Введение 3

Глава 1. Обзор стандартов и подходов в области информационной безопасности 5

1.1 Стандарт ГОСТ Р ИСО/МЭК 17799-2005 5

1.2 Стандарт ГОСТ Р ИСО/МЭК 27001-2006 8

1.3 Стандарт СТО БР ИББС-1.0-2008 11

1.4 Стандарт BS 7799-3:2006 14

1.5 Обзор моделей построения информационных рисков. 16

1.6 Выводы 17

Глава 2. Анализ информационных рисков ЗАО “АйТиПартнер”. 19

2.1 Информационная сеть и оборудование центрального офиса. 20

2.2 Информационная сеть и оборудование Магазина 1. 20

2.3 Информационная сеть и оборудование Магазина 2. 22

2.4 Оценка рисков 23

2.5 Анализ информационных рисков. 28

2.6 Выводы. 38

Глава 3. Проект системы защиты конфиденциальной информации. 40

3.1 Проект по изменению информационной сети Центрального офиса. 41

3.2 Проект по изменению информационной сети Магазина 1. 42

3.3 Проект по изменению информационной сети Магазина 2. 45

3.4 Система цифровых сертификатов. 48

3.5 Организационные меры по защите информации. 54

3.6. Внедрение системы защиты конфиденциальной информации в ЗАО «АйТи Партнер» 57

3.7 Выводы 65

Заключение 66

Список использованной литературы 68

Приложение 1 (Схема сети ЗАО"АйТиПартнер" 2008г.)

Приложение 2 (Схема сети ЗАО"АйТиПартнер" 2009г.)

Приложение 3 (Регламент ИБ)

Приложение 4 (Инструкция Антивирусной защиты)

Приложение 5 (Инструкция Парольной защиты)

Приложение 6 (Конфигурация оборудования)

Актуальность темы дипломной работы определяется постоянным уровнем проблем связанных с информационной безопасностью. Вопрос информационной безопасности - один из основных для любой организации. Для ее реализации требуется совокупность мероприятий, направленных на обеспечение конфиденциальности, доступности и целостности обрабатываемой информации. Таким образом, информационную безопасность следует понимать как комплекс организационных, программных, технических и физических мер, гарантирующих достижение целостности, конфиденциальности и доступности.

Многие угрозы связанные с безопасностью возникают вследствие зависимости организаций от информационных систем и услуг. Взаимодействие сетей общего и частного пользования, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Вопрос эффективности централизованного контроля возникает в связи с тенденцией использования распределенной системой обработки данных.

При проектировании и построении многих информационных систем, довольно часто, вопросы информационной безопасности попросту не учитываются. Уровень безопасности, который достигается только техническими средствами, имеет ряд ограничений и недостатков и, следовательно, должен сопровождаться надлежащими организационными мерами. Для достижения необходимого уровня информационной безопасности требуется реализация комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения.

Информация — это актив организации, который имеет ценность и, следовательно, должен иметь необходимый уровень защиты. Цель информационной безопасности заключается в защите информации от широкого диапазона угроз и обеспечение непрерывности бизнеса, минимизации ущерба и получение максимальной прибыли.

В настоящее время все большее количество организаций уделяет внимание вопросам информационной безопасности. Особенно это касается компаний, занимающихся розничной торговлей, таких как ЗАО “АйТиПартнер”, так как конфиденциальность, целостность и доступность информации являются важными характеристиками непрерывности бизнеса. Комплекс мер направленный на обеспечение информационной безопасности может существенно повлиять на конкурентоспособность, соответствие законодательству, ликвидность и доходность организации.

Цель дипломной работы состоит в разработке и внедрении системы защиты конфиденциальной информации в ЗАО “АйТиПартнер”

Достижения цели дипломной работы потребовало решения следующих задач:

1. Анализ существующих стандартов и подходов в области обеспечения информационной безопасности.

2. Определение информационной структуры и анализ информационных рисков в ЗАО “АйТиПартнер”.

3. Разработка проекта системы защиты конфиденциальной информации для организации ЗАО “АйТиПартнер”

4. Внедрение системы защиты информации в ЗАО “АйТиПартнер” и анализ результатов.

Предметом исследования в дипломной работы являются система защиты конфиденциальной информации в ЗАО “АйТиПартнер”.

В ходе дипломной работы использовалась информация из международных и отечественных стандартов в области информационной безопасности.

Теоретическая значимость дипломного исследования состоит в реализации комплексного подхода при разработке организационно-технических мер в области информационной безопасности.

Практическая значимость работы определяется тем, что ее результаты позволяют повысить степень защиты информации в организации путем внедрения организационных и технических мер защиты информации.

Новизна дипломной работы заключается в разработке комплекса методов и средств обеспечения информационной безопасности в организации.

1. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;

2. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;

3. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;

4. Стандарт Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федирации»;

5. ISO/IEC 17799:2005. Information technology. Security techniques. Code of practice for information security management. – ISO: 2005;

6. BS 7779-3:2006 «Системы управления информационной безопасностью. Часть 3: Руководство по управлению рисками информационной безопасности»;

7. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты.– К.:ООО «ТИД ДС», 2001.-688 с.;

8. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему. 1997;

9. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000;

10. Петренко С.А., Курбатов В.А. Политики информационной безопасности. – М.: Компания АйТи, 2006.-400 с.;

11. Петренко С.А., Петренко А.А. Аудит безопасности IntraNet. –М.: ДМК Пресс, 2002.;

12. Скот Бармен. Разработка правил информационной безопасности. Вильямс, 2002, -208 с.;

13. Смит Р.Э. Аутентификация: от паролей до открытых ключей. Вильямс, 2002, -432 с.;

14. ISO27000.ru - русскоязычный информационный портал, посвященный вопросам управления информационной безопасностью. URL: http://www.iso27000.ru/, 2009;

15. Михаил Брод. Демилитаризация локальной сети. URL: http://hostinfo.ru/articles/487, 2004;

16. Владимир Ульянов. Анализ рисков в области информационной безопасности. URL: http://www.pcweek.ru/themes/detail.php?ID=103317, 2007;

17. Павел Покровский. Защита информации: Анализ рисков. URL: http://www.ot.ru/press20041106.html, 2004;

18. Олег Бойцев. Многофакторный анализ рисков информационной безопасности. Подходы и методы. URL: http://www.nestor.minsk.by/kg/2008/44/kg84403.html, 2008;

19. Как самому написать концепцию информационной безопасности. URL: http://linuxportal.ru/entry.php/P2734_0_3_0/, 2007;

20. Искандер Конеев. Политики информационной безопасности. URL: http://www.osp.ru/cio/2007/11/4569379/, 2007;

21. Андрей Платонов. Строим защищенную беспроводную сеть: WPA-Enterprise, 802.1X EAP-TLS. URL: http://www.samag.ru/cgi-bin/go.pl?q=articles;n=05.2005;a=03, 2005;

22. Формат сертификатов открытых ключей X.509. URL: http://www.inssl.com/x509-open-key-specifications.html

23. Роберт Шотт. О Radius подробно. URL: http://www.osp.ru/lan/2003/01/137078/_p1.html, 2003;

24. DMZ (компьютерные сети) // wikipedia.org – свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)

25. Серия ISO 27000 // wikipedia.org – свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/Серия_ISO_27000

26. RADIUS // wikipedia.org – свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/RADIUS

27. FreeRADIUS // wikipedia.org – свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/FreeRADIUS

Примечаний нет.