение информационной безопасности (ИБ)


    Скачать 306.16 Kb.
    НазваниеНа сегодняшней день, в связи с развитием Информационных Технологий и компьютеризацией экономики одним из важнейших вопросов в деятельности компании становится обеспечение информационной безопасности (ИБ)
    Анкорработа
    Дата02.05.2022
    Размер306.16 Kb.
    Формат файлаdocx
    Имя файлаalpina.docx
    ТипДокументы
    #507643
    страница1 из 6
      1   2   3   4   5   6

    ВВЕДЕНИЕ

    На сегодняшней день, в связи с развитием Информационных Технологий и компьютеризацией экономики одним из важнейших вопросов в деятельности компании становится обеспечение информационной безопасности (ИБ). Информация может существовать в различных формах: быть напечатанной или написанной на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или выражена устно. Независимо от формы представления информации, средств ее распространения или хранения, она всегда должна быть адекватно защищена.

    Нужно понимать, что лишь системный и комплексный подход к защите может обеспечить информационную безопасность. В системе ИБ нужно учитывать все актуальные и вероятные угрозы и уязвимости, для этого необходим контроль в реальном времени. Контроль должен производится 24/7 и охватывать весь жизненный цикл информации – от момента, когда она поступает в организацию, и до ее уничтожения или потери актуальности.

    В защите информационной безопасности нуждаются все современные предприятия и организации, а также государственные ведомства. С развитием информационных технологий количество угроз для информационной безопасности растет, что требует создание и совершенствование защищённости предприятия. Иначе за счет утечки данных, удаление или порчи будет нанесен финансовый ущерб, кража коммерческой или производственной тайны, что в конечном итоге может повлиять на будущие развитие компании или же к полному краху. Средний и малый бизнес за счет высокой конкуренции особенно подвержен угрозам.

    Соперничество и конкуренция происходящее на рынке всё больше и больше набирает значимость не только в России, но и во всем мире, между компаниями и корпорациями, а также между государственными структурами разных государств.

    Ежегодно по всему миру возрастает террористическая угроза, постепенно перемещаясь при этом в виртуальное пространство. На сегодняшний день никого не удивляет возможность атак на автоматизированные системы управления технологическими процессами различных предприятий. Но подобные атаки не проводятся без предварительной разведки, для чего применяется кибершпионаж, помогающий собрать необходимые данные. Существует также такое понятие, как “информационная война”, она отличается от обычной войны тем, что в качестве оружия выступает тщательно подготовленная информация.

    Нарушение режима информационной безопасности может быть вызвано как спланированными операциями злоумышленников, так и неопытностью сотрудников. Пользователь должен иметь хоть какое-то понятие об ИБ, вредоносном программном обеспечении, чтобы своими действиями не нанести ущерб компании и самому себе. Такие инциденты, как потеря или утечка информации, могут также быть обусловлены целенаправленными действиями сотрудников компании, которые заинтересованы в получении прибыли в обмен на ценные данные организации, в которой работают или работали.

    Источники угроз информационной безопасности обширны и их список только растет. Оценивать угрозы необходимо комплексно, при этом методы оценки будут различаться в каждом конкретном случае.

    Тема данной выпускной квалификационной работы – “Разработка комплексной защиты информации на предприятии ООО “Альпина””.

    Целью проекта является повышение уровня защищенности системы информационной безопасности в компании ООО “Альпина”.

    К задачам ВКР относится:

    1. Исследование предприятия и его деятельности.

    2. Анализ информационной системы предприятия с точки зрения обеспечения информационной безопасности.

    3. Проектирование систем информационной безопасности.

    4. Оценка экономической эффективности выбранных средств.

    Объектом исследования является компания ООО “Альпина”, а предметом исследования – процесс внедрения комплексной защиты информации.
    I. Аналитическая часть

    1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)

    1.1.1 Общая характеристика предметной области

    Компания ООО “Альпина” – предприятие, которое специализируется на производстве автохимии и автокосметики и по праву занимает лидирующие позиции на рынках России и зарубежных стран.

    Выбирая продукцию ALPINA, вы получаете эффективные и технологичные препараты для быстрой и доступной профилактики и ремонта ключевых систем автомобиля, ухода за его интерьером и экстерьером.

    Преимущества использования препаратов ALPINA:

    - безразборный ремонт основных систем и самостоятельное продление ресурса автомобиля;

    - более 250 технологичных составов из сырья европейского качества;

    - эффективность препаратов в любом климате от субтропиков до Арктики;

    - соответствие культуре обслуживания и эксплуатации автомобилей в Росcии и ближнем зарубежье;

    - доступная по сравнению с мировыми брендами цена.

    История компании ООО “Альпина” началась в 2005 году. С момента создания компании, на предприятии была оборудована собственная производственная лаборатория, отвечающая самым высоким требованиям, где осуществляется контроль над качеством продукции на всех этапах производства. Ежегодно специалисты компании проходят обучение не только в России, но и зарубежном, что позволяет предприятию быть в курсе мировых разработок в отрасли автохимии. За 17 лет предприятие стало одним из ведущих производителей и поставщиков выпускаемой продукции, компания опережает конкурентов и создает новые инновационные продукты высокого качества.

    Научно-исследовательский центр предприятия оснащен оборудованием высочайшего класса. Там трудятся высоко квалифицированные специалисты над создание инновационных, новых и более качественных продуктов, соответствующим мировым стандартам качества и безопасности.

    Ассортимент выпускаемой продукций высок более 300 товаров бытовой химии, автохимии, клининга автокосметики.

    Продукция компании представлена в каждом субъекте РФ.

    Площадь земельного участка более 20,000м2 со всеми строениями и цехами предприятия.

    Для хранения готовой продукции предусмотрены складские помещения общей площадью 4000м2.

    Так же имеется распределительный центр общей площадью более 2500м2.

    Штат предприятия составляет 250 человек профессионалов и высоко квалифицированных сотрудников.

    Предприятие соответствует международным стандартам качества и безопасности выпускаемой продукции:

    1. ISO 9001:2015 - Стандарт управления качеством, обеспечивающий согласованность продукции и надежность предоставляемых услуг.

    2. ISO 14001:2015 - Стандарт экологического менеджмента, улучшающий экологические показатели, обеспечивающий соответствие экологическим нормам и достижение экологических целей.

    3. ISO 45001:2018 - Стандарт охраны труда и промышленной безопасности.

    Основные экономические показатели эффективности деятельности компании за 2020-2021года показаны в таблице 1.1

    Таблица 1.1

    Экономические показатели ООО Альпина за 2020 и 2021г.



    Наименование показателя

    2020
    2021
    Темп роста

    1
    Общий товарооборот предприятия

    1238 млн.

    1460 млн.
    17.93%

    2
    Выручка от реализации продукции

    1012 млн.
    1142 млн.
    12,85%

    3
    Себестоимость проданных товаров

    349 млн.
    370

    млн.
    6,02%

    4
    Чистая прибыль

    640 млн.
    760 млн.
    18,75%

    5
    Численность сотрудников

    250
    250
    0%


    По данным представленным в таблице 1.1 можно сделать вывод, что предприятие успешно развивается и постепенно увеличивает общую прибыль.

    1.1.2. Организационно-функциональная структура предприятия

    Организационную структуру ООО “Альпина” можно представить виде следующей схемы (Рис 1.1)



    Рисунок 1.1 Организационно-штатная структура ООО “Альпина”


    Генеральный директор осуществляет общее руководство компанией, именно он несет ответственность за принятые решения и результаты деятельности управляемого им субъекта. Существуют законодательные акты, которые регулируют должностные обязанности гендиректора:

    - Закон “Об обществах с ограниченной ответственностью” № 14-ФЗ (ст.21, 35, 37, 40, 44, 47).

    - Трудовой кодекс РФ (гл.43).

    - Гражданский кодекс РФ (ст.53, 53.1).

    При определении должностных обязанностей директора также руководствуются следующими нормативными актами:

    - Конституцией РФ;

    - КоАП РФ;

    - Профстандартами;

    - Единым квалификационным справочником должностей.

    Правовые основания трудовой деятельности гендиректора определены в гл. 43 ТК РФ. В соответствии с ней, руководитель организации выполняет функции ее единоличного управляющего органа, но при этом он является работником этой организации и обязан выполнять указания всех действующих локальных нормативных документов.

    Основные функциональные обязанности гендиректора:

    - Руководство деятельностью организации.

    - Организация работы и эффективного взаимодействия всех структурных подразделений субъекта.

    - Представление интересов общества, заключение сделок от его имени.

    - Обеспечение законности ведения финансово-хозяйственной деятельности предприятия.

    - Контроль за рациональным и эффективным использованием ресурсов ООО, а также за выполнением обязательств перед государственным бюджетом.

    - Разработка целей компании и планов по их реализации.

    - Организация ведения бухгалтерского, налогового и кадрового учета.

    - Обеспечение правильности составления отчетной документации.

    - Издание приказов о назначении работников на должность, об их переводе и увольнении.

    - Утверждение штатного расписания.

    - Иные распорядительные функции.

    Должностная инструкция генерального директора не является обязательным документом, порядок ее составления не регламентирован нормами действующего законодательства, тем не менее гендиректор должен действовать добросовестно, тщательно взвешивая принятые им решения.

    Финансовый директор – один из высших руководящих лиц компании, ответственный за управление финансовыми потоками бизнеса, за финансовое планирование и отчетность. Определяет финансовую политику организации, разрабатывает и осуществляет меры по обеспечению ее финансовой устойчивости.

    Руководит работой по управлению финансами исходя из стратегических целей и перспектив развития организации, по определению источников финансирования с учетом рыночной конъюнктуры.

    Основные должностные обязанности финансового директора:

    - Управление финансовыми потоками предприятия;

    - Контроль расходов и обеспечение эффективного использования ресурсов;

    - Контроль доходов и обеспечение фирмы финансами;

    - Налоговое планирование;

    - Формирование и стратегическое планирование финансовой политики компании;

    - Обеспечение экономической безопасности;

    - Анализ и снижение возможных финансовых рисков;

    -Контроль ведения деятельности предприятия в соответствии с действующим законодательством;

    - Проведение финансово-экономического анализа сделок компании;

    - Подготовка финансовой отчетности;

    - управление коллективом финансовых и бухгалтерских служб.

    Подчиняется финансовый директор непосредственно генеральному директору.

    Планово-экономический отдел представляет собой структурное подразделение предприятия, работники которого занимаются изучением данных об экономическом состоянии фирмы, а также расчетом финансовых показателей и их планированием.

    На основании проведенных экономических расчетов аналитики подготавливают отчеты, справки, аналитические записки. Специалисты самостоятельно занимаются извлечение полезной информации, поступающей от отделов. Экономисты принимают участие в разработке методологии структуры документации. Также на работников планово-экономического отдела возлагается функция исследования работы предприятия, контроль. Отдел анализирует полученную информацию и управляет деятельностью компании.

    Юридический отдел. Главная цель юридического департамента – обеспечить соблюдение требований нормативно-правовых актов любых уровней и защита интересов компании.

    Основные функции юридического отдела:

    - обеспечение легитимности предприятия, юротдел анализирует все нормативно-правовые акты, касающиеся работы предприятия, и отслеживает, соблюдаются ли законы;

    - работа с документами компании: от разработки договоров до хранения устава, отчетов, контрактов и пр.;

    - мониторинг изменений в законодательстве;

    - исковая и претензионная работа, если права компании были нарушены;

    - консультационная работа с коллективом компании;

    - урегулирование конфликтов через досудебные соглашения;

    - защита интересов в суде;

    - взаимодействие с другими структурами предприятия.

    Коммерческий директор – это топ-менеджер, который руководит закупками и продажами, маркетингом и логистикой компании.

    Коммерческий директор имеет под своим контролем и в своем подчинении следующие подразделения предприятия:

    - отдел рекламы и маркетинга, которые создают имидж организации во внешней среде;

    - отдел по связям с общественностью, который обеспечивает узнаваемость предприятия;

    - отдел сбыта, который определяет каналы продаж, а также отдел логистики, который определяет наиболее выгодные пути доставки товара от производителя к потребителю;

    - складская служба, куда поступает сырье и материалы, а также неотгруженная продукция.

    Должностная инструкция коммерческого директора содержит следующие обязанности:

    - разработка стратегии и плана развития предприятия (анализ рынка, конкурентов, маркетинг и т.д.);

    - анализ текущей работы предприятия и оперативное реагирование на сбой в производственном процессе с целью нормализации ситуации;

    - контроль за соблюдением бюджета по предприятию в целом и по его подразделениям;

    - изучение финансовых показателей с целью принятия управленческих решений;

    - составление стратегических и оперативных планов по экономической и производственной деятельности организации;

    - контроль исполнения разработанных планов не только по предприятию в целом, но также и по отдельным подразделениям и отделам;

    - разработка мероприятий по расширению рынков сбыта и увеличение объемов продаж;

    - управление сотрудниками своего отдела (подбор, обучение, мотивация);

    - контроль эффективности использования ресурсов;

    - управление продажами (выполнение планов, построение бизнес-процессов, управление отделом, мотивация, разработка KPI, учет и автоматизация работы);

    - разработка и реализация ценовой и маркетинговой политики.

    Коммерческий директор отвечает за обеспечение полной конфиденциальности всей информации касательно организации производства, технологических особенностей, финансовых операций, маркетинговых методов. Обеспечение безопасности, в том числе и пожарной безопасности, в тех помещениях, где находятся подконтрольные коммерческому директору подразделения.

    Директор по производству – один из ключевых руководителей на предприятии. Он отвечает за исправную работу производственных циклов и качество изготавливаемой продукции, также он занимается формированием смет по материалам, управляет производством, следит за наличием сырья.

    Должностные обязанности:

    - координация технической подготовки производства;

    - руководство коллективом;

    - контроль производства продукции;

    - анализ финансовой стороны производственного процесса;

    - контроль состояния производственного оборудования;

    - разработка мероприятий по повышению производительности работ;

    - организация производственного учета;

    - ведение технической документации;

    - подбор и обучение сотрудников;

    - автоматизирование процессов производства.

    Директор по производству отвечает за сохранность информации (документов), содержащих сведения, составляющие коммерческую тайну компании, иные конфиденциальные сведения, включая персональные данные работников компании.

    Директор по производству относится к категории руководителей, возглавляет производственную работу предприятия и имеет в подчинении: главного технолога, начальника цехов, мастеров. Сам же директор по производству подчиняется непосредственно генеральному директору компании.

    Отдел кадров – это подразделение предприятия по управлению персоналом, стратегически важный участок в компании.

    Основная цель – организация работы всех сотрудников, при которой компания будет наиболее эффективно работать.

    В обязанности кадровой службы входят:

    - разработка плана укомплектования сотрудников в соответствии с деятельностью организации;

    -оформление увольнения работников, их прием на работу, перевод на другую должность;

    - ведение учета личного состава;

    - ответственность за хранение трудовых книжек, их заполнение;

    - ведение прочей документации;

    - создание условий для работы;

    - предложения по улучшению деятельности предприятия;

    - подготовка документов и отчетности для комиссий;

    - контроль и проведение инструктажа сотрудников;

    - ведение контроля за дисциплиной на производстве.

    Основные положения и вопросы кадровой службы регулируются Трудовым Кодексом Российской Федерации. Производство дел в отделе кадров осуществляется на основании законов РФ, различных правил и нормативных актов.

    В отделе кадров происходит работа с личными данными работника – это то, с чем работодатель сталкивается постоянно. Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме – он уже предоставляет в распоряжение работодателя свои персональные данные, ответственность за неправильное или небезопасное хранение данных очень серьезная.

    Понятие “персональные данные” закреплено:

    - Федеральным законом № 152-ФЗ от 27.07.2006.

    - Указом президента РФ № 188 от 06.03.1997.

    За обработку и разглашение любых персональных данных человека без его согласия предусмотрена административная и уголовная ответственность.

    Отдел Информационных Технологий (ИТ). Сегодня ИТ-отдел жизненно важен для успеха компании. ИТ-отдел предприятия ООО ”Альпина” укомплектован высококвалифицированными опытными специалистами: программистами, системными администраторами, веб-дизайнерами, инженерами-электронщиками.

    Цели и задачи ИТ-отдела:

    1.Целями ИТ-отдела являются:

    - реализация работ по обеспечению бесперебойного функционирования и развития программно-аппаратных комплексов;

    - обеспечение защиты сведений, составляющих коммерческую тайну, в процессе деятельности организации;

    - осуществление в соответствии с законодательством Российской Федерации работы по комплектованию, хранению, учету и использованию архивных документов, образовавшихся в процессе деятельности организации;

    2.Основными задачами ИТ-отдела являются:

    - реализация концепции развития информационных систем;

    - обеспечение требуемого уровня информационной безопасности;

    - разработка стандартов на использование вычислительной техники и программного обеспечения;

    - обеспечение информационной и технической поддержки средств вычислительной техники и программного обеспечения;

    - проведение работ по оптимизации использования информационно-технических ресурсов.

    В процессе производственной деятельности организации ИТ-отдел осуществляет функции:

    1.Приобретение:

    - активного сетевого оборудования;

    - серверов;

    - средств резервного копирования и восстановления данных;

    - средств защиты информации;

    - средств контроля и управления сетевой инфраструктурой;

    - периферийного оборудования;

    - вычислительной техники и комплектующих;

    - программного обеспечения;

    - расходных материалов и запасных частей к устройствам печати и офисной технике.

    2.Установка, настройка, техническое сопровождение и обслуживание:

    - серверов;

    - активного сетевого оборудования;

    - аппаратных и программных средств контроля и управления сетевой инфраструктурой;

    - средств резервного копирования восстановления данных;

    - рабочих станций;

    - периферийного оборудования;

    - программного обеспечения;

    - офисной техники.

    3.Организация автоматизированных рабочих мест.

    4.Диагностика и исправление неисправностей вычислительной и офисной техники.

    5.Диагностика и устранение неполадок программного обеспечения.

    6.Координация работ с поставщиками и производителями вычислительной и офисной техники по вопросам гарантийного обслуживания и ремонта.

    7.Координация работ с подрядчиками и субподрядчиками – производителями программного обеспечения по вопросам приобретения, обновления и модификации.

    8.Разработка, внедрение и организация контроля исполнения руководящих документов по обеспечению информационной безопасности.

    9.Разработка плана обеспечения непрерывной работы и восстановления работоспособности подсистем автоматизированных систем.

    10.Анализ потребностей организации в дополнительных средствах вычислительной техники и обработки информации.
    1.2 Анализ рисков информационной безопасности

    1.2.1 Идентификация и оценка информационных активов

    Идентификация и определение ценности активов, исходя из потребностей бизнеса организации, являются основными факторами в оценке риска. Для того чтобы определить требуемый уровень защиты активов, необходимо оценить их ценность с точки зрения важности этих активов для бизнеса. Важно учитывать идентифицированные законодательные требования, требования бизнеса и контрактных обязательств, а также последствия нарушения конфиденциальности, целостности и доступности этих активов. Некоторые активы, к примеру технические и программные средства идентифицируются очевидным образом, но про такие активы как люди и расходные материалы часто забывают.

    Этапы определения ценности активов:

    - Определение шкалы ценности активов.

    - Определение критериев оценки ущерба.

    - Получение исходных данных для оценки от владельцев и пользователей активов.

    - Определение последствий доля бизнеса в результате нарушения конфиденциальности, целостности и доступности актива.

    - Определение ценности актива отдельно для каждого из трех свойств.

    Исходные данные для определения ценности активов могут быть предоставлены владельцами и пользователями этих активов, которые способны авторитетно рассуждать о ценности конкретной информации для организации, а также о том, каким образом активы используются для осуществления бизнес-процессов и какую роль в достижении целей бизнеса они играют. Для того чтобы единообразно определить ценность активов, должна быть определена соответствующая шкала ценности активов.

    Для каждого из свойств актива, таких как конфиденциальность, целостность или доступность, должно быть определено отдельное значение ценности, так как эти значения являются независимыми и могут варьироваться для каждого из активов.

    Согласно ISO 27002 информация и другие активы организации должны быть классифицированы в соответствии с идентифицированной ценностью активов, законодательными и бизнес-требованиями и уровнем критичности. Классификация показывает потребность, приоритеты и ожидаемый уровень защиты при обращении с информацией. Определение классификации, а также ее пересмотр с целью предоставления гарантий того, что классификация остается на соответствующем уровне, входит в обязанности владельца актива.

    Что касается активов, не относящихся к категории информационных (помещения, оборудование, носители информации, кадровые ресурсы и прочие материальные активы), то определение собственной ценности этих активов (без учета их влияния на соответствующие информационные активы) при анализе информационных рисков являются необязательными, так как множество рассматриваемых нами рисков охватывают только информационные активы. Другими словами, при выходе из строя сервера рассматривается ущерб, связанный с недоступностью и необходимостью затрат на восстановление связанных с этим сервером информационных активов, при этом стоимость замены или ремонта самого сервера может и не учитываться. Такой подход позволяет упростить оценку рисков без ущерба для ее объективности.

    В большинстве случаев критичность программного обеспечения оценивается так же, как и для технических средств, в терминах его восстановления или замены. В этом случае необходимо оценить лишь финансовые потери от его разрушения. Однако в некоторых случаях программное обеспечение может иметь собственную ценность, заключающуюся, например, в обеспечении конфиденциальности и целостности исходных текстов программ, представлять собой объект интеллектуальной собственности и относиться к категории коммерческой тайны. В этих случаях критичность программного обеспечения оценивается так же, как и для информационных активов.

    Оценка информационных активов предприятия ООО “Альпина” представлена в таблице 1.2



    Таблица 1.2
      1   2   3   4   5   6

    написать администратору сайта