Реферат: Управление проектом, создание системы информационной безопасности

Содержание:

1. Введение впроблему

2. Резюме продукта

3. Угрозы иуязвимости на предприятии

4. Фактическаязащищенность предприятия

5. Возможные каналыутечки информации

6. Предлагаемыемероприятия по защите

7. Объекты поставкипроекта

8. Оценка стоимостисистемы защиты и оценка эффективности

9. Предложение,ограничения, исключения

10. Структураразбиения работ

11. Структурная схемаорганизации

12. Матрицаответственности

13. Сетевой график идиаграмма Ганта

14. Риски проекта

15.Заключение

1. Введение впроблему

Эффективноеуправление проектами — это интеграция информационныхсистем планирования с управленческими процедурами и организационной структурой.При этом покупка удачного программного обеспечения не равносильна успешнойпостановке управления проектами в организации.

Для эффективного управления проектомсоздания системы информационной безопасности необходимо преобразовать проект впоследовательность действий имеющих четко определенные цели, ограниченных вовремени и допускающих независимые процедуры верификации. В принципе мониторингпроцесса может осуществлять один человек, но высокая критичность принятыхрешений и их глубокая взаимосвязь с важнейшими бизнес-процессами компаниитребует принятия взвешенных решений с участием максимально возможного (с точкизрения обеспечения оперативности) числа задействованных лиц.

Среди основных признаковпроекта можно выделить:

· уникальность инеповторимость целей и работ проекта;

· координированноевыполнение взаимосвязанных работ;

· направленность надостижение конечных целей;

· ограниченность вовремени (наличие начала и окончания);

· ограниченность поресурсам.

Любой проект существуетне изолированно, а в окружении множества различных субъектов и, соответственно,под влиянием оказываемого ими влияния.

Проект имеет ряд свойств:возникает, существует и развивается в определенном окружении, называемомвнешней средой, состав проекта не остается неизменным в процессе его реализациии развития: в нем могут появляться новые элементы (объекты) и удаляться из егосостава другие элементы.

Без Комплексной системы защитыинформации ни одно предприятие не сможет вести успешную деятельность.

В рассмотренной мноюфирма «ИТ Энигма» циркулирует большое количество информации конфиденциальногохарактера доступ к которой необходимо ограничить. Поэтому, необходиморазработать такую систему по защите информации, при которой угрозы утечкиконфиденциальной информации будут минимальны. При этом на предприятии ужеимеются некоторые меры по защите информации.

2. Резюмепродукта

Компания «ИТ Энигма» представляет широкий спектр услуг:

— диагностика защищенности компьютерных систем

— аудит безопасности корпоративных сетей

— сопровождение и поддержка безопасности информационных систем

— аттестация объектов информатизации на соответствие требованиям пообработке конфиденциальной информации

— и тд.

На предприятиициркулируют сведения конфиденциального характере, такие как: коммерческаятайна, персональные данные, информация для служебного пользования.

Клиентами компанииявляется большое количество крупных организаций, среди которых:

— Цинковый завод (г.Челябинск)

— Областнойрадиотелевизионный передающий центр (г.Челябинск)

— Промышленная группа«Ричел» (г.Челябинск)

— Компания«Фрост-Инвест» (г.Челябинск)

— ООО «Финансовоеагентство „Милком-Инвест“ (г.Челябинск)

— ОАО»Уралинвестэнерго" (г. Екатеринбург.)

— Южноуральскаярегистрационная палата (г. Челябинск)

— ООО «Аеросервис(г. Челябинск)

Основными документамиконфиденциально характера на предприятии являются:

1. Приказ о мерахзащиты

2. Приказ оназначении комиссии по подготовке и обеспечению проведения аттестации объектовинформатизации

3. Приказ окатегорировании и классификации объектов вычислительной техники

4. Приказ о вводе вэксплуатацию ПЭВМ

5. Приказ о введениирежима коммерческой тайны на предприятии

6. Положение ослужбе безопасности фирмы

7. Положение оботделе администрирования и технического сопровождения информационных систем

8. Положение обопределении требований по защите (категорированию) ресурсов автоматизированнойсистемы организации

9. Положение огруппе инженерно-технической защиты информации

10. Положение обохранно-пропускном режиме предприятия

11. Положение оструктуре службы безопасности

12. Положение оботделе защиты информации

13. Положение окомпьютерной сети организации

14. Положение осистемном администрировании компьютерной сети организации

15. Концепцияобеспечения безопасности информации в автоматизированной системе организации

16. Нормативно-методическаядокументация по осуществлению деятельности, связанной с проведением аттестацииобъектов

17. Должностныеинструкции сотрудников предприятия

18. Трудовые договорысотрудников, работающих с конфиденциальной информацией

19. Список постоянныхпользователей определенного ПЭВМ, допущенных в помещение, и установленные имправа доступа к информации и техническим ресурсам ПЭВМ

20. Переченьсотрудников предприятия, имеющих доступ у средствам АС и к обрабатываемой наних информации

21. Генеральный планразвития организации

22. План инвестицийпредприятия

23. Бюджеторганизации

24. Долговыеобязательства предприятия

25. Отчет об уровнедоходов предприятия

26. Отчет об уровневыручки предприятия

27. Договор подрядана режимное обслуживание клиентов

28. Договорыпредоставления услуг

29. Договоры,заключенные с поставщиками оборудования

30. Договоры,заключенные с клиентами

Внутренними субъектамидоступа к информационным ресурсам предприятия являются:

А) Сотрудникиорганизации, пользователи внутренней корпоративной сети, наделенныеполномочиями и уровнем доступа, необходимым для осуществления непосредственнойдеятельности

Б) Администраторывнутренней сети и служба безопасности организации, осуществляющие контроль над безопасностьювнутренней сети организации

Основными объектамизащиты на предприятии « ИТ Энигма» являются: конфиденциальная информация,автоматизированные рабочие места

Конфиденциальнаяинформация в структурных подразделениях предприятия обрабатывается с помощьюофисных приложений, специального программного обеспечения с использованиемсистем управления базами данных.

На предприятии «ИТЭнигма» уже существуют некоторые меры по защите информации:

1) Автоматизированныерабочие места, на которых производится работа с конфиденциальной информацией,не подсоединены к сети Internet

2) Существует режими инструкция по противопожарной безопасности

3) На главном входеустановлена камера видеонаблюдения

4) Существует графикпосещений

5) На АРМустановлено противовирусное программное обеспечение

6) Существуетперечень конфиденциальной информации

7) Существуютдолжностные инструкции сотрудников

8) Каждое АРМ имеетсвой личный пароль входа

9) На окнахустановлены решетки

10) Каждое рабочееместо отделено перегородкой, затрудняющей просмотр находящейся на мониторе и нарабочем столе информации

11) На дверях вкабинет директора установлены автоматические доводчики.

На сервере и рабочихместах применяются операционные системы MS Windows, что позволяет применить сертифицированные средствазащиты от НСД.

Возможна утечкаинформации по каналам ПЭМИН, по эфиру, по кабелям, выходящим за пределы КЗ.

3. Угрозы и уязвимости на предприятии

1. Автоматизированноерабочее место сотрудника

Угроза Уязвимости 1.Физический доступ нарушителя к рабочему месту 1. Отсутствие системы контроля доступа сотрудников к чужим рабочим местам

2.Отсутствие системы видеонаблюдения

В организации

3. Несогласованность в системе охраны периметра 2.Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации 1.Отсутствие соглашения о неразглашении между работником и работодателем 2.Нечеткое регламентация ответственности сотрудников предприятия 3.Разрушение (повреждение, утрата) конфиденциальной информации при помощи специализированных программ и вирусов 1.Отсутствие антивирусного программного обеспечения 2.Отсутствие ограничения доступа пользователей к сети интернет, внутренней сети предприятия

2. Серверная комната

Угроза Уязвимости 1.Физический неавторизованный доступ нарушителя в серверную комнату 1.Неорганизованный контрольно-пропускной режим в организации 2.Отсутствие видеонаблюдения в серверной комнате 2.Разглашение конфиденциальной информации, хранящейся на сервере 1.Отсутствие соглашения о нераспространении конфиденциальной информации 2. Нечеткая регламентация ответственности сотрудников предприятия

3. Конфиденциальнаяинформация

Угроза Уязвимости 1.Физический доступ нарушителя к носителям 1.Неорганизованность контрольно-пропускного режима в организации 2.Отсутствие видеонаблюдения в организации 2.Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны 1.Отсутствие соглашения о неразглашении конфиденциальной информации 2. Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации 3.Несанкционированное копирование, печать и размножение носителей конфиденциальной информации 1. Нечеткая организация конфиденциального документооборота в организации 2. Неконтролируемый доступ сотрудников к копировальной и множительной технике 4. Фактическая защищенность организации

Напредприятии ООО «ИТ Энигма» на данный момент реализованы следующие мероприятия:

Организационныемероприятия:

1. Доступ в кабинет руководителя в его отсутствие осуществляется только вприсутствии секретаря. Ключ от помещений хранится у секретаря.

2. Во все помещения фирмы имеют доступ лишь персонал организации и клиенты,заключившие договор на оказание услуг с предприятием.

3. Посетители, ожидающие приема, находятся в приемной под присмотромсекретаря. Ожидающим запрещено проходить дальше приемной без разрешенияруководителя организации.

4. Вход людей вздание осуществляется через контрольно-пропускной пункт на 1-ом этаже здания. Охрана на КПП организована ЧОП «ХХХ», парковкаавтотранспорта неограниченна.

5. Вход людей впомещение предприятия ООО «ИТ Энигма» осуществляется через двустворчатуюметаллическую дверь с видеодомофоном и магнитным ключом. Для входа в помещениесотрудники организации используют ключи, посетители пользуются видеодомофоном.

Правовыемероприятия:

1. Существуют инструкции длясотрудников, допущенных к защищаемым сведениям,

2. Инструкции сотрудников,ответственных за защиту информации

3. Утверждены должностные обязанностируководителей, специалистов и служащих предприятия

4. Существует положение о порядкеобращения с информацией

5. Существует положение об отделе защитыинформации

6. Разработана памятка пользователя АС

Инженерно-техническиемеры:

1. Во всехпомещениях организации установлены извещатели пожарной сигнализации

2. На входной дверив помещение организации установлена камера, позволяющая видеть посетителей увхода

3. Электропитаниездания осуществляется от трансформаторной подстанции, которая расположена нанеконтролируемой территории и обслуживается сторонней организацией

4. Системакондиционирования, состоящая из 3х кондиционеров не защищена

5. Отсутствуютдатчики вибро-акустического зашумления на стояках отопления, выходящих запределы КЗ

6. Генераторыэлектромагнитного шума в помещении не установлены

7. Окна организациивыходят во двор. На окнах имеются жалюзи, но отсутствуют вибрационные датчики.

8. Мероприятия пообнаружению «закладок» на территории КЗ проводятся 1 раз в пол года

9. Отсутствуетзащита телефонных линий.

Программно-аппаратныемеры:

1. На АРМсотрудников установлены операционная система — MS Windows XP, офисное приложение – MS Office 2007, антивирусное программное обеспечение – NOD32, 1С «Бухгалтерия» (в отделебухгалтерия).

2. На АРМустановлена программа регистрации входа/выхода, а также всех произведенныхдействий с учетом времени.

5. Возможные каналы утечки информации

1. Распространение акустических сигналов через двери

2.Распространение вибрационных сигналов через стены с соседними помещениями,через трубы системы отопления и через окна

3.Разглашение информации сотрудниками предприятия умышленно или а следствии недостаточного знания работниками организации правил защиты конфиденциальнойинформации

4. Перехват акустической (речевой ) информации при помощиразнообразных средств разведки: микрофоны, радиомикрофоны, радиозакладки

5.Оптический просмотрчерез окна

6. Необходимоувеличить защиту на АРТ сотрудников организации

6.Предполагаемые мероприятия по защите информации

1. Уплотнениевсех дверей на территории КЗ, кроме входной.

2.Мероприятия по выявлению закладных устройств проводить 1 раз в месяц.

3.Установление вибрационных генераторов на трубы системы отопления.

4. Установитьвибрационные генераторы на окна (с целью уменьшения риска снятия лазероминформации с окон).

5. Установитгенераторы электромагнитного шума на каждое АРМ.

6.Разработать инструкцию пользователя ОВТ (объекта вычислительной техники).

7.Усовершенствовать инструкцию по организации парольной защиты на АРМ

8. Провестиинструктаж персонала в соответствии с новой КСЗИ.

9. Разработать «Соглашение о неразглашении конфиденциальной информации»;провести инструктаж по разъяснению персоналу организации положений «Памятки».

10. Разграничить доступ пользователей АС к информации с помощью установкиСЗИ от НСД на рабочих местах и сервере (СЗИ SecretNet);

11. На время проведения совещаний отключать телефонные аппараты от сети;

12. При проведении совещаний и переговоров отключать мобильные телефонывсем присутствующим в помещении.

13. Ключи и коды от сейфов должны храниться у руководителя предприятия.

14. Обязательно выключение компьютеров после завершения рабочего дня.

7. Объектыпоставки проекта

Для управления проектомего следует разбить на иерархические подсистемы и компоненты. В терминахуправления проектами структура проекта представляет собой „дерево“ориентированных на продукт проекта компонентов, представленных оборудованием,работами, услугами и информацией, полученными в ходе реализации проекта. Можносказать, что структура проекта – это организация связей и отношений между егоэлементами. Формирование структуры проекта позволяет представить его в видезначительно меньших блоков работ вплоть до получения самых мелких, поддающихсянепосредственному контролю позиций. Именно такие блоки передаются подуправление отдельным специалистам, ответственным за достижение конкретной целидостигаемой при реализации задач данного блока. Процесс структуризации являетсянеотъемлемой частью общего процесса планирования проекта и определения егоцелей, а также подготовки плана проекта и матрицы распределенияответственностей и обязанностей.

Задачей проекта является построение надежной системы защиты информации напредприятии.

Для предприятия «ИТ Энигма» в ходе разработки комплексной системы защитыинформации необходимо выделить несколько задач в пределах следующих требований:

1. Техническоеоснащение объекта должно сводить к минимуму возможность снятия конфиденциальнойинформации по возможным каналам утечки

2. Техническоеоснащение должно удовлетворять требованиям и нормам стандартов в областизащиты информации

3. Техническоеоснащение не должно мешать рабочему процессу предприятия

4. Должна бытьпроведена оценка защищенности АРМ в соответствии с требованиями стандартов

5. Должны бытьразработаны должностные инструкции в соответствии с поставленными задачами иформами допуска к конфиденциальной информации

6. По завершенииработ по построению комплексной системы защиты информации необходимо провестиознакомление сотрудников с новой системой.

Итогом работы попостроение КСЗИ должно быть:

1. Защитаконтролируемой зоны от проникновения злоумышленников и несанкционированногосъема информации

2. Созданиесобственной политики безопасности предприятия

3. Строгий контрольдоступа к конфиденциальной информации на электронный и бумажных носителях, кАРМ содержащим конфиденциальную информацию

4. Техническогооснащения помещений, в которых ведется работа с конфиденциальными документами

5. Введение строгогоучета конфиденциальной документации

6. Введение системыответственности за невыполнения норм и требований по работе с конфиденциальнойинформацией.

8.Оценка стоимостисистемы защиты и оценка эффективности

Примерная стоимость работи оборудования СЗИ:

Статья затрат Стоимость, руб. 1. Приобретение средств защиты 950 000 2. Монтаж СЗИ 55 000 3. Специсследования помещений 40 500 4.Надбавки к заработным платам сотрудников 150 000 5. Разработка заключения о степени защищенности и аттестата соответствия 15 000

Итого:

1210500

Таким образомиз приведенных выше расчетов видно, что в случае реализации угроз на каждый из3-х ресурсов предприятие понесет убытки:

49300*20+159200+48200*3=1193400руб.

При этомследует отметить, что срок эксплуатации средств защиты превышает 1 год исистема ЗИ рассчитана на более длительный срок.

Следовательнопостроение КСЗИ на предприятии ООО «ИТ Энигма» можно считать экономическицелесообразным.

9.Предложение, ограничения, исключения

Припостроении системы защиты необходимо учитывать все каналы утечки информации.Всегда следует помнить, что злоумышленник не обязательно может получить весьобъем конфиденциальной информации, используя только какой-либо один каналутечки информации. Следовательно, нужно обеспечивать блокирование каналовутечки комплексно.

Наибольшую опасность представляет оптический канал утечки информации.Связано это с тем, что практически вся информация может быть представлена ввизуальном виде, неважно, что это: бумажные документы или электронный документ,отображённый на экране монитора. Следовательно, любая эта информация может бытьсфотографирована. А развитие современных средств фотографии привело к тому, чтодаже на очень большом расстоянии, например при спутниковой фотосъемке,изображение имеет высокое разрешение. К тому же фотография содержит наибольшееколичество демаскирующих признаков, такие как габариты, цвет, общий внешний види т.д. Однако стоит отметить, что в первую очередь фотография предназначена длядобывания видовых демаскирующих признаков.

Для добывания сигнальныхдемаскирующих признаков используется радиоэлектронный канал утечки информации.В то же время вследствие различных характеристик каналов утечки информации, атакже передаваемой по ним информации для получения конфиденциальной, и дляповышения эффективности добывания конфиденциальной все каналы утечки информациииспользуются комплексно. При этом злоумышленник получает возможность не толькодобыть информацию в максимальном объеме, но и может путём сопоставленияинформации, полученной из различных каналов добывания, оценить еёдостоверность. При организации защиты информации следует помнить об этом ипредусмотреть использование злоумышленником нескольких каналов утечкиинформации.

Каналы утечки информацииможно квалифицировать на следующие группы:

-визуально-оптические;

-акустические (включая иакустико-преобразовательные);

-радиоэлектронные;

-материально-вещественные(бумага, фото, магнитные носители).

Блокирование оптического канала утечки информации возможно с помощьюорганизационных средств:

· На времяпроведения конфиденциальных совещаний и переговоров жалюзи должны закрываться

· При приёмепосетителей на столе не должно находиться конфиденциальных документов, если вэтом нет необходимости

· Телевизор недолжен быть развёрнут экраном к окну

· Во времяпроведения конфиденциальных совещаний дверь должна быть плотно закрыта, а видеале около двери должен постоянно находиться доверенный сотрудник компании,например, секретарь

Источником акустического сигнала могут быть:

· Говорящий человек

· Техническиесредства звуковоспроизведения

· Механические узлытехнических средств и машин

Речь человека характеризуется рядом параметров:

· Громкость звука.Представляет собой взвешенную по частоте интенсивность звука.

· Тоновый диапазонили диапазон частот. Обычно тоновый диапазон составляет от 64 до 1300 Гц. Самыенизкие тоны басовых голосов составляют около 40 Гц, а высокие тоны детскихголосов могут достигать 4000 Гц.

· Тембр голосачеловека определяется количеством и величиной гармоник (обертонов) его спектра.

Для предотвращения утечки информации по акустическому каналу необходимоприменение специальных мер:

· Установка оконныхблоков с повышенной звукоизоляцией (тройной стеклопакет)

· Заполнениепространства между стеклами специальными инертными газами

· Уплотнениепритворов переплётов

· Установка окон враздельные рамы

· Уплотнениепритворов, что позволит увеличить величину звукоизоляции примерно на 5-10 дБ

· Изготовлениедвери из специальных звукоизолирующих материалов, что позволит дополнительноувеличить звукоизоляцию на 5-15 дБ

· Организациятамбуров с облицовкой внутреннего пространства тамбура звукопоглощающимиматериалами

· Организация втамбурах воздушных пушек для создания хаотических воздушных потоков.

В защищаемом помещении источниками акустоэлектронного т канала утечкиинформации являются:

· Электропровода

· Провода пожарнойи охранной сигнализации

· Радиопровода

· Телефонныепровода

· Провода системызвукоусиления

Для блокирования акустоэлектронного канала утечки следует использоватьприборы зашумляющие цепи электропитания и слаботочные цепи, а также подавителидиктофонов и сотовых телефонов:

· Соната-С1 иИмпульс – линейное зашумление цепей электропитания

· Мозаика – дляблокирования сотовых телефонов всех стандартов

· Дурман –подавление сигналов ленточных и цифровых диктофонов

МП-2, МП-3, МП-5 – дляподавления опасных сигналов в громкоговорителях, цепях

Материально-вещественнымканалом утечки информации выступает документация. Скрытие этого канала утечкиинформации в первую очередь регулируется на организационном уровне, выработкойопределенных правил обращения с бумажными носителями.

10. Структураразбиения работ

Наименование работы

Продолжи-тельность, max

Дни

Продолжи-тельность, min

дни

1. Приказ руководства предприятия о разработке проекта комплексной системы защиты информации (КСЗИ). Назначение ответственных за проект. Определение примерных сроков проекта.

2. Формирование команды разработчиков КСЗИ.

3. Знакомство с информационной системой и информационными ресурсами предприятия. Составление первого отчета о полученных результатах.

4. Составление перечня конфиденциальной информации (КИ) предприятия (изучение уже существующего перечня, дополнение, преобразования).

5. Изучение нормативной документации предприятия.

6. Изучение журналов регистрации конфиденциальных документов, имеющихся в организации.

7. Выделение объектов защиты и их категорирование. Составление отчета.

8. Изучение имеющихся технических средств защиты информации (в том числе на наличие антивирусного ПО)

9. Проверка технических средств обработки, хранения и передачи информации на наличие средств несанкционированного съема информации и вирусов.

10. Изучение имеющейся системы охраны периметра организации, системы пожарной безопасности, охранной сигнализации. Изучение прилегающей территории. Выявление пустот в физической защите периметра.

11. Составление отчета по результатам проверки технических средств, по результатам проведения осмотра периметра. Анализ достаточности уже существующих на предприятии мер защиты.

12. Разделение персонала организации по уровням доступа к конфиденциальной информации.

13. Составление новых должностных инструкций, согласование с руководством организации, обоснование.

14. Анализ достаточности используемых мер защиты. Выявление угроз безопасности, расчет рисков и их ранжирование. Вторичная оценка стоимости проекта.

15. Составление перечня технических средств защиты, необходимых для дополнения и усовершенствования используемых мер.

16. Заключение договора на поставку необходимых технических средств, ПО. Установка сроков поставки, монтажа и настройки нового оборудования.

17. Обучение персонала предприятия работе с новым оборудованием.

18. Проверка новой систем защиты от несанкционированного проникновения в защищаемое помещение. Искусственная реализация возможных угроз с целью выявления слабых мест в системе защиты.

19. Составление полного отчета по проделанной работе.

20. Предоставление проекта директору предприятия.

21. Возможные доработки и исправления проекта.

Итого

11. Структурнаясхема организации

Структурная схемаорганизации содержит в себе совокупность должностных лиц, участвующих в проектепо созданию КСЗИ, и выполняемых ими функций в процессе этой деятельности.

В структурную схему входят:

1. Начальник отделапо защите информации

2. Главный инженерпо защите информации

3. Начальник службыбезопасности

4. Инженер по защитеинформации

5. Начальник отделаконфиденциального делопроизводства

6. Менеджер покадрам

7. Сотрудник службыбезопасности

12. Матрицаответственности

13.

Задачи Начальник отдела по защите информации Главный инженер по защите информации Начальник службы безопасности Инженер по защите информации Начальник отдела конфиденциального делопроизводства Менеджер по кадрам Сотрудник службы безопасности 1.Приказ руководства предприятия о разработке проекта комплексной системы защиты информации (КСЗИ). Назначение ответственных за проект. Определение примерных сроков проекта. x x x 2. Формирование команды разработчиков КСЗИ. x x x 3. Знакомство с информационной системой и информационными ресурсами предприятия. Составление первого отчета о полученных результатах. x x x 4. Составление перечня конфиденциальной информации (КИ) предприятия (изучение уже существующего перечня, дополнение, преобразования). x x 5. Изучение нормативной документации предприятия. x x x 6. Изучение журналов регистрации конфиденциальных документов, имеющихся в организации. x 7. Выделение объектов защиты и их категорирование. Составление отчета. x x x 8. Изучение имеющихся технических средств защиты информации (в том числе на наличие антивирусного ПО) x x x 9. Проверка технических средств обработки, хранения и передачи информации на наличие средств несанкционированного съема информации и вирусов. x x x x 10. Изучение имеющейся системы охраны периметра организации, системы пожарной безопасности, охранной сигнализации. Изучение прилегающей территории. Выявление пустот в физической защите периметра. x x x 11. Составление отчета по результатам проверки технических средств, по результатам проведения осмотра периметра. Анализ достаточности уже существующих на предприятии мер защиты. x x x x 12. Разделение персонала организации по уровням доступа к конфиденциальной информации. x x 13. Составление новых должностных инструкций, согласование с руководством организации, обоснование. x x 14. Анализ достаточности используемых мер защиты. Выявление угроз безопасности, расчет рисков и их ранжирование. Вторичная оценка стоимости проекта. x x 15. Составление перечня технических средств защиты, необходимых для дополнения и усовершенствования используемых мер. x x x x 16. Заключение договора на поставку необходимых технических средств, ПО. Установка сроков поставки, монтажа и настройки нового оборудования. x x 17. Обучение персонала предприятия работе с новым оборудованием. x x x 18. Проверка новой систем защиты от несанкционированного проникновения в защищаемое помещение. Искусственная реализация возможных угроз с целью выявления слабых мест в системе защиты. x x x x x 19. Составление полного отчета по проделанной работе. x x x 20.Предоставление проекта директору предприятия. x x x

14. Сетевойграфик и диаграмма Ганта

Сетевойграфик представляет собой графическое изображение процесса менеджмента, гдевсе операции, выполнение которых необходимо для достижения конечной цели,показаны в определенной технологической последовательности и взаимозависимости.

Припостроении сетевого графика используются три основных понятия: работа (включаяожидание и зависимость), событие и путь.

Работа– это трудовой процесс, требующий затрат времени и ресурсов(например, оценка обстановки, анализ информации). На схемах работаизображается в виде сплошной линии со стрелкой. В работу включается процессожидания, т.е. процесс, не требующий затрат труда и ресурсов, но требующийзатрат времени. Процесс ожидания изображается пунктирной линией со стрелкой собозначением над ней продолжительности ожидания. Зависимость между двумя илинесколькими событиями свидетельствует об отсутствии необходимости затратвремени и ресурсов, но указывает на наличие связи между работами (начало однойили нескольких работ зависит от выполнения других), изображается пунктирнойлинией со стрелкой без обозначения времени.

Событие– это результат выполнения всех работ, входящих в данноесобытие, позволяющий начинать все выходящие из него работы. На сетевой матрицесобытие изображается, как правило, в виде кружка.

Путь – это непрерывная последовательность работ, начиная отисходного события и кончая завершающим. Путь, имеющий наибольшую продолжительность,называется критическим и в матрице обозначается утолщенной или сдвоенной линиейсо стрелкой.

15. Рискипроекта

Последним этапом должностать выявление всевозможных рисков, с которыми мы можем столкнуться во времяреализации проекта, а также определение мер минимизации данных рисков

1. Инвестиционные(экономические).

Основной рискзаключается в нехватке денежных средств, материальных ресурсов на реализациюпроекта. В этом случае все те мероприятия, которые были осуществлены, не будутприносить нужного результата и можно считать эффективность затраченных средствравной 0.

Такжесуществует достаточно серьезный риск того, что затраты на построениекомплексной системы защиты информации окажутся выше, чем выгода от её внедренияна организации.

В целяхпредотвращения рисков данной группы следует предпринять следующие меры:

· Должна бытьпроизведена профессиональная оценка выгода от внедрения комплексной системызащиты информации

· Стоимость проектадолжна быть рассчитана максимально детальна с поправкой в большую сторону.

· Каждый пунктпроекта должен быть согласован с коммерческим директором и утвержденгенеральным директорам

· Внедряемые мерыдолжны быть экономически оправданы. Выгода от внедрения мер должна превышатьзатраты на их внедрение.

· Внедряемые мерыдолжны отвечать принципу разумной достаточности. Внедряемые меры должнысоответствовать реальным внешним и внутренним угрозам. Не должны быть излишни.

2. Кадровые

Персоналпредставляет из себя ресурс поведение которого не всегда возможно достаточноточно спрогнозировать даже специалистам. Внедрение комплексной системы защитыинформации, а вместе с ней и определенного набора запретительных мер и правилможет привести к определенным негативным последствиям в работе персонала.

Данныепоследствия могут выражаться в следующих формах:

· Сознательноеневыполнение обязательных мер защиты

· Многочисленныезадержки в работе, связанные со сложностью мер защиты

· Случайные ошибкиперсонала при работе со средствами защиты

В целяхисключения данной группы рисков необходимо при построение комплексной системызащиты информации в обязательном порядке учитывать следующие моменты:

· Ещё доокончательного внедрения должно производиться обучение персонала работе спрограммно-аппаратными и техническими средствами защиты информации

· Должна бытьобъяснена необходимость внедрения данных мер с точки зрения, понятной персоналу

· Внедряемые мерыпо защите информации должны быть просты в эксплуатации

· Внедряемые мерыпо защите информации должны быть логичны

3. Технические

Та частьрисков, которой зачастую уделяется слишком мало внимания. Суть данной группырисков заключается в том, что во-первых текущее состояние информационнойсистемы организации должно удовлетворять требования внедряемых мер, во-вторыхвнедряемые технические меры должны находиться в гармонии с организационными ипрограммно-аппаратными мерами.

Возможныериски:

· Конфликтустанавливаемого программного и аппаратного обеспечения с установленнойоперационной системой и аппаратной частью

· Сложность вэксплуатации технических и программных средств

· Наличие закладныхустройств в устанавливаемых аппаратных средств

· Наличиенедекларированных возможностей в инсталлируемых программных средствах

Основные мерыпредотвращения данной группы рисков:

· Проверка всех поставляемыхпрограммных и аппаратных средств

· Выбор надежныхпоставщиков

· Тщательный выборнеобходимых программных и аппаратных средств

16. Заключение

Передо мнойбыла поставлена задача создания комплексной системы защиты информации напредприятии «ИТ Энигма». В ходе работы мною было составлено резюмеорганизации, были представлены ограничения, исключения и предложения по мерамзащиты, был приведен пример расчета рисков. В итоге работы была составленаструктурная схема организации и матрица ответственности.

еще рефераты

Еще работы по менеджменту

Реферат по менеджменту

Управление производственными процессами

22 Июня 2015

Реферат по менеджменту

Управление производством СПК им. Никольского

22 Июня 2015

Реферат по менеджменту

Управление противоречиями

22 Июня 2015

Реферат по менеджменту

Управление профессиональной карьерой. Карьера и характер

22 Июня 2015