Управление проектом внедрения системы автоматизации call-центра сервисной компании

ВВЕДЕНИЕ

Актуальность данной работы. Менеджмент любой компании нацелен на поддержание и развитие эффективности бизнеса в любых, реально складывающихся экономических условиях. В то же время необходимо соответствовать законодательно-нормативным требованиям регулирующих органов, выдерживать жесткое противодействие конкурентов, внедряя в производственные и управленческие процессы инновационные средства и технологии, в том числе направленные на соблюдение в должной мере информационной безопасности, разграничение доступа и защиту интеллектуальной собственности и важных конфиденциальных сведений, критически значимых для ведения бизнеса.
Цель данной работы: Управление проектом внедрения системы автоматизации call-центра сервисной компании ООО «Азимут».
Исходя из поставленной цели, необходимо решить следующие задачи:
Дать краткую характеристику ООО «Азимут».
Провести анализ информационной системы на предприятии.
Дать оценку уровня информационной безопасности на предприятии.
Разработать мероприятие по обеспечению информационной безопасности предприятия.
Рассчитать экономическую эффективность.
Объект исследования – предприятие ООО «Азимут».
Предмет исследования – информационная безопасность и информационная политика предприятия.
Методология исследования: логико-структурный подход, сравнительный анализ, математических и графический аппарат исследования.





1.АНАЛИЗ ПРЕДМЕТНОЙ ДЕЯТЕЛЬНОСТИ

1.1. Сущность задачи
Карточка предприятия ООО «Азимут»:
Организационно-правовая форма: Общество с ограниченной ответственностью.
Дата регистрации:15 апреля 2001 г.
Описание деятельности компании: сервисное обслуживание строительной техники, сотрудничество со строительными компании по разработке проектной документации.
В настоящее время в ООО «Азимут» трудятся более 155 сотрудников высокой квалификации, регулярно проводится обучение и аттестация специалистов, создаются новые рабочие места. В компании работает call-центр, в его состав ООО «Азимут» входит: производственно-технический отдел, сметно-договорной отдел, отдел кадров и охраны труда, отдел снабжения, бухгалтерия. Организационно-функциональная структура организации представлена в приложении 1.
1.2. Концептуальное моделирование предметной области
Общая схема сети представлена на рисунке 1.
Подробная схема ЛВС офиса компании представлена в приложении 2.

Рис.1. Общая схема организации ЛВС ООО «Азимут».
Основной технологический инструмент работы с документами – компьютеры, установленные на рабочих местах исполнителей и объединенных в локальную вычислительную сеть с выходом в Интернет. В целях защиты конфиденциальной информации организации, каждому пользователю определен личный пароль при входе в систему компьютера.
Таким образом, каждый компьютер подключается к серверу, что обеспечивает быструю скорость передачи данных, высокую надежность (например, при повреждении какого – либо кабеля вся сеть продолжает работать).
Для обеспечения качественного ежедневного пополнения информационных источников Консультант Плюс по сети Интернет установлен высокопроизводительный сервер: скорость передачи данных по выделенному каналу – 100 Мбит/с круглосуточно 7 дней в неделю.

1.3. Постановка задачи
Комплексный анализ и оценка рисков даже небольшой части информационной – это крайне сложная и ответственная задача. В данной работе мы ограничимся проверкой логичности полученного алгоритма на примере, а также качественной и количественной оценкой риска от реализации двух угроз, связанных с получением доступа к ресурсу. При расчете будем использовать метод анализа угроз и уязвимостей.
Первый этап – подготовительный.
1. Определяем критерии принятия риска.
Риск является допустимым, если на этапе качественной оценки риска ему будет присвоена оценка 1 или 2 по шкале от 1 до 7.
2. Определяем границы исследуемой системы.
В связи с тем, что мы ограничены в информации обо всей ИС ООО «Азимут», рассмотрим в качестве исследуемой системы рабочее место сотрудника отдела целевого маркетинга и клиентской аналитики.
3. Назначаем роли:
ответственный за коррекцию методики оценки рисков в случае обнаружения её недостаточной эффективности;
ответственный за нарушение подхода к оценке рисков;
ответственный за оценку рисков нарушения ИБ;
ответственный за разработку планов обработки рисков нарушения ИБ.
4. Выбираем актуальные для нас классы ресурсов, угроз, уязвимостей, потерь и группы пользователей.
Ресурсы: аппаратные, программные.
Угрозы по источникам: связанные с ЧС, с внутренними/внешними нарушителями ИБ, с техническими сбоями и др.
Уязвимости: по недостатку технических, организационных, физических средств ЗИ [9, с. 23].
Потери: конфиденциальности, целостности и доступности.
Группы пользователей: сотрудники компании.
В силу того, что мы ограничиваем исследуемую ИС до рабочего места сотрудника, выделим самые значительные ресурсы и наиболее ценную информацию в них (таблица 1).
Таблица 1 - Самые ценные ресурсы исследуемой системы
Класс ресурса Ресурс Информация Критичность ресурса, D
Аппаратный Рабочая станция Финансовая отчетность D_c = 10
Конфиденциальная информация о работе отдела
D_a = 2
Персональные данные клиентов
D_i = 5
Инф. о счетах
Инф. о транзакциях
Корпоративная электронная почта
Программный SAS Enterprise Guide Персональные данные клиентов D_c = 10
D_a = 3
D_i = 4
Инф. о счетах
Инф. о транзакциях
Lotus Notes Корпоративная электронная почта D_c = 10
D_a = 7
D_i = 4
MyClient Персональные данные клиентов D_c = 10
D_a = 9
Финансовая отчетность D_i = 7
Далее составим перечень угроз и уязвимостей, через которые могут быть реализованы данные угрозы. Экспертами в области информационной безопасности составлен список вопросов, в результате ответов на которые получены оценки критичности ресурсов, критичности реализации угроз и вероятности реализации угроз.=
Выделим две угрозы по ресурсу «Рабочая станция», одна из которых реализуется с помощью двух уязвимостей. Для каждой угрозы рассчитаем показатели конфиденциальности, целостности и доступности ресурса.
Таблица 2 - Угрозы безопасности и уязвимости исследуемой системы
Угроза Уязвимость Критичность реализации угрозы, ER Вероятность реализации угрозы, P(V)
Слабая защита информационной системы Постоянные атаки информационной системы ER_c=70% 〖P(V)〗_c=4%
ER_a=10% 〖P(V)〗_a=1%
ER_i=50% 〖P(V)〗_i=1%
Автоматизированная система предприятия не соответствует современным запросам предприятия Сбои в работе программ ER_c=70% 〖P(V)〗_c=2%
ER_a=10% 〖P(V)〗_a=1%
ER_i=50% 〖P(V)〗_i=1%
Постоянная утечка информации ER_c=70% 〖P(V)〗_c=1%
ER_a=10% 〖P(V)〗_a=1%
ER_i=50% 〖P(V)〗_i=1%

Определяем уровень риска качественным методом:
1. Переводим показатели ER и P(V) из процентов в качественные показатели следующим образом (таблица 3):
Таблица 3 - Перевод показателей из количественных в качественные величины