Дипломная работа (ВКР) — колледж, техникум на тему Разработка бизнес-плана создания организации для оказания услуг в сфере информационной безопасности

Содержание:

Введение. 3

Глава 1.
Методологические основы комплексной системы защиты информации  6

1.1 Принципы,
цели и задачи систем защиты информации предприятия. 6

1.2. Основы
построения корпоративной системы защиты информации предприятия  9

1.3
Концептуальные принципы обеспечения и планирования защиты информации объектов. 16

Глава 2.
Особенности планирования и организации комплексной системы защиты информации
для ГБУ «Досуговый центр Юность». 24

2.1
Характеристика деятельности ГБУ «Досуговый центр Юность». 24

2.2 Политика
в области информационной безопасности организации. 30

2.3 Анализ
уязвимости организации. 38

2.4
Требования к системам и органам управления обеспечения информационной
безопасности организации. 51

2.5
Разработка технико-экономического обоснования создания КСЗИ.. 60

2.6. Оценка
финансовых затрат на установку и эксплуатацию комплексной системы защиты
информации. 70

Заключение. 72

Список
литературы.. 75

Введение:

Информационные технологии
развиваются в направлении, связанным с полиграфией. Полиграфические технологии
связаны с развитием науки и техники, в таких областях как: информатика,
вычислительная компьютерная техника, кибернетика, автоматика, физика, химия,
машиностроение.

Основным показателем
рынка сегодня является его наполненность, а именно наличие огромного количества
товаров и услуг. В виду этого между организациями возникает конкуренция,
являющаяся лучшим стимулом к эффективной организации работы, постоянного
развития и повышения качества. Для удовлетворения этих потребностей в
организациях применяются различные подходы к управлению. Сегодня в науке и
бизнесе очень часто говорят о процессном управлении предприятием и процессной
структуре. Менеджеры и собственники ожидают от применения данной технологии
кардинальных и резких улучшений. Процессный подход одним из самых эффективных
методов организации работы компании. Впервые об этой технологии заговорили в
60х годах. Развитие этого направления происходит и по сей день.

Суть процессного подхода
заключается в представлении деятельности предприятия в виде взаимосвязанных
бизнес-процессов. Основой для руководства в данном направлении являются
стандарты ISO серии 9000, описывающие модель системы менеджмента качества и
определяющий основные принципы и положения. Далеко не все компании имеют
возможность успешно перейти к процессному управлению: где-то это не дает
значительных эффектов, где-то проект по внедрению сворачивается в процессе, а
где-то не проходит и этапов планирования. Тем не менее, процессный подход в
организации необходим для успешного функционирования и повышения конкурентоспособности
в сегодняшних реалиях.

Эффективное управление
трудовыми ресурсами невозможно без актуальной информации. Поэтому в процессе
деятельности предприятия собираются данные, характеризующие различные аспекты
состояния трудовых ресурсов, и проводится их детальный анализ. В нём
рассматриваются различные стороны управления трудовыми ресурсами предприятия –
производительность, издержки на рабочую силу и т.д. Чтобы выявить потери
необходимо проанализировать все операции, которые выполняются в процессе перевозки.

Главная проблема при
автоматизации заключается в том, что ранее все ограничивалось поставками
неприспособленных к отечественным условиям информационных систем, которые
позволяли решать частные задачи. При самостоятельных или заказных разработках
созданные информационные системы имели много замечаний и недоработок.

На сегодняшний день
существует множество структур, обучающих руководителей способам оптимизации
бизнес-процессов в ситуации, когда предприятия не могут справиться
самостоятельно. Несмотря на то, что тема существует очень давно, а ее
актуальность не вызывает вопросов, сейчас она приобретает новые очертания. Это
связано с изменениями рынка, потребляемых услуг и снижением прибыльности
бизнесов.

Проблема исследования.
Многие организации сталкиваются с осознанием того, что перемены жизненно
необходимы для того, чтобы остаться на плаву и развиваться, но далеко не все из
них представляют, в чем именно должны заключаться эти перемены. Какое звено в
цепочки стоит заменить или устранить, чтобы получить максимальную отдачу.
Причем, в большинстве случаев, изменения предполагают не просто увеличение
эффективности существующих процессов, а трансформацию их структуры. Выделены
методы оптимизации бизнес-процессов могут в организации не работать, так как
часто исходят из анализа существующих схем и не предполагают коренной
модернизации.

Прибыль в денежном
выражении отражает абсолютные показатели, проценты и коэффициенты отражают
относительные коэффициенты. При анализе показатели рентабельности следует
сопоставлять с запланироваными, а также показателями предыдущих периодов для
оценки эффективности деятельности фирмы.

В рамках
экономико-технологического подхода к формированию и управлению стратегическим
развитием необходима постановка таких задач, решение которых согласовывается с
фундаментальными представлениями о теории развития организации, выявленным
закономерностям и базовым представлениями о существующих типах её развития.

Реинвестируемая прибыль,
как правило, удовлетворяет потребности организации, но если данного не
происходит организация привлекает новые источники финансирования, изменяя
структуру капитала в сторону увеличения заемного капитала, увеличивая риск
вложения средств в компанию. Привлечение новых средств будет неизменно повышать
разрыв со предельной ценой капитала за счет увеличения затрат на привлечение
новых источников финансирования.

Цель работы – планирование
и организация комплексной системы защиты информации для ГБУ «Досуговый центр
Юность».

Задачи:

— рассмотреть сущность и
содержание информационной безопасности предприятия;

— проанализировать
особенности планирования и организации комплексной системы защиты информации
для ГБУ «Досуговый центр Юность».

Объект исследования – ГБУ
«Досуговый центр Юность».

Предмет исследования –
комплексной
системы защиты информации.

Методы исследования –
анализ, обобщение полученной информации.

Структура работы состоит
из введения, двух глав, заключения, списка литературы.

Заключение:

В результате проделанной
работы решены следующие задачи: рассмотрена сущность и
содержание информационной безопасности предприятия; проанализированы
особенности планирования и организации комплексной системы защиты информации
для ГБУ «Досуговый центр Юность».

ИТ-инфраструктурой
компании называют все представленные сервисы, разнообразие систем, сети,
наличие разнообразных серверов, взаимодействие различных систем и многое
другое. Необходимо понимать, что между компонентами ИТ-инфраструктуры
существуют самые разные связи. Один из процессов может обеспечиваться сразу несколькими
системами автоматизации. Причем каждая из систем обменивается данными с другими
системами. Получается, что в ИТ-инфраструктуре предприятия представлен не
просто набор ИТ-решений, которые случайно собраны в одном месте. Это крупная
интегрированная система, которая обеспечивает работу организации в общем. Как и
любую из систем, такую систему нужно правильно проектировать и в дальнейшем –
эксплуатировать. В то же время она настолько сложная, уникальная и
нестандартная, что проводить с ней работу, как с любой другой
автоматизированной системой, не представляется возможным. А такой вид систем
оказывает влияние множество факторов, поэтому необходимо не пускать на самотек
развитие ИТ-инфраструктуры, а разрабатывать специальную ИТ-стратегию. Она
представляет собой систему различных приоритетов, а также планов, правил,
которые дают возможность добиться адекватности инфраструктуры информационных
технологий потребностям всего бизнеса.

Важно понимать, что
состав ИТ-инфраструктуры предприятия включает в себя достаточно важные и
необходимые компоненты, которые нужно для рабочей деятельности и развития
бизнеса. В качестве основной модели фирмы можно взять центральный офис
предприятия, пользователей, работающих вне офиса, а также несколько
подразделений компании.

Важно понимать, что
состав ИТ-инфраструктуры предприятия включает в себя достаточно важные и
необходимые компоненты, которые нужно для рабочей деятельности и развития
бизнеса. В качестве основной модели фирмы можно взять центральный офис
предприятия, пользователей, работающих вне офиса, а также несколько
подразделений компании. Итак, ИТ-инфраструктура – это сервер, который выделен
из группы рабочих станций, чтобы выполнять сервисные задачи без участия
человека. Также к основным компонентам относится СКС, которая является основой
для создания ИТ-инфраструктуры предприятия. ЛВС – это локальная компьютерная
сеть, которая покрывает только небольшую территорию. Еще одним компонентом
являются источники бесперебойного питания, защищающие весь комплекс
дорогостоящего оборудования, а также различные бизнес-процессы. Дополнительно к
основным компонентам стоит отнести АТС, коммутатор, маршрутизатор, сетевой
коммутатор, который объединяет несколько узлов сети, благодаря чему
производительность, безопасность сети увеличивается.

К настоящему моменту
разработаны десятки методологий и концепций систем управления. Особенностью
структурных методов является последовательная декомпозиция сложной системы на
части, соответствующие реализуемым функциям, иерархическое упорядочивание полученных
элементов, определение их взаимосвязей. Объектные методы соответствуют
классическому рассмотрению производственного процесса.

Специфика управленческой
информации требует предоставления данных согласно текущему требованию – это
может быть, как информация о загруженности отдельного объекта, так и о ходе
некоторого производственного процесса. Подходы к организации контрольной
деятельности в системе управления промышленных предприятий, показали различия
направлений, следовательно, встала необходимость создания единой системы
контроля, универсальной для промышленных предприятий.

Неэффективные процессы
системы внутреннего контроля, неавтоматизированные средства управления и никак
не связанные друг с другом системы приводят к лавинообразному росту затрат на
GRC.

На эффективность
функционирования информационной безопасности предприятия в системе
инновационного управленческого учета значительное влияние оказывают качество и
количество информации, которая формируется информационном пространстве
машиностроительного комплекса. Как следствие, необходимо постоянно
совершенствовать требования к данной информации, ее составу и срокам
представления.

Следует отметить, что
наиболее распространены непреднамеренные ошибки и именно они представляют из
себя наибольшую опасность и наибольшую возможность причинения ущерба.

Чаще всего, эти ошибки и
являются угрозами, но также они могут являться причинами возникновения угроз,
создавая уязвимые места в информационной системе. К таким ошибкам можно отнести
непреднамеренные действия, некорректно введенные данные системных
администраторов, операторов, штатных пользователей или иных лиц, занимающихся
обслуживанием информационной системы.

Пользователи системы
могут являться источниками таких угроз, как: непреднамеренное или намеренное
искажение или ликвидирование данных, техническое отсутствие возможности работы
с информационной системой, отсутствие соответствующей подготовки пользователя,
что, в свою очередь может спровоцировать некорректное использование информации.

Фрагмент текста работы:

Глава 1. Методологические основы комплексной системы защиты информации

1.1 Принципы, цели и задачи систем защиты информации
предприятия Генеральной целью
обеспечения информационной безопасности является защита субъектов
информационных взаимоотношений от ущерба, который может нести моральный или
материальных характер. Ущерб может быть осуществлен путем намеренного или
непреднамеренного получения доступа к информационным ресурсам или вмешательства
в процесс работы автоматизированной системы.

В общем смысле можно
выделить три основные направления для достижения данной цели: стабильное
поддержание конфиденциальности защищенной информации, обеспечение доступности
информации авторизированным пользователям и сохранение целостности
обрабатываемой информации.

Стратегической целью
обеспечения информационной безопасности является содействие и укрепление процесса
развития системы обеспечения информационной безопасности[1].

Обеспечение
информационной безопасности должно осуществляться с учетом установленных, общих
принципов, поскольку информационная безопасность является связующим элементом
реализации информационной и национальной политики. К основным задачам в области
обеспечения информационной безопасности на уровне государственного
регулирования можно отнести следующие направления деятельности:

— формирование единой концепции государственной политики по обеспечению
конституционных прав граждан на информационную деятельность;

— модернизация действующего законодательства в соответствии с
внедрениями новых технологий в сфере информационной безопасности;

— определение границ полномочий и координация деятельности
органов государственной власти Российской Федерации в области информационной
безопасности;

— создание соответствующих условий для высокой степени защиты
информационных ресурсов федеральных и государственных органов власти;

— поддержка развития отечественных разработок в области
информационных технологий;

— поддержка развития информационных и телекоммуникационных
средств связи и систем;

— разработка методов и критериев определения уровня
эффективности средств обеспечения информационной безопасности Российской
Федерации;

— унификация информационных систем[2].

Выявленные задачи
обеспечения информационной безопасности относятся к регулированию
взаимоотношений в рамках информационного среды со стороны государства. Тем не
менее, тема защиты информации на локальном предприятии также очень востребована
на данный момент, поскольку действия неправомерного характера, такие как:
получение несанкционированного доступа, искажение или уничтожение
конфиденциальных данных может повлечь за собой значительный материальный ущерб
компании.

Задачи обеспечения
информационной безопасности на предприятии могут различаться в зависимости от
сферы деятельности и уровня технической оснащенности той или иной компании.
Очевидно, что задачи предприятия более узконаправленны, чем задачи государства.
Несмотря на это, можно также выделить общие характеристики задач:

— своевременное прогнозирование, выявление  или   устранение угроз
информационной безопасности;

— разработка и реализация эффективной системы по выявлению
уязвимостей и своевременному реагированию на них;

— внедрение средств обеспечения информационной безопасности,
нормативно-правового и технического характера;

— сокращение возможных угроз путем регулярной профилактической
деятельности[3].

Грамотное и конкретное
определение актуальных задач на предприятии может помочь не только сократить
материальный и моральный ущерб компании в случае реализации информационной
угрозы, но и предотвратить возможные нарушения. Как правило, задачи обеспечения
информационной безопасности сводятся к установлению определенных нормативов и
стандартов в области безопасности, которые помогают обеспечить высокий уровень
защищенности информации от несанкционированных или противоправных действий со
стороны сторонних лиц или сотрудников предприятия.

Комплексное выполнение
установленных стандартов безопасности оказывает влияние на эффективное
функционирование системы обеспечения информационной безопасности. Таким
образом, формирования основного перечня задач по защите информации предприятия
определяет дальнейшее направление деятельности предприятия в области
информации. [1] Гелета И.В. Управление
предпринимательскими рисками и методы их оценки // Экономика и менеджмент
инновационных технологий. — 2020. — № 11. – С. 45. [2] Васильева Н.К. Управление
финансовыми рисками во взаимосвязи с рентабельностью капитала организации.
Финансовая аналитика: проблемы и решения. — 2017. — №13. — С.2. [3] Васильева Е.Е. Актуальные проблемы
риск-менеджмента в России// Инновационная наука. — 2018. — №6. – С. 26.