Таблица 3.3 - Расчет стоимости использования VPN сервиса PIA

3.5 Внедрение ЭЦП в компании

Так как компания «ПрофИТ» работает со своими клиентами в достаточно тесном сотрудничестве, требуются и подходящие меры для обеспечения информационной безопасности клиентской и корпоративной документации. Для этого рекомендуется установить и использовать пакет «КриптоПро CSP» версии 4.0 на всех устройствах, работающих с документацией.

КриптоПро CSP 4.0 - это криптопровайдер, необходимый для работы с электронной подписью. Программа может использоваться для создания и проверки электронной подписи, формирования ключей электронной подписи, шифрования и имитозащиты данных.

КриптоПро CSP предназначен для: 

• авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи

• обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты;

• обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;

• контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;

• управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Таблица 3.4 - Расчет стоимости внедрения ЭЦП в компанию «ПрофИТ»

3.6 Создание закрытой переговорной комнаты

В любой компании переговорная – одно из ключевых помещений в офисе. Именно в этом помещении заключаются принципиальные соглашения и достигаются важнейшие договоренности, определяющие дальнейшие успехи компании.

В головном офисе компании «ПрофИТ», имеется кабинет площадью 8 кв. м. которую требуется переоборудовать под переговорную комнату для проведения небольших совещаний и встреч с важными клиентами компании. Но для того чтобы обычный кабинет, превратился в переговорную комнату, требуется осуществить ряд мероприятий по защите информации в данном помещении:

• Создание системы контроля доступом в данное помещение

• Соблюдение правил переговоров в данном помещении

• Установка и использование пассивных и активных средств защиты информации в данном помещении

Ответственность за обеспечение защиты ценной информации в ходе совещания несет организующий руководитель. Он привлекает сотрудников фирмы, допущенных к работе с конкретной ценной информацией, для подготовки конфиденциального совещания.

При подготовке совещания составляются программа проведения мероприятия, повестка дня, информационные материалы, проекты решений и список участников заседания отдельно по каждому отдельному вопросу. Все составляемые в процессе подготовки документы должны иметь гриф «Конфиденциально», изготовляться в соответствии с требованиями инструкции по обработке и хранению конфиденциальных документов и согласовываться с референтом и руководителем службы безопасности. После этого документы утверждаются руководителем, организующим заседание. Документы, предназначенные для раздачи участникам совещания, не должны содержать конфиденциальные сведения и иметь соответствующий гриф.

На заседании участвуют только имеющие непосредственное к нему отношение сотрудники и руководители по действующей в организации системе доступа персонала к конфиденциальной информации. В списке участников указываются полные имена и должности лиц, представляемые ими учреждения, организации и названия документов, подтверждающих их полномочия вести переговоры и принимать решения. Название представляемой организации может заменяться условным обозначением.

Все необходимые для переговоров технические средства размещаются в соседней изолированной комнате. Аудио, видеозапись и фотографирование ведется только по письменному указанию первого руководителя фирмы.

Принятые на совещании документы оформляются, подписываются и передаются участникам в соответствии с требованиями по работе с конфиденциальными документами.

Так же, вход в переговорную комнату рекомендуется оборудовать, тамбуром, установить в нем акустический генератор излучатель, а внутреннюю сторону тамбура обить звукоизоляционным материалом.

Таблица 3.5 - Расчет стоимости технических средств, для обеспечения информационной безопасности в переговорной комнате

Заключение

В выпускной квалификационной работе была рассмотрена информационная система компании «ПрофИТ» и сделан вывод о том, что информационная безопасность в компании не организована должным образом. От степени защищенности информационной системы компании напрямую зависит непрерывность, конфиденциальность и соответствие законодательству. Из этого следует, что для организации решение вопроса, связанного с информационной безопасностью, является необходимостью и для решения данного вопроса необходима разработка и внедрение мер защиты информации.

Был проведен анализ рисков, которые могут повлечь за собой потерю данных, в ходе анализа были выявлены основные уязвимости информационной безопасности в компании. Предложены технические меры по снижению информационных рисков и повышению информационной безопасности в целом.

В процессе написания работы был предложен ряд проектов по внедрению защитных мер в информационную систему компании.

Для уменьшения риска угрозы потери данных на сайте компании и в результате удаленной работы сотрудников, были предложены меры по использованию шифрованных протоколов и виртуальных частных сетей.

Для уменьшения риска угрозы нарушения целостности, правильного функционирования информационной системы были предложены меры по внедрению программно-аппаратных средств защиты информации.

Для подтверждения подлинности пересылаемой документации было предложено мероприятие по внедрению электронной цифровой подписи на рабочие устройства компании.

Для проведения совещаний с сотрудниками и личных встреч с клиентами был предложен проект по обустройству кабинета в переговорную комнату.

Список используемых источников

1. Федеральный закон от 27.07.2006 "О персональных данных" № 152-ФЗ [Электронный ресурс]: СПС Гарант – Режим доступа: www.garant.ru (Дата обращения 10.05.2017 г.)

2. Федеральный закон от 23.06.2016 "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Кодекс Российской Федерации об административных правонарушениях" № 208-ФЗ [Электронный ресурс]: СПС Гарант – Режим доступа: www.garant.ru (Дата обращения 10.05.2017 г.)

3. Указ Президента РФ от 05.12.2016 № 646 "Об утверждении Доктрины информационной безопасности Российской Федерации" [Электронный ресурс]: СПС Гарант – Режим доступа: www.garant.ru (Дата обращения 10.05.2017 г.)

4. Бабаш, А.В. Информационная безопасность. Лабораторный практикум [Текст]: учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.

5. Бирюков, А.А. Информационная безопасность защита и нападение [Текст]: учебное пособие / А.А. Бирюков. - М.: ДМК Пресс, 2013. - 474 c.

6. Гаврилов, Л.П. Информационные технологии в коммерции [Текст]: Учебное пособие / Л.П. Гаврилов. - М.: НИЦ ИНФРА-М, 2013. - 238 c.

7. Гаврилов, М.В. Информатика и информационные технологии [Текст]: Учебник для бакалавров / М.В. Гаврилов, В.А. Климов; Рецензент Л.В. Кальянов, Н.М. Рыскин. - М: Юрайт, 2013. - 378 c.

8. Гвоздева, В.А. Информатика, автоматизированные информационные технологии и системы [Текст] : Учебник / В.А. Гвоздева. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 544 c.

9. Голицына, О.Л. Информационные технологии [Текст]: Учебник / О.Л. Голицына, Н.В. Максимов, Т.Л. Партыка, И.И. Попов. - М.: Форум, ИНФРА-М, 2013. - 608 c.

10. Даниленко, А.Ю. Безопасность систем электронного документооборота. Технология защиты электронных документов [Текст]: учебное пособие / А. Ю. Даниленко. – М.: Ленанд, 2015. – 232 c.

11. Денисов, В.В. Анализ состояния защиты данных в информационных системах [Текст]: учебно-методическое пособие / В. В. Денисов. – НГТУ.: Новосибирск, 2012. – 52 с.

12. Дейтел, Х.М. Операционные системы. Распределенные системы, сети, безопасность [Текст]: учебное пособие / Х. М. Дейтел, Д. Р. Чофнес. – М.: Бином, 2013. – 704 c.

13. Джонс, К. Инструментальные средства обеспечения безопасности [Текст]: учебник / К. Джонс, М. Шема, Б. Джонс. – М.: НОУ Интуит, 2016. – 115 с.

14. Каторин, Ю.Ф. Защита информации техническими средствами [Текст]: учебное пособие / Ю. Ф. Каторин, А. А. Разумовский. – СПб.: НИУ ИТМО, 2012. – 416 с.

15. Кияев, В.В. Безопасность информационных систем [Текст]: учебник / В. В. Кияев, О. Т. Граничин. – М.: НОУ Интуит, 2016. – 192 с.

16. Конотопов, М.В. Информационная безопасность [Текст]: лабораторный практикум / М.В. Конотопов. - М.: КноРус, 2013. - 136 c.

17. Максимов, Н.В. Современные информационные технологии [Текст]: учебное пособие / Н.В. Максимов, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2013. - 512 c.

18. Мельников, Д.А. Информационная безопасность открытых систем [Текст]: учебник / Д.А. Мельников. - М.: Флинта, 2013. - 448 c.

19. Милославская, Н.Г. Управление рисками информационной безопасности [Текст]: учебное пособие / Н. Г. Милославская, М. Ю. Сенаторов, А. И. Толстой. – М.: АРТА, 2014. – 130 с.

20. Олейник, П.П. Корпоративные информационные системы [Текст]: учебник для вузов / П.П. Олейник. – СПб.: Питер, 2012. – 176 c.

21. Партыка, Т.Л. Информационная безопасность [Текст]: учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - 432 c.

22. Петров, С.В. Информационная безопасность [Текст]: учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. - 296 c.

23. Платонов, В.В. Программно-аппаратные средства защиты информации [Текст]: учебник / В. В. Платонов. – М.: Академия, 2013. – 18 с.

24. Пятибратов, А.П. Вычислительные системы, сети и телекоммуникации [Текст]: учебное пособие / А. П. Пятибратов, Л. П. Гудыно, А. А. Кириченко. – М.: Кнорус, 2013. – 370 с.

25. Скрипник, Д.А. Общие вопросы технической защиты информации [Текст]: учебное пособие / Д. А. Скрипник. – М.: НОУ Интуит, 2016. – 425 с

26. Федотова, Е.Л. Информационные технологии и системы [Текст]: учебное пособие / Е.Л. Федотова. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 352 c.

27. Хлебников, А.А. Информационные технологии [Текст]: учебное пособие / А.А. Хлебников. - М.: КноРус, 2014. - 472 c.

28. Цвитун, А.А. Надежность компьютерных сетей [Текст]: учебное пособие / А. А. Цвитун, В. В. Корнейчук, А. В. Долголенко. – Корнейчук.: Киев-116, 2013. – 133 с.

29. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей [Текст]: учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 c.

30. Шаньгин, В.Ф. Информационная безопасность и защита информации [Текст]: учебное пособие / В.Ф. Шаньгин. - М.: ДМК, 2014. - 702 c.

31. Основные элементы системы контроля и управления доступом [Электронный ресурс] – Режим доступа: http://fb.ru (Дата обращения 14.05.2017 г.)

32. Виды и назначение систем контроля и управления доступом [Электронный ресурс] – Режим доступа: http://arze.ru (Дата обращения 15.05.2017 г.)

33. Организация переговорных комнат [Электронный ресурс] – Режим доступа: http://dkvartnsk.ru (Дата обращения 17.052017 г.)

34. Оборудование для переговорных комнат [Электронный ресурс] – Режим доступа: http://www.ascreen.ru (Дата обращения 17.05.2017 г.)

35. Программно-аппаратные средства защиты информации от НСД [Электронный ресурс] – Режим доступа: http://www.suritel.ru (Дата обращения 16.05.2017)

36. Концепция безопасности [Электронный ресурс] – Режим доступа: http://securitypolicy.ru (Дата обращения 18.05.2017 г.)

37. Планирование мероприятий по организационной защите информации на предприятии [Электронный ресурс] – Режим доступа: http://all-ib.ru (Дата обращения 17.05.2017 г.)

38. Виртуальные частные сети [Электронный ресурс] – Режим доступа: https://technet.microsoft.com (Дата обращения 17.05.2017 г.)

39. Что такое VPN и зачем это нужно [Электронный ресурс] – Режим доступа: https://blog.kaspersky.ru (Дата обращения 14.05.2017 г.)

40. Электронная подпись и её виды [Электронный ресурс] – Режим доступа: http://www.rosint.net (Дата обращения 14.05.2017 г.)

41. Официальный сайт компании «ПрофИТ» [Электронный ресурс] – Режим доступа: http://it-khv.ru (Дата обращения 12.05.2017 г.)

42. Основные угрозы безопасности [Электронный ресурс] – Режим доступа: https://habrahabr.ru (Дата обращения 14.05.2017 г.)

43. SLL сертификаты для сайта [Электронный ресурс] – Режим доступа: https://www.reg.ru (Дата обращения 18.05.2017 г.)

44. Средства криптографической защиты соединений в вычислительных сетях [Электронный ресурс] – http://www.volpi.ru Режим доступа: (Дата обращения 15.05.2017 г.)

45. План защиты информационных ресурсов от несанкционированного доступа [Электронный ресурс] – Режим доступа: http://securitypolicy.ru (Дата обращения 13.05.2017 г.)

46. Информационная безопасность на предприятии [Электронный ресурс]. – Режим доступа: https://tvoi.biz (Дата обращения 12.05.2017 г.)

47. Обеспечение информационной безопасности организации [Электронный ресурс] – Режим доступа: http://www.iccwbo.ru (Дата обращения 12.05.2017 г.)

48. Организационные меры обеспечения защиты информации [Электронный ресурс] – Режим доступа: http://www.lghost.ru (Дата обращения 16.05.2017 г.)

49. Классификация методов защиты информации [Электронный ресурс] – Режим доступа: http://camafon.ru (Дата обращения 16.05.2017 г.)

50. Официальный сайт научно-производственного отделения «АННА» [Электронный ресурс] – Режим доступа: http://www.npoanna.ru (Дата обращения 17.05.2017 г.)