Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

Оглавление

Введение        3

1        Аналитическая часть        7

1.1        Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)        7

1.1.1        Общая характеристика предметной области        7

1.1.2        Организационно-функциональная структура предприятия        8

1.2        Анализ рисков информационной безопасности        12

1.2.1        Идентификация и оценка информационных активов        12

1.2.2        Оценка уязвимостей активов        19

1.2.3        Оценка угроз активам        26

1.2.4        Оценка существующих и планируемых средств защиты        33

1.2.5        Оценка рисков        48

1.3        Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии        52

1.3.1        Выбор комплекса задач обеспечения информационной безопасности        52

1.3.2        Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации        54

1.4        Выбор защитных мер        55

1.4.1        Выбор организационных мер        55

1.4.2        Выбор инженерно-технических мер        56

2        Проектная часть        63

2.1.        Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия        63

2.1.1.        Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия        63

2.1.2.        Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия        69

2.1        Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия        71

2.1.1        Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия        71

2.1.3.        Контрольный пример реализации проекта и его описание        80

3.        Обоснование экономической эффективности проекта        89

2.2        Выбор и обоснование методики расчёта экономической эффективности        89

2.3        Расчёт показателей экономической эффективности проекта        94

Заключение        103

Список использованной литературы        107

Приложение 1.  Регламент использования СКУД        110

Приложение 2.  Руководство оператора  СКУД        117

Приложение 3. Политика информационной  безопасности        125

Приложение 4 Политика использования VPN        144

Введение

В современных условиях можно утверждать: информация стала стратегическим национальным ресурсом - одним из основных богатств любой страны.

Разворачивающееся вокруг информационного ресурса соперничество, борьба за достижение и удержание информационного превосходства начинают занимать все более значимое место в общей геополитической конкуренции развитых стран мира. На новом этапе истории мира, когда возможности экстенсивного роста за счет механического присоединения новых ресурсов путем вооруженного захвата территории других стран и всех имеющихся на этой территории богатств оказались исчерпанными и неэффективными, встал вопрос о более приемлемых формах и способах геополитической конкуренции в информационной сфере.

Становится очевидным, что с глобализацией информационной сферы эффективность национальных систем обеспечения информационной безопасности становится решающим фактором в политике любого субъекта геополитической конкуренции. И, напротив, неэффективность системы информационной безопасности может стать фактором, способным привести к крупномасштабным авариям и катастрофам, последствия которых могут вызвать, в частности, дезорганизацию государственного управления, крах национальной финансовой системы и т. п.

Основополагающая идея информационной безопасности как социального явления заключается в установлении и реализации морально-этических, нормативно-правовых и организационных отношений между людьми, обеспечивающих сбалансированность интересов человека, общества и государства в информационной сфере.

Сущность информационной безопасности большинством специалистов видится в невозможности нанесения вреда объекту защиты, его свойствам или  деятельности по выполнению своих функций. В основополагающем документе в этой сфере – Доктрине информационной безопасности РФ – под информационной

Компания является крупной компанией на рынке Москвы и Московской области в сфере предоставления услуг доступа к всемирной сети Интернет.

Компания была основана в 1993 году и являлась небольшим провайдером в городе Черноголовка.  За первые пять лет существования организации руководство определило цели и стратегию дальнейшего развития, что позволило в 1998 году компании стать лицензированным оператором связи и начать освоение городов Московской области. В настоящее время компания продолжает активно развиваться, строя собственные ЛВС в городах Подмосковья. Компания имеет офисы в городе Москве, Черноголовке, Ногинске, Электроугли.

Компания осуществляет подключения физических и юридических лиц по трем направлениям проектов:

Проект «myLAN» - подключение по технологии Ethernet от существующей сети; Проект «AirMAX» - подключение по средствам радио каналов от базовых радиоузлов; Проект «BitWay» - подключение по средствам технологии ADSL2.

Также компания предоставляет много других бесплатных сервисов для своих клиентов: FTP сервер, игровой сервер, почтовый сервер и т. д.

Основные экономические показатели деятельности компании приведены в таблице 1.1.

Таблица 1.1

Экономические показатели деятельности компании

Функции организации и обеспечения информационной безопасности Компании в настоящее время выполняются сотрудника отдела информационных технологий по поручению начальника данного отдела. Ими же проводится анализ рисков информационной безопасности с последующим докладом руководителю Компании через начальника отдела ИТ.

Таким образом, в настоящее время в Компании нет продуманной стратегии по анализу рисков информационной безопасности, анализ осуществляется от случая к случаю, фрагментарно и неподготовленным для этого специалистом. Оценка рисков в результате проведения анализа проводится в виде составления списка наиболее актуальных угроз, которые могут угрожать целостности информационных активов компании в ближайшее время.

В компании циркулирует информация конфиденциального характера, содержащая сведения ограниченного распространения (служебная тайна, коммерческая тайна, персональные данные), и открытые сведения.

Защите подлежит:

вся конфиденциальная информация и информационные ресурсы, независимо от ее представления и местонахождения в информационной среде компании (см. табл. 1.2. п 1-5); сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации в соответствии с Федеральным законом "О коммерческой тайне" (см. табл. 1.2. п 6-8); Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ (см. табл. 1.2. п 9-12); сведения о частной жизни граждан, позволяющие идентифицировать его личность (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом "О персональных данных" (см. табл. 1.2. п 11);

Разработка системы информационной безопасности преследует цели обеспечения информационной безопасности компании.

Основываясь на пункте 1.2, в том числе на результатах оценки рисков информационным активам организации, делаем вывод, что для Компании наиболее актуальными методами повышения информационной безопасности являются:

создание (совершенствование) разграничительной системы допуска сотрудников к документам различных степеней важности и средствам их обработки; обеспечение физической защиты доступа к местам хранения и обработки конфиденциальных документов.

Перечисленные методы являются задачами разработки информационной системы.

Данные мероприятия разрабатываются и выполняются путем разработки и внедрения средств инженерно-технической защиты информации.

Соответственно, при обеспечении инженерно-технической защиты информации необходимо обеспечивать защиту от утечек по всем каналам.

К техническим средствам физической защиты относятся:

средства охранной сигнализации, размещенные по периметру охраняемых зон, зданий, сооружений и иных объектов предприятия, а также служебных помещений в этих объектах; средства контроля прохода (доступа), установленные на контрольно-пропускных пунктах, в охраняемых зданиях, как дома в Болгарии, сооружениях (объектах) предприятия и в служебных помещениях

В качестве стратегии обеспечения информационной безопасности выбираем упреждающую стратегию, как так только в этом случае обеспечивается защита от всех возможных угроз и рисков. В этом случае для соблюдения требований по обеспечению информационной безопасности в Компании необходимо разработать внедрить политику безопасности, так как именно этот документ является организационно-административной основой информационной безопасности предприятия.

Целями политики безопасности являются:

сохранение конфиденциальности критичных информационных ресурсов; обеспечение непрерывности доступа к информационным ресурсам Компании для поддержки бизнес деятельности; защита целостности деловой информации с целью поддержания возможности  Компании по оказанию услуг высокого качества и принятию эффективных управленческих решений; повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами  Компании; определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в  Компании.

Руководители подразделений  Компании должны обеспечить регулярный контроль за соблюдением положений политики. Кроме того, должна быть организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки руководству.

Требования политики распространяются на всю информацию и ресурсы обработки информации  Компании. Соблюдение политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации  Компании, должна быть оговорена

Правоотношения субъектов в информационной сфере определяются различными правовыми, нормативными и подзаконными актами. Все они имеют разную степень приоритетности исполнения.

Среди документов, составляющих нормативно-правовую базу обеспечения информационной безопасности выделяются документы, формирующие правовое поле отношений субъектов (правовое обеспечение) и документы, устанавливающие комплекс норм, правил, требований к элементам информационных систем (нормативно-техническое обеспечение).

Документы, направленные на правовое обеспечение должны использоваться при определении статуса, прав и обязанностей, границ ответственности субъектов при обеспечении информационной безопасности.

Документы, направленные на нормативно-техническое обеспечение должны использоваться при определении уровней обеспечения информационной безопасности и формулировании конкретных технических требований к элементам информационных систем.

Нормативно-правовую базу составляют следующие основные группы документов, которые должны учитываться при обеспечении информационной безопасности:

На основании ранее оцененных рисков информационных активов в Компании планируется к внедрению в СКУД «Elsys».

СКУД Elsys предназначена для автоматического контроля пропускного режима и управления исполнительными устройствами (автоматическими воротами, шлагбаумами, лифтами, турникетами, замками и т. п.) в соответствии с заданными полномочиями и расписаниями.

Аппаратной основой системы являются контроллеры Elsys-MB, выпускаемые в различных по характеристикам вариантах исполнения Pro, Pro4, Standard, Light и SM. Наличие этих вариантов, а также модулей расширения памяти различной емкости к ним, позволяет при проектировании оптимизировать технико-экономические характеристики систем различного масштаба.

Контроллеры Elsys-MB объединяются в сеть по двухпроводному интерфейсу RS-485 (до 63 контроллеров в одной линии связи). Линии связи RS-485 подключаются к серверу оборудования СКУД через преобразователи интерфейсов RS-232/RS-485 или USB/232-485 (до 15 линий на один ПК), либо по компьютерной сети предприятия через коммуникационные сетевые контроллеры (КСК) Elsys-MB-Net (до 256 КСК на один ПК). Кроме того, в системе может быть несколько серверов оборудования, объединенных компьютерной сетью, что обеспечивает практически неограниченные возможности масштабирования системы.

КСК при работе в составе СКУД Elsys обеспечивает:

обмен информацией между персональным компьютером (далее - ПК) и контроллерами Elsys-MB, подключенными к КСК, для мониторинга событий и управления системой;

Эффективность мер защиты обычно оценивается по трем направлениям:

достаточность; адекватность полученному эффекту; качество реализации.

Предпринятые меры признаются достаточными, если они полностью устраняют заявленные угрозы либо создают условия, при которых потенциальный ущерб от угрозы становится приемлемым для владельца. Однако  каждая мера защиты лишь частично способствует устранению угрозы. Оценить, насколько принимаемые  меры в совокупности способствуют обеспечению доступности защищаемого ресурса – задача для квалифицированного эксперта.

Кроме того, приходится учитывать взаимосвязи информационных ресурсов. Если несколько приложения используют общую систему управления базами данных, то ошибка в одном приложении может позволить нарушителю получить доступ к защищаемой информации всех остальных приложений, как бы хорошо они ни защищалось.

Адекватность характеризует соотношение затрат на реализацию механизма защиты и полученного эффекта. Зачастую эффект от внедрения решений, предлагаемые системными интеграторами, не сопоставим с затратами на эксплуатацию (не говоря уже о стоимости самого решения). Более того, бывают ситуации, когда внедрение механизмов защиты приводит к отрицательному эффекту.

Поэтому о качестве и эффективности механизма защиты можно говорить тогда, когда механизм не только реализован, но и постоянно контролируется.

Определение эффективности организации режима ИБ в компании предполагает некоторую оценку затрат на ИБ, а также достигаемого при этом эффекта. Действительно, сравнение этих оценок позволяет получить представление о том, как возвращаются инвестиции на ИБ, а также

В предыдущей главе была рассчитана суммарная величина потерь в случае реализации рассмотренных угроз.  В данном пункте рассчитаем постоянные и переменные затраты на внедрение СКУД и определим экономическую эффективность ее внедрения и срок окупаемости предлагаемых мер.

В ходе проектирования, внедрения и работы СКУД возможны разовые и постоянные затраты. К разовым затратам относятся следующие:

Заработная плата персонала при проектировании и внедрении СКУД; Затраты на приобретение материалов, аппаратного и программного обеспечения.

К постоянным затратам отнесем такие затраты, как:

Заработная плата сотрудников, обслуживающих СКУД (то есть администратора системы и контролеров на входе в Компания); Затраты на электроэнергию.

Разовые затраты оценены в таблице 3.2.

Таблица 3.2

Содержание и объем разового ресурса, выделяемого на защиту информации

Заключение

Широкое использование в процессе информатизации общества современных методов и средств обработки информации создало не только объективные предпосылки для повышения эффективности всех видов деятельности личности, общества и государства, но и ряд проблем физической защиты, обеспечивающей требуемое ее качество. На протяжении последних лет в Российской Федерации (РФ) наблюдается стабильно высокий уровень преступлений, касающихся нарушения сохранности и безопасности различного рода объектов и имеющихся на них информационных и материальных ресурсов.

Обострение указанной проблемы демонстрируется широким распространением таких явлений, как несанкционированный доступ к ценным ресурсам и информации, содержащейся на различных носителях и циркулирующей в рамках какой-либо организации (в том числе, «прослушивание» помещений и линий связи), их хищение, а в некоторых случаях вредительство (вандализм). При этом, по данным экспертов, действия злоумышленников стали носить все более ухищренный, системно продуманный с точки зрения профессионализма характер, в то время как государственный аппарат по пресечению такого рода преступлений лишь недавно начал развиваться.

Известно, что первичная защита любых информационных ресурсов должна осуществляется за счёт реализуемых механизмов контроля физического доступа к объектам защиты. Поэтому особую важность приобретают аспекты, касающиеся систем физической защиты информации (СФЗИ) различного рода объектов и организации их эффективной работы.

Способность СФЗИ к эффективному функционированию, т. е. обеспечению требуемого уровня защищенности определенных ресурсов, должна закладываться разработчиками еще на этапе концептуального проектирования системы и корректироваться на остальных этапах ее жизненного цикла (эксплуатация, модернизация и т. д.). В любом случае должно быть обеспечено выполнение принципа превентивности: чем раньше и достовернее будет обнаружен источник угроз (злоумышленник) или попытка ее реализации и

Список использованной литературы