Курсовая с практикой на тему Курсовой проект по предмету «Системы информационной безопасности». Тема выбирается по варианту 3

Содержание:

Сокращения 3

Определения 4

Введение 5

Глава 1. Краткие сведения про международный стандарт информационной безопасности ГОСТ Р ИСО МЭК 13335-1-2006 7

Глава 2. Описание хозяйствующего субъекта 9

Глава 3. Анализ информационных активов 12

3.1 Инвентаризация информационных активов 12

3.2 Категорирование информационных активов 13

Глава 4. Анализ рисков 15

4.1 Оценка защищенности информационной безопасности 15

4.2 Методика анализа рисков 17

Глава 5. Разработка политик и процедур безопасности 20

5.1 Общие положения 20

5.2 Организация защиты сведений конфиденциального характера 23

5.3 Риски нарушения ИБ 23

5.4 Общие требования по обеспечению ИБ ООО «Инфоком» 24

5.5 Контроль за соблюдением положений политики безопасности 25

5.6 Ответственность за соблюдение положений политики информационной безопасности 25

Глава 6. Внедрение и контроль 26

6.1 Положение о применимости средств управления 26

6.2 Контроль 26

Заключение 27

Список используемой литературы 30

Приложения А 32

Введение:

На текущий момент информационный ресурс является одним из самых ценных как для бизнес-структур, так и для государства в целом.

В современном мире все чаще происходят факты несанкционированного доступа к конфиденциальным ресурсам, постороннего вмешательства в информационное пространство, как частных лиц, так и крупных предприятий.

Задача обеспечения надежной защиты информационных ресурсов вообще и экономической информации, в частности, – базовая задача в сфере обеспечения защиты информации для любой организации. С развитием предприятий, переходом к распределенной структуре организаций, они начинают выходить за пределы отдельных зданий.

Тема настоящей курсовой работы – «Разработка системы управления информационной безопасностью». Работа выполнена на базе компании, осуществляющей деятельность в области информационных технологий.

Актуальность темы работы определяется увеличением информационных и экономических рисков из-за появления современных угроз информационным системам, современными темпами и уровнем развития методов обеспечения защиты информации, которые в значительной степени отстают от уровня развития современных информационных технологий, наличием свободного доступа к информационным ресурсам через разнообразные мобильные средства связи.

В современном мире имеют место самые разнообразные способы хищения информации: радиотехнические, акустические, программные и т.д.

Для полноценной информационной безопасности защиту информации необходимо обеспечивать на всех этапах ее обработки.

Средства защиты информации определяются степенью подготовленности нарушителя. Кроме этого различают виды нарушений с позиции нарушителя: умышленное и неумышленное нарушение.

Организация защиты информационных ресурсов требует использования различных методов, среди которых: законодательный, технический, организационный, программный, математический.

Так же популярны и эффективны различные программные методы, которые значительно расширяют возможности систем безопасности информационных ресурсов.

Исследуемая тематика является актуальной, так как на данный момент наблюдается рост различных информационных рисков, связанный с появлением различных технических средств, увеличением компьютерной грамотности населения, ростом числа ЭВМ, распространению доступа к информационным ресурсам разнообразного характера и так далее.

Цель курсовой работы – разработка обоснованных практических рекомендаций по организации системы управления информационной безопасностью исследуемой компании.

Для достижения цели работы необходимо разрешить следующие задачи:

– исследовать краткие сведения про международный стандарт информационной безопасности в соответствии с вариантом работы;

– произвести описание хозяйствующего субъекта;

– произвести анализ информационных активов исследуемого субъекта;

– произвести анализ рисков ИБ субъекта;

– разработать политику и процедуру безопасности субъекта.

Объект исследования настоящей работы – компания ООО «Инфоком».

Предмет исследования – подходы в области разработки мероприятий, направленных на обеспечение информационной безопасности компаний.

Практическая значимость работы – результаты работы позволят повысить эффективность системы информационной безопасности объекта.

В ходе работы предполагается получить значительный объем теоретических и практических навыков, которые будут необходимы в процессе дальнейшей учебной деятельности по специальности.

Заключение:

За последние годы значительно возрос объём информации во всех сферах деятельности человека: технической, экономической, финансовой, политической, социальной.

На сегодняшний день информационные ресурсы стали одними из самых значимых рычагов экономического влияния. Информация нужного качества в необходимое время, в необходимом месте — это залог достижения целей в абсолютно любом виде деятельности. Монопольные права на обладание информационными ресурсами оказываются, как правило, определяющими преимуществами в борьбе за рынок.

Глобальное распространение ЭВМ выводит информатизацию всех сфер жизни на новый уровень. Сегодня невозможно представить организацию, пусть даже и самую мелкую, которая бы не имела в своем распоряжении современные средств обработки данных.

Формирование защищенной индустрии работы с конфиденциальными данными, дает предпосылки для значительного роста эффективности труда, порождает при этом ряд сложных и масштабных проблем. Одна из таких проблем — надежное обеспечение сохранности информации и установленного статуса её использования.

Один из наиболее актуальных на сегодня вопросов, который касается защиты информации в Российской федерации, это вопрос организации защиты данных в рамках действующего российского законодательства, а так же актуальными угрозами безопасности информационных систем. Особо острым является вопрос обеспечения безопасности информации в масштабных распределенных информационных системах.

Информационная безопасность сегодня развивается очень быстрыми темпами. Данному факту способствуют прогресс объективный информационных технологий, а так же противоборство «нападающих» и «защищающихся».

К великому сожалению, указанная динамичность затрудняет обеспечение надежной защищенности информационных ресурсов. На это существуют конкретные причины:

• рост быстродействия микросхем, модернизация существующих и создание новых архитектур с высокой степенью параллелизма дает возможность с помощью «грубой силы» (перебором вариантов) более эффективно преодолевать криптографические барьеры, которые ранее были неприступными;

• модернизация сетей, рост числа связей в информационных системах, увеличение пропускной способности каналов связи – все это увеличивает число злоумышленников, имеющих технические возможность осуществлять нападение;

• рост конкуренции среди производителей ПО заставляет вынуждает компании уменьшать сроки разработки программных систем, а это ведет к уменьшению уровня качества и выпуску продуктов с дефектами в системах защиты;

• навязанная потребителям парадигма, которая состоит в постоянном наращивании программно-аппаратного обеспечения, конфликтует с бюджетными ограничениями — из-за этого происходит снижение доли ассигнований на безопасность.

Стремясь к нейтрализации и снижению вероятности проявления каких-либо угроз безопасности информации в процессе функционирования информационной системы, необходимо применение специализированных программно-аппаратных средств. К таким средствам относятся системы электронной цифровой подписи.

По завершению выполнения работы получены следующие результаты:

– исследованы краткие сведения про международный стандарт информационной безопасности в соответствии с вариантом работы;

– произведено описание хозяйствующего субъекта;

– произведен анализ информационных активов исследуемого субъекта;

– произведен анализ рисков ИБ субъекта;

– разработана политику и процедуру безопасности субъекта.

В процессе работы получен значительный объем теоретических и практических навыков в сфере организации систем информационной безопасности, которые будут необходимы в процессе дальнейшей деятельности по специальности.

По завершению работы можно достоверно отметить, что все поставленные задачи были выполнены, а цель работы полностью достигнута.

Фрагмент текста работы:

Глава 1. Краткие сведения про международный стандарт информационной безопасности ГОСТ Р ИСО МЭК 13335-1-2006

Исходя из технического задания, в качестве стандарта информационной безопасности в настоящей работе используется ГОСТ Р ИСО МЭК 13335-1-2006.

Данная стандарт подготовлен Обществом с ограниченной ответственностью «ЛИНС-М» (ООО «Линс-М») на основе собственного аутентичного перевода стандарта, указанного в пункте 4, а также Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ ГНИИИ ПТЗИ ФСТЭК России).

Стандарт внесен Техническим комитетом по стандартизации ТК 10 «Перспективные производственные технологии, менеджмент и оценка рисков».

Стандарт утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. № 317-ст.

Данный стандарт выполнен не базе международного стандарта ИСО/МЭК 13335-1:2004. «Информационная технология. Методы обеспечения безопасности. Менеджмент безопасности информационных и телекоммуникационных технологий. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ISO/IEC 13335-1 : 2004 «Information technology – Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management»).

Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. Настоящий стандарт не разрабатывает конкретных подходов к управлению безопасностью.