В настоящий момент налаженная и широко распределенная сеть информационных и вычислительных комплексов играет такую же важную роль в жизни, какую в прошлом имели электрификация, телефонизация, радио и телевидение, взятые вместе. Яркий пример этого утверждения явилось появление развитие глобальной информационной сети Intеrnеt. В настоящее время говорят о новом витке спирали развития общественных формаций - информационное общество.
В новых рыночно-конкурентных условиях появляется большое количество проблем, которые связаны не только с обеспечением целостности и конфиденциальности коммерческих, финансовых или предпринимательских данных как видов интеллектуальной собственности, но также и физических и юридических лиц, их имущественной собственности и личной безопасности.
Как утверждается в известном афоризме «цель оправдывает средства», информация также имеет определенную стоимость. Следовательно, сами факты получения данных злоумышленниками приносят им определенные доходы, ослабив тем самым возможность конкурента к равному коммерческому состязательству. Главной целью злоумышленников является получение сведений о составе, состояниях и видах деятельности объектов, являющихся конфиденциальными интересами (фирма, изделие, проект, рецепт, технология и др.) в целях насыщения своей информационной потребности. Корыстные цели злоумышленников или конкурентов могут заключаться и во внесении определенного изменения в состав данных, которые циркулируют на объектах конфиденциального интереса. Такие действия могут приводить к дезинформации в определенной сфере деятельности, учетных данных, в результатах решения некоторой задачи. Более опасными целями являются уничтожение накопленного информационного массива в документной или компьютерной формах или программного продукта. В связи с этими фактами большое значение приобретают методы организации эффективных систем информационной безопасности организации.
Информационной безопасностью называется комплекс мер по защите данных от неавторизованного доступа, разрушений, модификаций, раскрытий или задержки при доступе. В информационную безопасность включаются меры по защите процесса создания информации, её ввода, обработки и вывода. Цель информационной безопасности состоит в том, чтобы обезопасить ценность систем, защищать и гарантировать точность и целостность данных, а также минимизировать последствия, которые могут возникнуть в том случае, когда данные будут модифицированы или разрушены. В рамках информационной безопасности требуется учет всех действий, в ходе которых информация создается, подвергается модификации, когда к ней осуществляется доступ или она распространяется по сети.
Цель данной дипломной работы состоит в увеличении уровня защиты данных в информационной системе предприятия.
Как следует из поставленной цели работы, следует решить какие задачи:
- проанализировать существующие решения информационной безопасности для предприятия;
- спроектировать систему информационной безопасности предприятия;
- изучить технологию реализации системы информационной безопасности предприятия.
Дипломная работа состоит из введения, трех глав, заключения и списка литературы.
1 АНАЛИЗ СУЩЕСТВУЮЩИХ РЕШЕНИЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ПРЕДПРИЯТИЯ
1.1. Общая характеристика предметной области
Полное фирменное наименование: закрытое акционерное общество магазин «ТопСистемс».
ЗАО магазин «ТопСистемс» осуществляет розничную продажу комплектующих для ПК, и другого компьютерного оборудования. Основная цель организации, как коммерческого предприятия, состоит в извлечении прибыли от деятельности и продолжать в течении максимально длительного срока оставаться на рынке, при этом расширяя свой ассортимент и рынки сбыта.
На территории РФ расположено всего 5 филиалов магазина, с главным офисом Московской области.
ЗАО «ТопСистемс» сотрудничает с большим количеством различных поставщиков. Заказы товаров осуществляются по телефону. Оплату товара поставщикам осуществляют при помощи безналичных расчетов платежными поручениями.
Процессы продаж осуществляются следующим образом: клиенты покупают необходимые комплектующие в розницу через розничные магазины организации. Расчеты производят наличными деньгами через кассу магазина. Все обслуживание клиентов осуществляют продавцы розничных магазинов.
Бухгалтерская документация ведется бухгалтерами. Они также сдают регулярные отчеты в налоговую органы. Основные показатели за последние годы сведены в таблицу 1.
Таблица 1
Показатели эффективности
№
п//п Основные
показатели 2016 год 2017год Отклонения
(%) 2016 к
2017 2018 год Отклонения
(%) 2016 к
2018
1. Объём предоставленных услуг, тыс. руб. 9500 10100 106 12800 134
2. Себестоимость
предоставленных услуг, тыс. руб. 8200 8400 103 10340 127
3. Затраты на 1 рубль
предоставленных
услуг,коп; 1,16 1,20 75 1,23 77
4. Прибыль, тыс.руб; 1300 1700 131 2460 189
5. Рентабельность,% 25 34 136 33 132
6. Численность персонала, чел; 6 7 117 10 167
7. Производительность
труда, тыс.руб/чел; 1583 1483 93 1280 81
8. Среднемесячная
заработная плата,
руб; 25000 30000 120 36000 144
9. Фонд оплаты труда,
руб; 15000
0 210000 140 360000 240
Проанализировав вышеприведенную информацию, проведем оценку финансовых результатов деятельности магазина «ТопСистемс» за период 2016, 2017, 2018 годы.
Из данных таблицы 1 следует, что объемы предоставленных услуг с каждым годом растут: в 2017, по отношению к 2016 году- на 6 %, в 2018 году по отношению к 2016 году - на 34 %.
На такое оказали влияние такие факторы как:
- значительное расширение рынка оказываемых услуг;
- с пополнением штата сотрудников срок выполнения работ резко сократился.
Себестоимость оказанных услуг в 2017 году, по сравнению с 2016 годом, повысилась на 3 %, а в 2018 году, соответственно, повысилась на 27%. На повышение себестоимости оказали влияние следующие факторы:
- увеличение энергозатрат, телефонная связь, оплата интернета;
- установка новой охранной сигнализации; теле-радио реклама.
Затраты на 1 рубль оказанных услуг (отношение себестоимости к объему предоставленных услуг) в 2017 и 2018 годах, по отношению к 2016 году снизились.
Это уменьшение было вызвано тем, что фирма стремилась к минимизации затрат за счет следующих категорий:
-подключение безлимитных тарифов подключения к интернету;
- большего применения «сарафанного радио» для привлечения клиентов;
- ограничений междугородних телефонных переговоров.
Как следует из показателей по прибыли (разницей между объемами услуг и себестоимостью) агентство работало рентабельно, то есть его прибыль вырастает с каждым годом: в 2017 году, относительно 2016 года возросла на 31 %, в 2018 году, так же, относительно 2016 года увеличилась на 89 %.
На это оказало влияние уменьшение затрат на 1 рубль оказанных услуг. Динамику роста рентабельности обусловили те же причины.
Численность сотрудников организации ежегодно возрастает, в 2017 году в штате фирмы появился 1 риэлтор, в 2018 году - еще 3 новых специалиста. Этот факт обусловлен увеличением объема оказанных услуг. При возникновении необходимости специалисты могут подменить друг друга, увеличивая тем самым, уровень своей квалификации, в тоже время не допуская потери клиентов.
В 2017 году производительность труда (отношение объемов оказанных услуг к численности работников), по отношению к 2016 году, уменьшилась на 7 %, а в 2018 году, по сравнению с 2016 годом увеличилась на 19%. На это оказало влияние расширение персонала. Однако для организации это является нормой, сотрудники быстро включаются в рабочий темп. Значит наличествует тенденция к повышению производительности труда сотрудников.
Среднемесячные заработные платы работников в 2017 году, по сравнению с 2016 годом, возросла на 20%, в 2018 году, соответственно на 44%. Соответственно, вырос и фонд оплаты труда (произведение среднемесячной заработной платы на численность работников). Этот рост обусловлен ростом объемов оказанных услуг, к тому же, за оперативность и профессионализм руководство оказывает поощрение премированием, к тому же, за счет организации проводит платные семинары.
В целом, магазин «ТопСистемс» функционирует стабильно, имеет прибыль, несмотря на общую экономическую нестабильность, которая связана с повышением или понижением цен на рынке.
Организационную структуру предприятия ЗАО магазин «ТопСистемс»в виде графической схемы представим на рисунке 1.
Рисунок 1 - Структура ЗАО магазин «ТопСистемс»
Персонал предприятия включает в себя:
-директора, который проводит непосредственное управление процессами фирмы, проводит безналичные расчеты с поставщиками и покупателями, осуществляет анализы более ранних продаж и осуществляет прием заявок от менеджеров на заказы товара, на основе анализов и заявки осуществляет заказы необходимых товаров у поставщика, находит возможность для увеличения ассортимента;
- менеджера, который передаёт директору заявку на заказ товара у поставщика;
-продавцов. Они осуществляют реализацию в розницу в торговых залах. После продажи товара они делают отметку в базе данных о количестве реализованных единиц товара, несут ответственность за хранение;
- системного администратора, который проводит настройку и установку оборудования, занимается устранением неполадок программного обеспечения (ПО) и компьютерного оборудования. Он осуществляет наблюдение за работоспособностью ЭВМ и периферийных устройств. Так же на него возлагаются обязанности администратора по информационной безопасности (ИБ);
- бухгалтерию. Бухгалтера ЗАО магазин «ТопСистемс» осуществляют сплошное, непрерывное, взаимосвязанное, документальное отображение хозяйственного функционирования предприятия.
Функции данного отдела организации наложены на соответствующих должностных лиц (бухгалтеров), которые осуществляют учет, необходимый для характеристик отдельной стороны деятельности фирмы. Указанное должностное лицо несет ответственность за правильное и своевременное оформление хозяйственной операции, а также обеспечивают сохранность и учет денежных средств, которые циркулируют в процессе осуществления хозяйственной деятельности.
С бухгалтерами заключены договора о полной материальной ответственности в соответствии с законодательством РФ.
1.2. Методика исследования информационной безопасности
Проблема обеспечения информационной безопасности (ИБ) современных автоматизированных систем (АС) компаний стоит в ряду первых и самых важных. Сложность этих систем, разветвленность составляющих их основу компьютерных сетей еще больше усугубляют ситуацию. В теоретическом плане одним из актуальных направлений является разработка методик оценки ИБ на этапах проектирования, разработки и функционирования АС.
Важность этого направления заключается, прежде всего, в обосновании необходимости применения тех или иных средств обеспечения ИБ и способов их использования, а также в определении их достаточности или недостаточности для конкретной АС. Кроме того, ИБ, как любая характеристика, должна иметь единицы измерения. Очевидно, что по своей сути оценка ИБ является комплексной. Комплексность проявляется в том, что она характеризует защищенность информации и поддерживающей инфраструктуры от всей совокупности угроз и на всех стадиях жизненного цикла АС.
Анализ показывает, что в настоящее время существуют два основных подхода к оценке ИБ АС.
Первый – на основе характеристик защитных для объекта оценки механизмов и достаточности системы защиты. Суть подхода в том, что вывод об уровне ИБ делается на основании значение показателя эффективности системы защиты. При этом в рамках данного подхода внимание уделяется лишь одному из аспектов информационной безопасности – защите информации от несанкционированного доступа.
Второй подход основан на тесной связи системы показателей количественных оценок ИБ АС с эффективностью функционирования этой АС в условиях воздействия всех видов угроз ИБ. Второй подход является методологически более верным с точки зрения системного анализа, так как в этом случае выполняется один из основных принципов системного подхода, который заключается в том, что каждый элемент системы, выполняя определенную функцию, способствует достижению цели (выполнению общесистемной функции). Об эффективности функционирования этого элемента можно говорить тогда, когда существует прирост эффективности системы в целом. То есть если в том виде деятельности компании, который связан с применением АС, наблюдается улучшение ситуации, рост соответствующих показателей, то можно говорить и об эффективности системы обеспечения ИБ.
Анализ показывает, что разработка методики оценки ИБ предполагает наличие или разработку модели объекта оценки, модели системы защиты, а в ряде случаев модели потенциального нарушителя (например, при оценке АС военного назначения).
Наличие модели объекта оценки необходимо для определения существующих в нем связей, процессов, выявления конкретных элементов, требующих защиты, характерных уязвимостей и угроз, а также выработки показателей ИБ. Модель потенциального нарушителя необходима для определения конкретных стратегий поведения нарушителя, а также уточнения характера угроз, источником которых он является.
Одной из самых распространенных является так называемая оценка по требованиям нормативных документов. В результате удовлетворения тем или иным требованиям АС относят к тому или иному классу защищенности. Примером такого подхода может служить международный стандарт ИСО/МЭК 15408.99 «Критерии оценки безопасности информационных технологий», разработанный в рамках проекта «Общие критерии». Из-за отсутствия соответствующей теории и расчетных соотношений в данном стандарте не приведены единицы измерения и количественная оценка безопасности информации в АС. Другой подход, основанный на анализе рисков, предусматривает оценку рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС.
Известные методики можно классифицировать по типу используемой в них процедуры принятия решения на одноэтапные, в которых оценки риска выполняется с помощью одноразовой решающей процедуры, и многоэтапные, с предварительным оцениванием ключевых параметров.
Одноэтапные методики, как правило, используются на начальной стадии проектирования АС, когда ключевые факторы, определяющие информационную безопасность, еще не выявлены. Недостатком одноэтапных