Анализ и снижение рисков информационной безопасности на предприятиях

ВВЕДЕНИЕ

На сегодняшний день применение средств вычислительной техники стало обычным явлением, начиная от домашних компьютеров для общения и развлечения, заканчивая автоматизированными системами с огромными массивами информации различного значения. Современные условия вынуждают предприятия и компании использовать информационные системы для обеспечения эффективного выполнения процессов, значительно ускоряя и облегчая работу сотрудников предприятия. При этом основные проблемы защиты информационной среды возникают из-за того, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи, тем самым подвергая информационную систему как внешним, так и внутренним угрозам со стороны нарушителей.
Актуальность данной работы состоит в том, что в настоящее время с развитием информационных систем и их повсеместным внедрением на предприятиях зачастую не уделяется должного внимания вопросам обеспечения информационной безопасности, вследствие чего повышается уязвимость информационных систем, баз данных, а также невыполнение требований по защите персональных данных, что приводит к повышению вероятности санкций за несоблюдение соответствующего законодательства. В целях определения задач защиты информации необходимо оценить возможные риски информационной безопасности на предприятии. Результат проведенной оценки должен стать основой для выработки мер по снижению рисков информационной безопасности на предприятиях.
Объект исследования – безопасность информационной среды предприятия.
Предмет исследования – риски информационной безопасности предприятия.
Цель дипломной работы – на основе всестороннего анализа возможных рисков информационной безопасности на предприятии разработать рекомендации по их снижению.
Для достижения цели необходимо решение следующих задач:
на основе теоретического анализа литературы выявить основные задачи защиты информационной среды предприятия; провести анализ угроз информационной безопасности и их классификацию; определить особенности учета рисков информационной безопасности;
провести обзор методик оценки рисков информационной безопасности;
провести анализ рисков информационной безопасности на предприятии;
разработать рекомендации по снижению рисков информационной безопасности на предприятии.
Методы исследования: анализ, синтез, изучение источников информации, диагностика.
Методы и средства снижения рисков информационной безопасности рассмотрены в работах российских и зарубежных авторов. Среди них следует отметить труды таких авторов, как В. А. Хорошко, А. А. Чекатков, М. Кобб, М. Джост, И.Ш. Килясханов, Ю.М. Саранчук. В литературе выделяют различные способы защиты информации. Среди них можно выделить: физические (препятствие); законодательные; управление доступом; криптографическое закрытие. Перечисленные методы будут рассмотрены в данном исследовании.
Дипломная работа состоит из введения, трех глав основной части, заключения.

ОГЛАВЛЕНИЕ
Введение 4
Глава 1 Теоретические основы анализа рисков информационной безопасности 6
1.1 Виды и свойства информации, задачи ее защиты 6
1.2 Виды угроз информационной безопасности. Классификация источников угроз 11
1.3 Особенности учета рисков информационной безопасности на предприятии 17
1.4 Постановка задачи 21
Глава 2 Оценка рисков информационной безопасности на предприятии 23
2.1 Процесс анализа и оценки рисков информационной безопасности на предприятии 23
2.2 Анализ рисков информационной безопасности на предприятии 29
2.2.1 Организационно-функциональная структура организации 29
2.2.2 Идентификация и оценка информационных активов 32
2.2.2 Оценка уязвимости активов 39
2.2.3 Оценка угроз активам 43
2.2.4 Оценка существующих и планируемых средств защиты 48
2.2.5 Оценка рисков 52
Глава 3 Разработка рекомендаций по снижению рисков информационной безопасности на предприятии 54
3.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации организации 54
3.2 Практические рекомендации по реализации организационных мер по снижению рисков информационной безопасности на предприятии 58
3.3 Практические рекомендации по реализации технических мер по снижению рисков информационной безопасности на предприятии 65
3.4 Разработка модели снижения рисков информационной безопасности на предприятии 77
Заключение 81
Список используемой литературы 83

ЗАКЛЮЧЕНИЕ

Проблемы оценки и снижения рисков информационной безопасности привлекают все большее внимание специалистов в области телекоммуникационных сетей, вычислительных систем, экономики и многих других областей современного общества. Это связано с глубокими изменениями, вносимыми современными информационными технологиями во все сферы жизни государства и граждан. Современное общество чаще всего называют информационным, и при оценке степени его развития объем произведенной им информации и информационных услуг зачастую важнее объема произведенных им предметов материального потребления. При этом изменился сам подход к понятию «информации». Ценность информации, хранящейся, обрабатываемой или передаваемой в современных информационно-вычислительных системах, зачастую во много раз превышает стоимость самих систем. Обладание ценной информацией и способность защитить ее от широкого спектра дестабилизирующих воздействий случайного или преднамеренного характера становится важнейшей причиной успеха или поражения в различных областях жизни общества.
Наиболее рациональными и широко применяемыми способами снижения уровня рисков информационной безопасности становятся защита от вредоносного программного обеспечения, организация безопасной передачи данных, предотвращение несанкционированного доступа к ресурсам сети, разработка политики безопасности. Именно поэтому дипломное исследование посвящено вопросам внедрения названных мер для организации эффективной защиты информации в ООО «Формат».
В ходе дипломного исследования были получены следующие результаты:
1. Определены задачи защиты информации.
2. Изучены основные способы оценки рисков информационной безопасности. Проведен их анализ и выявлены способы их применения.
3. На основе исследования процесса оценки рисков информационной безопасности проведена экспертиза защищенности информационных активов в ООО «Формат» - идентифицированы информационные активы, оценены уязвимости и угрозы, определен уровень исходной защищенности информационной среды, произведена оценка рисков.
4. Разработаны практические рекомендации по внедрению организационных и технических мер для снижения уровня рисков информационной безопасности в ООО «Формат». Построена модель защиты.
Таким образом, можно сделать вывод о достижении цели и решении задач, определенных во введении.

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1. Гражданский кодекс Российской Федерации (часть первая): офиц. текст от 30.11.1994 № 51-ФЗ в ред. от 23.05.2015 г. (Собрание законодательства Российской Федерации от 05.12.1994)
2. Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»
3. Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
4. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015)
5. Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне»
6. Указ Президента РФ от 6 марта 1997 г. N 188
«Об утверждении перечня сведений конфиденциального характера» (с изм. и доп. от 13 июля 2015г.)
7. ГОСТ Р 50922- 2006. Защита информации. Основные термины и определения. - Введ. 2008-02-01. -М.: Стандартинформ, 2007. - 12 с.
8. ГОСТ Р ИСО/МЭК 27001–2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
9. Стандарт банка России СТО БР ИББС-1.0-2014
10. Авдошин С.М., Песоцкая Е.Ю. Информатизация бизнеса. Управление рисками. – М.: ДМК, 2015. – 420с.
11. Баранов А. П., Борисенко Н.П. Матема¬тические основы информационной безопасности. - Орел: ВИПС, 2010. - 354с
12. Баранова Е.К. Процедура применения методологии анализа рисков Octave в соответствии со стандартами серии ИСО/МЭК 27000-27005// Образовательные ресурсы и технологии. - №2. – 2015. – С. 73-80.
13. Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2006. - 768 с.
14. Грошев А.С. Информатика: Учебник для вузов. – Архангельск: Арханг. гос. техн. ун-т, 2010. – 470с.
15. Зырянова Т.Ю. Управление информационными рисками: монография. – Тюмень: Издательство Тюменского государственного университета, 2011. – 189с.
16. Информатика: Учебник. - 3-е перераб. изд. /Под ред. проф. Н.В. Макаровой. - М.: Финансы и статистика, 2000. - 768 с.: ил.
17. Каторин Ю.Ф. и др. Энциклопедия промышленного шпионажа. - СПб.: Полигон, 2011. - 896с.
18. Килясханов И.Ш., Саранчук Ю.М. Информационное право в терминах и понятиях: учебное пособие. - Юнити-Дана, 2011 г. - 135 с.
19. Кобб М., Джост М. Безопасность IIS , ИНТУИТ, 2013 г. - 678 с.
20. Козлова Е. А. Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации // Молодой ученый. — 2013. — №5. — С. 154-161.
21. Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2012. - 304 с.
22. Могилев А.В. Информация и информационные процессы. – Спб.: БХВ-Петербург, 2010. – 125с.
23. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2011 г.- 320 с.
24. Сосунов Б. В., Мешалкин В.А. Основы энергетического расчета радиоканалов. Л.: ВАС, 1991. - 110с
25. Тенетко М.И., Пескова О.Ю. Анализ рисков информационной безопасности// Известия Южного федерального университета. Технические науки. - №12. – 2011. – С.49-58
26. Хорев А.А. Технические каналы утечки информации. – М.:Аналитика, 2008. – 435с.
27. Хорошко В. А., Чекатков А. А. Методы и средства защиты информации, К.: Юниор, 2013г. - 504с.
28. Чернова М. Время – деньги. Как превратить пассив в актив// Бизнес-журнал. - №8. – 2013. – С.4-5
29. Шапиро Д.Н. Основы теории электромагнитного экранирования. -Л.: Энергия, 1975. - 112с.
30. Secret Net [Электронный ресурс] Режим доступа - http://www.securitycode.ru/products/secret_net/
31. Блог о информационной безопасности [Электронный ресурс] Режим доступа - http://itsecblog.ru/fizicheskie-sredstva-zashhity-informacii/
32. Вичугова А. Единое информационное пространство предприятия: миф или реальность [Электронный ресурс] Режим доступа - http://blorg.ru/technologies/computers/edinoe-informacionnoe-prostranstvo-predprijatija-mif-ili-realnost/#.ViX_-9LhDGg
33. Николаев Н. Комплексная защита информации в локальной вычислительной сети пункта централизованной охраны // Мир и безопасность, №6, 2014 [Электронный ресурс] Режим доступа - http://mirbez.ru/index.php?option=com_content&view=article&id=1360&Itemid=21
34. Сообщество кадровиков и специалистов по управлению персоналом [Электронный ресурс] Режим доступа - http://www.hrliga.com/index.php?module=profession&op=view&id=1085
35. Стандарты информационной безопасности [Электронный ресурс] Режим доступа - http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html