Анализ и модернизация системы информационной безопасности в тран. Выпускная квалификационная работа на тему Анализ
 Скачать 0.6 Mb.
|
|
2 2 
Рассчитаем срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы: Ток = R∑ / (Rср – Rпрогн) где: Rср –суммарная величина потерь до внедрения системы обеспечения информационной безопасности; Rпрогн –прогнозируемая суммарная величина потерь после внедрения системы обеспечения информационной безопасности. Ток = (1 309 000 + 67 000) / (4 929 010 – 3 750 010) = 1,167090755 ≈ 1,17 То есть срок окупаемости составит 1,17 года или около 15 месяцев. По результатам оценки экономической эффективности проекта можно сказать, что предложенный проект экономически целесообразен и рекомендуется к реализации. Заключение В настоящей работе был разработан ряд мероприятий по проведению анализа и модернизации системы информационной безопасности ТК «Шерл». Для достижения цели работы были поставлены и решены следующие задачи: проведено аналитическое обследование состояния информационной безопасности в ТК «Шерл», обследование показало наличие устаревшей системы обеспечения информационной безопасности, а также не соответствие нормативных документов в области защиты персональных данных актуальным стандартам по информационной безопасности; идентифицированы информационные активы объекта, а также потенциальные уязвимости, угрозы и риски реализации угроз активам, в качестве критичных информационных активов были рассмотрены рабочие станции пользователей и серверное оборудование, информационная система, угрозы информационной безопасности преимущественно носят внешний характер и связаны с атаками посредством сетевого трафика и внедрения вредоносного программного обеспечения; аудит текущего состояния информационной безопасности объекта ТК «Шерл» показал наличие организованного процесса конфиденциального делопроизводства, обеспечение информационной безопасности преимущественно за счет встроенных возможностей сетевого оборудования и программного обеспечения, устаревшую форму организации работ с персональными данными; в качестве мер для совершенствования состояния информационной безопасности объекта исследования были выбраны организационные меры и инженерно-технические меры; разработан и описан комплекс мероприятий по совершенствованию системы обеспечения информационной безопасности объекта исследования включающий себя настройку средств защиты от несанкционированного доступа и межсетевого экрана; на примере расчета эмпирических показателей обоснована экономическая эффективность совершенствования системы обеспечения информационной безопасности, составившая средний срок окупаемости системы информационной безопасности 1,17 года или около 15 месяцев. В заключении необходимо отметить, что описанный подход к проведению аудита показателей информационной безопасности должен проводиться с постоянной периодичностью (не реже 1 раза в 6 месяцев) поскольку угрозы информационной безопасности имеют тенденции изменяться. В зависимости от оценки показателей должны меняться мероприятия по обеспечению информационной безопасности. Список использованной литературы Федеральный закон РФ от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации (с изменениями от 25 ноября 2017 г.). Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (с изменениями от 25 ноября, 27 декабря 2009 г.). Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981). Административный регламент предоставления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соблюдением обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Утвержден Приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Выписка) (утв. ФСТЭК РФ 15.02.2008). Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.», Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 375- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.). Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-1-2002. «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1». Принят и введен в действие Постановлением Госстандарта России от 4 апреля 2002 г. N 133-ст. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК ТО 13335-3—2007. «Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий». Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 7 июня 2007 г. № 122-ст. Национальный стандарт Российской Федерации ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей». Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 г. N 1180-ст. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 N 28375). Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" Аверченков, В.И. Аудит информационной безопасности: учебное пособие для вузов / В.И. Аверченков. - 3-е изд., стереотип. - М. : Флинта, 2016. - 269 с. - Библиогр. в кн. - ISBN 978-5-9765-1256-6 ; Бирюков А. Информационная безопасность. Защита и нападение – М.:ДМК Пресс, 2017 Мельников В. П. Информационная безопасность и защита информации. -М.: Академия, 2017, - 336 стр. Мельников Д.А. Организация и обеспечение безопасности информационно-технологических сетей и систем. Учебник – М.:КДУ, 2017 Нестеров С. Информационная безопасность. Учебник и практикум – М.:Юрайт, 2017 Нестеров, С.А. Основы информационной безопасности: учебное пособие / С.А. Нестеров; Министерство образования и науки Российской Федерации, Санкт-Петербургский государственный политехнический университет. - СПб.: Скабцов Н. Аудит безопасности информационных систем – СП- б.:Питер, 2018 Информационный ресурс Securelist [Офиц.сайт]. URL: https://securelist.ru/ Архив изданий по информационной безопасности [Офиц.сайт]. URL: http://www.itsec.ru/articles2/allpubliks Журнал «Вопросы кибербезопасности» [Офиц.сайт]. URL: http://cyberrus.com/ Свободная энциклопедия «Википедия» [Офиц.сайт]. URL: https://ru.wikipedia.org/ Портал Аnti-malware.ru [Офиц.сайт]. URL: http://www.anti-malware.ru Учебный ресурс Ideco ICS [Офиц.сайт]. URL: https://doc.ideco.ru/ ООО «Код Безопасности» [Офиц.сайт]. URL: http://www.securi- tycode.ru/ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||