Дипломная работа (бакалавр/специалист) на тему Внедрение процессного подхода на предприятии в сфере информационной безопасности.

Содержание:

Введение 3
Глава 1. Методы и способы организации работ по защите информации 5
1.1 Информационная безопасность предприятия, способы организации и виды работ 5
1.2 Нормативно-правовые основы организации защиты информации 12
1.3 Использование процессного подхода в стандартах информационной безопасности 15
Глава 2. Характеристика предприятия и анализ существующей системы организации деятельности предприятия 19
2.1 Технико-экономическая характеристика предприятия 19
2.2 Внешние факторы деятельности предприятия 23
2.3 Внутренняя среда (организационная структура и взаимосвязи, состав и структура информационных ресурсов) предприятия 25
Глава 3. Разработка мер по внедрению процессного подхода 40
3.1 Области применения процессного подхода при организации работ на предприятии в сфере ИБ 40
3.2 Реализация комплекса мер по организации информационной безопасности с применением процессного подхода 49
Глава 4. Оценка экономической эффективности 56
4.1 Расчет трудоемкости и продолжительности разработки проекта 56
4.2 Календарный план выполнения работ 62
4.3 Оценка проекта 64
Заключение 67
Список использованных источников 69

Введение:

Практически любой бизнес на сегодняшний день использует компьютеры и различные устройства хранения информации, а так же каналы передачи информации ив виде локальных вычислительных сетей и сети Интернет. Компьютеры и сервер организации может быть подвержен различного рода угрозам информационной безопасности.
Для обеспечения защиты данных компании и создания надежной защиты привлекаются компании, основной вид деятельности которых обеспечение информационной безопасности.
Данного рода компании производят полный цикл анализа данных компаний клиентов и предлагают различные способы решения поставленных задач, которые ко всему прочему должны соответствовать действующему законодательству РФ и международным стандартам.
Компании занимающиеся информационной безопасностью, хоть и имеют определенную конкуренцию, но за счет того, что данная область сложная и достаточно специфичная имеют повышенный спрос на услуги.
Предоставление услуг в полном объеме и всем желающим клиентам, есть основная проблема организаций такого типа деятельности. Оценить и реализовать проект всегда сложно и для этого требуются ограниченные ресурсы. Управление данными ресурсами есть основная задача руководства.
Актуальность данной темы заключается в том, что организации для обеспечения информационной безопасности необходимо произвести большой набор работ, которые можно оптимизировать применяя процессный подход, как к самой организации информационной безопасности, так и к непосредственно процессу реализации проекта. Получение формализованных инструкций и указаний о начале проекта, получение первичных сведений, а так же разделение труда между сотрудниками может быть достигнуто с помощью процессного подхода. Сложность и бюрократические процедуры в организации делают данную тему актуальной.
Объектом исследования является – компания работающая в сфере защиты данных и информационной безопасности ООО «Альфа».
Предметом исследования является процесс начала и реализации проекта информационной безопасности.
Цель работы заключается во внедрении процессного подхода на предприятии в сфере информационной безопасности.
Для достижения цели необходимо решить ряд задач:
– провести рассмотрение теоретических основ организации информационной безопасности и защиты информации;
– определить место процессного подхода в области информационной безопасности;
– рассмотреть характеристику и деятельность организации;
– рассмотреть процесс реализации проекта и его согласования используя процессный подход;
– провести разработку организационных и программных мер защиты в рамках процессного подхода;
– провести оценку экономических показателей проекта.
Теоретической и методологической основой проведенного исследования послужили труды отечественных и зарубежных ученых в области защиты информации. В работе использованы законодательные акты и нормативные документы Российской Федерации.
Практическая значимость работы заключается в возможности последующего внедрения разработанных рекомендаций по внедрению процессного подхода при организации работ по проекту ИБ в ООО «Альфа».

Заключение:

Достигнута цель работы – произведено описание процесса внедрения процессного подхода на предприятии в сфере информационной безопасности.
Разработаны организационные и программно-технические меры по обеспечению реализации процессного подхода при работе с проектами по информационной безопасности в ООО «Альфа».
Разработаны рекомендации по организации процессного подхода при выполнении непосредственно работ по организации информационной безопасности и защиты структуры ЛВС, а так же подход к выполнению работ, связанных с описанием результата работы информационной безопасности.
Рекомендованное изменение бизнес-процессов при организации работ с проектами ИБ построенные на основе функционального моделирования позволяют исключить различные бюрократические проволочки на первоначальных этапах работы проекта, а так же позволяют контролировать ход работ и оптимально использовать ограниченные трудовые и материальные ресурсы.
Был решен ряд задач:
– провести рассмотрение теоретических основ организации информационной безопасности и защиты информации;
– определить место процессного подхода в области информационной безопасности;
– рассмотреть характеристику и деятельность организации;
– рассмотреть процесс реализации проекта и его согласования используя процессный подход;
– провести разработку организационных и программных мер защиты в рамках процессного подхода;
– провести оценку экономических показателей проекта.
В результате внедрения процессного подхода, значительно сокращается время на ведение проектов, их организацию и контроль исполнения. За счет формализации процессов передачи информации, ее сбора и применения на разных этапах работы проекта.
В ходе применения процессного подхода специалистами ООО «Альфа» могут быть достигнуты положительные результаты при учете технических средств, ведение договоров с организациями по проводимым работам и их обследование на предмет использования программного обеспечения и данных о размещении технических средств, которые могут повлиять на уровень используемой безопасности технических средств.

Фрагмент текста работы:

Глава 1. Методы и способы организации работ по защите информации

1.1 Информационная безопасность предприятия, способы организации и виды работ

Организации в ходе своей деятельности непременно сталкиваются с вопросом организации и внедрения информационной безопасности. Использование вычислительной техники, персональных компьютеров, локальных вычислительных сетей и повсеместного использования сети интернет выявляют различного рода угрозы для конфиденциальных данных и коммерческой тайны [2].
Современная ИТ-структура предприятия подвержена различным угрозам потери или кражи данных. С увеличением типов устройств, а так же объёмов передаваемой информации стали возникать новые угрозы данным. Т.к. появились новые возможности утери данных, то для противодействию им стали появляться все новые средства защиты.
Для обеспечения защиты, а так же проведения аудита информационной безопасности на предприятия организации привлекают сторонних специалистов и профильные организации, которые могут предоставить рекомендации по защите данных, подготовки необходимой регламентной документации, внедрения средств защиты.
Для обеспечения надежного хранения данными, а так же их безопасности передачи, использования и применения требуются все новые и новые средства защиты. Простая модель защиты в виде изоляции некоторой организации для предотвращения проникновений из вне уже является не состоятельной. Современные технологии должны применять весь спектр технологий и средств защиты имеющийся в распоряжении организации для построения комплексной защиты. Для ее реализации требуется рассмотрения природы возможных угроз, задействованную технику и прочее аппаратное и программное обеспечение, а так же возможные методы защиты.
Разработка и внедрение средств защиты требует капитальных вложений. Чем ценнее информационный актив организации, тем больше затрат на его защиту. Ценные информационные ресурсы организации обычно подвергаются большим угрозам, соответственно тем ценнее актив, тем больше затрат на обеспечение его защиты. Обеспечение информационной безопасности не может достигаться бесплатно. Даже в случае использования не затратных с точки зрения стоимости средств защиты, всегда требуются ресурсы на их внедрение, оценку угроз и поиска уязвимостей. Но при этом затраты на защиту информационных ресурсов окупаются с точки зрения отсутствия потерь при возникновении угроз или недопущения их возникновения.
Внедрение высокого уровня защиты информационных ресурсов, а так же оптимизацию выполняемых бизнес-процессов достигается за счёт использования грамотного управления информационными потоками и процессами создания, редактирования, хранения электронных информационных ресурсов, т.е. грамотно организовать информационное пространство и управление им.
Решения по защите данных предполагает наличие нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации (СЗИ). Один из побудительных мотивов выработки политики безопасности состоит в получении уверенности, что деятельность по защите информации построена экономически оправданным образом. Процесс анализа рисков включает в себя определение того, что следует защищать и как это делать. Необходимо рассмотреть все возможные риски и ранжировать их в зависимости от потенциального размера ущерба [24].
Защита информации – это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п [5].
Под угрозой (в общем смысле) обычно понимают потенциально возможное событие (воздействие, процесс или явление), которое может привести к нанесению ущерба чьим-либо интересам, в частности под угрозой безопасности программного обеспечения обработки информации понимается возможность воздействия на ПО, которое прямо или косвенно может нанести ущерб ее безопасности.
Для анализа возможных угроз и потенциальных нарушителей безопасности организации производится моделирование и описание возможностей нарушителя. Исходя их этого будет производиться дальнейший анализ безопасности организации разрабатываться меры противодействия.
Данные категории нарушителей наиболее вероятны для всех организаций, поскольку используют стандартные способы доступа к информации и каналы связи. Вид нарушителей с самым высоким потенциалом не рассматривается, поскольку более специфичен для государственных структур и структур с наивысшим доступом к технологиям.
Комплекс мероприятий по защите информации в сети для организации не сильно отличается от общепринятого подхода по защите информации, ограниченного доступа. Комплексный подход к защите информации в сети состоит из следующих этапов:
– разработка актуальной модели угроз для информационных активов;
– оценка существующих рисков активам;
– установка и запуск в эксплуатацию средств защиты информации в соответствии с моделью угроз;
– разработка документации с описанием системы защиты информации и составление карты используемых для информационных активов средств защиты;
– контроль использования средств защиты с проверкой актуальности применяемых средств [10, 19].