Управление проектом, создание системы информационной безопасности

6

5

19.                 Составление полного отчета по проделанной работе.

5

4

20.                 Предоставление проекта директору предприятия.

2

1

21.                 Возможные доработки и исправления проекта.

2

0

Итого

98

74

11.           Структурная схема организации


Структурная схема организации содержит в себе совокупность должностных лиц, участвующих в проекте по созданию КСЗИ, и выполняемых ими функций в процессе этой деятельности.

В структурную схему входят:

1.                 Начальник отдела по защите информации

2.                 Главный инженер по защите информации

3.                 Начальник  службы безопасности

4.                 Инженер по защите информации

5.                 Начальник отдела конфиденциального делопроизводства

6.                 Менеджер по кадрам

7.                 Сотрудник службы безопасности


12.           Матрица ответственности

13.            




Задачи

Начальник отдела по защите информации


Главный инженер по защите информации


Начальник  службы безопасности


Инженер по защите информации

Начальник отдела конфиденциального делопроизводства


Менеджер по кадрам


Сотрудник службы безопасности


1.Приказ руководства предприятия о разработке проекта комплексной системы защиты информации (КСЗИ). Назначение ответственных за проект. Определение примерных сроков проекта.

x


x


x



2. Формирование команды разработчиков  КСЗИ.

x


x


x



3. Знакомство с информационной системой и информационными ресурсами предприятия. Составление  первого отчета о полученных результатах.


x



x

x


4. Составление перечня конфиденциальной информации (КИ) предприятия  (изучение уже существующего перечня, дополнение, преобразования).

x




x



5. Изучение нормативной документации предприятия.




x

x


x

6. Изучение журналов регистрации конфиденциальных документов, имеющихся в организации.





x



7. Выделение объектов защиты и их категорирование. Составление отчета.

x

x

x





8. Изучение имеющихся технических средств защиты информации (в том числе на наличие антивирусного ПО)


x


x



x

9. Проверка технических средств обработки, хранения и передачи информации на наличие средств несанкционированного съема информации и вирусов.

x

x


x



x

10. Изучение имеющейся системы охраны периметра организации, системы пожарной безопасности, охранной сигнализации. Изучение прилегающей территории. Выявление пустот в физической защите периметра.


x


x



x

11. Составление  отчета по результатам проверки технических средств, по результатам проведения осмотра периметра. Анализ достаточности уже существующих на предприятии мер защиты.

x


x

x



x

12. Разделение персонала организации по уровням доступа к конфиденциальной информации.




x


x


13. Составление новых должностных инструкций, согласование с руководством организации, обоснование.





x

x


14. Анализ достаточности используемых мер защиты. Выявление угроз безопасности, расчет рисков и их ранжирование. Вторичная оценка стоимости проекта.

x


x





15. Составление перечня технических средств защиты, необходимых для дополнения и усовершенствования используемых мер.

x

x

x




x

16. Заключение договора на поставку необходимых технических средств, ПО. Установка сроков поставки, монтажа и настройки нового оборудования.




x



x

17. Обучение персонала предприятия  работе с новым оборудованием.




x


x

x

18. Проверка новой систем защиты от несанкционированного проникновения в защищаемое помещение. Искусственная реализация возможных угроз с целью выявления слабых мест в системе защиты.

x

x

x

x



x

19. Составление полного отчета по проделанной работе.

x


x


x



20.Предоставление проекта директору предприятия.

x


x


x





14.           Сетевой график и диаграмма  Ганта


Сетевой график представляет собой графическое изобра­жение процесса менеджмента, где все операции, выполнение которых необходимо для достижения конечной цели, показаны в определенной технологической последовательности и взаимозависимости.

При построении сетевого графика используются три основных поня­тия: работа (включая ожидание и зависимость), событие и путь.

Работа – это трудовой процесс, требующий затрат времени и ресур­сов (например, оценка обстановки, анализ информации). На схемах ра­бота изображается в виде сплошной линии со стрелкой. В работу включа­ется процесс ожидания, т.е. процесс, не требующий затрат труда и ресурсов, но требующий затрат времени. Процесс ожидания изобража­ется пунктирной линией со стрелкой с обозначением над ней продолжитель­ности ожидания. Зависимость между двумя или несколькими событиями сви­детельствует об отсутствии необходимости затрат времени и ресурсов, но указывает на наличие связи между работами (начало одной или не­скольких работ зависит от выполнения других), изображается пунктирной линией со стрелкой без обозначения времени.

Событие – это результат выполнения всех работ, входящих в данное событие, позволяющий начинать все выходящие из него работы. На сете­вой матрице событие изображается, как правило, в виде кружка.

Путь – это непрерывная последовательность работ, начиная от исход­ного события и кончая завершающим. Путь, имеющий наибольшую продол­жительность, называется критическим и в матрице обозначается утол­щенной или сдвоенной линией со стрелкой.


15.           Риски проекта


Последним этапом должно стать выявление всевозможных рисков, с которыми мы можем столкнуться во время реализации проекта, а также определение мер минимизации данных рисков

1.                 Инвестиционные (экономические).

Основной риск заключается в нехватке денежных средств, материальных ресурсов на реализацию проекта. В этом случае все те мероприятия, которые были осуществлены, не будут приносить нужного результата и можно считать эффективность затраченных средств равной 0.

Также существует достаточно серьезный риск того, что затраты на построение комплексной системы защиты информации окажутся выше, чем выгода от её внедрения на организации.

В целях предотвращения рисков данной группы следует предпринять следующие меры:

·                   Должна быть произведена профессиональная оценка выгода от внедрения комплексной системы защиты информации

·                   Стоимость проекта должна быть рассчитана максимально детальна с поправкой в большую сторону.

·                   Каждый пункт проекта должен быть согласован с коммерческим директором и утвержден генеральным директорам

·                   Внедряемые меры должны быть экономически оправданы. Выгода от внедрения мер должна превышать затраты на их внедрение.

·                   Внедряемые меры должны отвечать принципу разумной достаточности. Внедряемые меры должны соответствовать реальным внешним и внутренним угрозам. Не должны быть излишни.

2.                 Кадровые

Персонал представляет из себя ресурс поведение которого не всегда возможно достаточно точно спрогнозировать даже специалистам. Внедрение комплексной системы защиты информации, а вместе с ней и определенного набора запретительных мер и правил может привести к определенным негативным последствиям в работе персонала.

Данные последствия могут выражаться в следующих формах:

·                   Сознательное невыполнение обязательных мер защиты

·                   Многочисленные задержки в работе, связанные со сложностью мер защиты

·                   Случайные ошибки персонала при работе со средствами защиты

В целях исключения данной группы рисков необходимо при построение комплексной системы защиты информации в обязательном порядке учитывать следующие моменты:

·                   Ещё до окончательного внедрения должно производиться обучение персонала работе с программно-аппаратными и техническими средствами защиты информации

·                   Должна быть объяснена необходимость внедрения данных мер с точки зрения, понятной персоналу

·                   Внедряемые меры по защите информации должны быть просты в эксплуатации

·                   Внедряемые меры по защите информации должны быть логичны

3.                 Технические

Та часть рисков, которой зачастую уделяется слишком мало внимания. Суть данной группы рисков заключается в том, что во-первых текущее состояние информационной системы организации должно удовлетворять требования внедряемых мер, во-вторых внедряемые технические меры должны находиться в гармонии с организационными и программно-аппаратными мерами.

Возможные риски:

·                   Конфликт устанавливаемого программного и аппаратного обеспечения с установленной операционной системой и аппаратной частью

·                   Сложность в эксплуатации технических и программных средств

·                   Наличие закладных устройств в устанавливаемых аппаратных средств

·                   Наличие недекларированных возможностей в инсталлируемых программных средствах

Основные меры предотвращения данной группы рисков:

·                   Проверка всех поставляемых программных и аппаратных средств

·                   Выбор надежных поставщиков

·                   Тщательный выбор необходимых программных и аппаратных средств


16.           Заключение


Передо мной была поставлена задача создания комплексной системы защиты информации на предприятии «ИТ Энигма».  В ходе работы мною было составлено резюме организации, были представлены ограничения, исключения и предложения по мерам защиты, был приведен пример расчета рисков. В итоге работы была составлена структурная схема организации и матрица ответственности.


Страницы: 1, 2, 3, 4, 5



Реклама
В соцсетях
рефераты скачать рефераты скачать рефераты скачать рефераты скачать рефераты скачать рефераты скачать рефераты скачать