ПРАВНИ ПРОБЛЕМИ ПРИ ИЗПОЛЗВАНЕТО НА КОМПЮТЪРНИ ТЕХНОЛОГИИ И УДОВЪРШЕНСТВАНЕ НА ЗАКОНОДАТЕЛСТВОТО

ПОДОБРЯВАНЕ НА ИНСТИТУЦИОНАЛНИЯ МЕХАНИЗЪМ ЗА ОСИГУРЯВАНЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ НА РУСКАТА ФЕДЕРАЦИЯ

ПОДОБРЯВАНЕ НА ИНСТИТУЦИОНАЛНИЯ МЕХАНИЗЪМ ЗА ОСИГУРЯВАНЕ НА ИНФОРМАЦИОННАТА СИГУРНОСТ НА РУСКАТА ФЕДЕРАЦИЯ

© Юлия Александровна Коблова

Юлия А. Коблова

Кандидат на икономическите науки, доцент в катедрата по институционална икономика и икономическа сигурност, Саратовски социално-икономически институт (филиал) Г.В. Плеханов"

н.с. (Икономика), доцент в катедрата по институционална икономика, Саратовски социално-икономически институт (филиал) на Руския икономически университет "Плеханов"

електронна поща: [имейл защитен]

Статията разглежда институционалните аспекти на предоставянето информационна сигурностдържави. Разкрива се същността и ролята на институционалния механизъм за осигуряване на информационната сигурност на държавата. Направена е оценка на институционалното осигуряване на информационната сигурност в Русия. Идентифицирани са проблемите и е предложена система от мерки за усъвършенстване на институционалния механизъм за осигуряване на информационната сигурност на страната.

Ключови думиКлючови думи: институции, институционален механизъм, информационна сигурност, Интернет пространство.

Статията разглежда институционалните аспекти на осигуряването на информационната сигурност на държавата. Авторът разкрива същността и ролята на институционалния механизъм за осигуряване на информационната сигурност на държавата, оценява институционалния механизъм за осигуряване на информационната сигурност в Русия, подчертава основните предизвикателства и предлага система от мерки за подобряване на институционалния механизъм за осигуряване на информационна сигурност.

Ключови думи: институции, институционални механизми, информационна сигурност, интернет пространство.

Осигуряването на информационната сигурност на държавата е сравнително нова държавна функция с обем и съдържание на методи и инструменти, които все още не са установени.

ченгета. Неговото формиране се дължи на необходимостта от защита на обществото и държавата от информационни заплахи, свързани с развитието на най-новите информационни и комуникационни технологии.

технология. Мащабът на негативните последици от тези заплахи за държави, организации, хора вече е признат от световната общност, следователно най-важната задача на държавата е да разработи система от мерки за тяхното предотвратяване и неутрализиране. Важна роля за постигане на информационната сигурност на държавата играе институционалният механизъм за нейното осигуряване. Ефективността на институционалната система, която прилага обществен интерес, е ключът към тяхното хармонизиране с цел гарантиране на най-висшите държавни интереси, включително националната и информационната сигурност.

Напомняме, че институциите са правилата на взаимодействие („правилата на играта“) в обществото, породени от човешкото съзнание и опит, ограниченията и предпоставките за развитие в политиката, социалната сфера и икономиката. Институциите, които поддържат дългосрочния икономически растеж, са закони и правила, които формират стимули и механизми. Институциите създават система от положителни и отрицателни стимули, намаляват несигурността и правят социалната среда по-предсказуема. Известни са институциите, които гарантират информационната сигурност: върховенство на закона, независим и компетентен съд, липса на корупция и др.

Институционалният механизъм за осигуряване на информационна сигурност е специален структурен компонент на икономическия механизъм, който осигурява създаването на норми и правила, регулиращи взаимодействието на различни икономически субекти в информационна сфераза предотвратяване на заплахи за информационната сигурност. Институционалният механизъм задвижва институции (формални и неформални), структурира взаимодействията на субектите, упражнява контрол върху спазването на установените норми и правила.

Същността на институционалния механизъм се проявява чрез неговите функции. О.В. Иншаков и Н.Н. Лебедев смята, че институционалният механизъм изпълнява следните функции, които са приложими и към механизма за информационна сигурност:

1) обединяване на агенти в една институция с цел извършване на съвместни дейности в рамките на общи статути и норми;

2) диференциране на норми и статуси, както и субекти и агенти на различни институции в изисквания, които ги разделят и игнорират; регулиране на взаимодействието между

та и неговите представители в съответствие с установените изисквания;

3) внедряване на новите изисквания в реалната практика;

4) осигуряване на възпроизвеждане на рутинни иновации;

5) подчинение и координация на отношенията между субекти, които принадлежат към различни институции;

6) информиране на субектите за нови норми и за опортюнистично поведение;

7) регулиране на дейностите на субекти, които споделят и отхвърлят изискванията, определени от института;

8) контрол върху прилагането на норми, правила и споразумения.

По този начин институционалният механизъм за осигуряване на информационна сигурност включва законодателната рамка и институционалните структури, които я осигуряват. Съвършенство този механизъмвключва реорганизация на законодателната рамка за информационна сигурност и институционални структури за противодействие на заплахите за информационната сигурност.

Институционалният механизъм за осигуряване на информационната сигурност включва: приемане на нови закони, които да отчитат интересите на всички субекти на информационната сфера; спазване на баланса на съзидателната и ограничителната функция на законите в информационната сфера; интегрирането на Русия в глобалното правно пространство; като се вземе предвид състоянието на сферата на вътрешните информационни технологии.

Към днешна дата Русия е формирала законодателна рамка в областта на информационната сигурност, включително:

1. Закони на Руската федерация: Конституция на Руската федерация, "За сигурността"; „Относно органите Федерална службаСигурността в Руската федерация“, „За държавната тайна“, „За външното разузнаване“, „За участието в международния обмен на информация“, „За информацията, информационни технологиии защита на информацията”, „На цифров подпис" и т.н.

2. Регулаторни правни актове на президента на Руската федерация: Доктрина за информационна сигурност на Руската федерация; Стратегията за национална сигурност на Руската федерация до 2020 г., „За основите на държавната политика в областта на информатизацията“, „За списъка на информацията, класифицирана като държавна тайна“ и др.

3. Нормативни правни актове на правителството на Руската федерация: „За сертифициране

средства за защита на информацията“, „За лицензиране на дейностите на предприятия, институции и организации за извършване на работа, свързана с използването на информация, представляваща държавна тайна, създаването на средства за защита на информацията, както и прилагането на мерки и (или ) предоставяне на услуги за защита на държавната тайна“, „За лицензиране на определени видове дейности“ и др.

4. Граждански кодекс на Руската федерация (част четвърта).

5. Наказателен кодекс на Руската федерация.

Отзад последните годиниреализирани в Русия

набор от мерки за подобряване на неговата информационна сигурност. Внедрени са мерки за осигуряване на информационна сигурност във федералните държавни органи, държавните органи на съставните образувания на Руската федерация, в предприятия, институции и организации, независимо от формата на собственост. Работи се по защита на специални информационни и телекомуникационни системи. Държавната система за защита на информацията, системата за защита на държавните тайни и системите за сертифициране на средствата за информационна сигурност допринасят за ефективното решаване на проблемите на информационната сигурност в Руската федерация.

Държавната техническа комисия към президента на Руската федерация провежда единна техническа политика и координира работата в областта на информационната сигурност, ръководи държавно устройствозащита на информацията от техническото разузнаване и осигурява защитата на информацията от изтичане по технически канали на територията на Русия, следи за ефективността на предприетите мерки за защита.

Важна роля в системата за информационна сигурност на страната играят държавни и обществени организации: те упражняват контрол върху държавните и недържавните средства за масова информация.

В същото време нивото на информационна сигурност в Русия не отговаря напълно на нуждите на обществото и държавата. В условията на информационното общество се изострят противоречията между обществената потребност от разширяване и свобода на обмена на информация, от една страна, и необходимостта от поддържане на определени регламентирани ограничения върху нейното разпространение.

В момента няма институционална подкрепа за правата на гражданите, залегнали в Конституцията на Руската федерация в информационната сфера (на личен живот, лична тайна, тайна на кореспонденцията и др.). Почивка-

пожелания по-добра защиталични данни, събрани от федералните органи.

Липсва яснота в провеждането на държавната политика в областта на формирането на информационното пространство на Руската федерация, медиите, международния информационен обмен и интеграцията на Русия в световното информационно пространство.

Подобряването на институционалния механизъм за информационна сигурност на държавата, според нас, трябва да бъде насочено към решаването на следните важни проблеми.

Слабата практическа ориентация на съвременното руско законодателство в информационната сфера създава проблеми от правно и методологическо естество. Изразени са мнения, че Доктрината за информационна сигурност на Руската федерация няма приложна стойност, съдържа много неточности и методически грешки. Така обектите на информационната сигурност в Доктрината са разпознати като интереси, личността, обществото, държавата – понятия, които не са съпоставими помежду си. Много учени обърнаха внимание на недопустимостта защитата на интересите да се приема като обект на информационната сигурност, а не техни носители.

Използването на тези категории, чието съдържание е неясно, не е напълно неподходящо в законодателен документ. Например субекти на правото са правни и лица, организации, лица без гражданство, органи на изпълнителната власт. Категорията "държава" включва територията на страната, нейното население (нации), политическа власт, конституционно устройство.

Доктрината за информационна сигурност на Руската федерация признава като източници на заплахи за информационната сигурност:

Дейности на чужди структури;

Разработване на концепции за информационни войни от редица държави;

Желанието на редица държави да доминират и т.н.

Според Г. Атаманов източникът може да бъде обект или субект, който участва в информационния процес или може да му въздейства в една или друга степен. Например в законодателството на САЩ източниците на заплахи за информационната инфраструктура включват: хакери, които се противопоставят на САЩ; терористични групи; държави, срещу които може да бъде насочена антитерористична операция;

хакери, любопитни или самоуверени.

Недостатъците и рамковият характер на Доктрината намаляват ефективността и ограничават обхвата на нейното приложение, задават погрешна посока за развитие на законодателството в информационната сфера и все повече го объркват.

За правилното осигуряване на информационната сигурност е необходимо да се създаде подходяща система от правни отношения, което от своя страна е невъзможно без преразглеждане на категориалния апарат, доктриналната и концептуалната основа на законодателството в информационната сфера.

2. Разминаване между законодателство и практика в информационната сфера.

Огромна пропаст между законодателството и практиката в информационната сфера обективно съществува поради бързината и мащаба на развитие на информационните технологии и интернет, които моментално пораждат нови заплахи. Законодателният процес, напротив, е дълъг и трънлив. Следователно, в съвременни условиянеобходими са механизми за хармонизиране на развитието на законите с реалностите на развитието на информационните технологии и информационното общество. Важно е изоставането да не е твърде голямо, тъй като това е изпълнено с намаляване или загуба на информационна сигурност.

Преодоляването на пропастта между практика и законодателство в информационната сфера е необходимо за намаляване и неутрализиране на заплахите за информационната сигурност, произтичащи от изпреварващото развитие на информационните технологии и възникването на вакуум в законодателството.

3. Липса на наднационални институции, които да гарантират информационната сигурност.

Невъзможно е да се противодейства на престъпленията, извършвани в интернет от силите на една държава. Наложени са забранителни мерки на национално ниво, няма да има ефект, тъй като извършителите може да са в чужбина. За борбата с тях е необходимо консолидиране на усилията на международно ниво и приемане на международни правила за поведение в интернет пространството. Правени са подобни опити. Така Будапещенската конвенция на Съвета на Европа позволява преследване на нарушители на територията на друга държава без предупреждение на нейните власти. Ето защо много страни сметнаха за неприемливо да ратифицират този документ.

Модел на закон „За основите на регулирането на Интернет“, одобрен на пленарно заседание

заседание на Междупарламентарната асамблея на държавите-членки на ОНД, установява процедурата за държавна подкрепа и регулиране на интернет, както и правилата за определяне на мястото и времето на правно значими действия в мрежата. Освен това законът регламентира дейността и отговорностите на операторите на услуги.

Необходимо е да се отбележи ратифицирането на документа, позволяващ обмен на поверителна информация на територията на Русия, Беларус и Казахстан. Това е протокол, който определя процедурата за предоставяне на информация, съдържаща конфиденциална информация, за разследвания преди въвеждането на специални защитни, антидъмпингови и компенсаторни мерки по отношение на трети страни. Това е много важно споразумение между държавите-членки на Митническия съюз, което дава възможност за съвместно разработване и изграждане на защитни антидъмпингови и изравнителни мерки. По този начин днес е организирана солидна регулаторна рамка, която създава фундаментално нов наднационален орган, упълномощен не само да провежда разследвания, да събира доказателства, но и да ги защитава от изтичане, определяйки процедурата за предоставянето им.

Формирането на наднационални институции в информационната сфера ще позволи да се преодолеят ограниченията на националното законодателство в борбата с информационните престъпления.

4. Липса на институции на интернет пространството.

Понастоящем в международното право трябва да се появят такива нови институти, които регулират взаимодействието на субектите в интернет пространството, като „електронна граница“, „електронен суверенитет“, „електронно данъчно облагане“ и др. Това ще помогне за преодоляване на латентния характер на киберпрестъпността, т.е. увеличаване на разкриваемостта на киберпрестъпления.

5. Развитие на публично-частното партньорство в информационната сфера.

Интересна дилема възниква във връзка с желанието на държавните организации да публикуват доклади за състоянието на своята система за информационна сигурност. От една страна, тези публикации отразяват усилията на държавата да поддържа системата за киберсигурност на необходимото ниво. Изглежда, че такъв резултат трябва да доведе до по-ефективна структура на разходите за киберсигурност. Но, от друга страна, публикуването на информация за недостатъците на системата за киберсигурност

Научно-практическо списание. ISSN 1995-5731

сигурност държавни организациипо-вероятно да ги направи уязвими за атаки от хакери, което води до необходимостта от повече ресурси за тяхното отблъскване и предотвратяване.

Най-големият проблем при осигуряването на сътрудничеството и обмена на информация, свързана със сигурността между държавните агенции и корпорациите, Гордън и Льоб смятат проблема за „свободното каране“ (//tee-^et). Изглежда, че тъй като сигурността компютърни мрежизависи от действията на всеки участник, подобно сътрудничество е най-добрият начин за повишаване на ефективността на средствата, изразходвани за киберсигурност. Успешният обмен на информация и опит в областта на киберсигурността би могъл да направи възможно координирането на подобни дейности на национално и международно ниво. Но в действителност страхът на фирмата от загуба на конкурентни предимства чрез участие в такова мрежово сътрудничество и предоставяне на пълна информация за себе си води до

от предоставяне пълна информация. Само развитието на публично-частно партньорство, основано на въвеждането на достатъчно значими икономически стимули, може да промени ситуацията тук.

По този начин институционалният механизъм за осигуряване на информационната сигурност на държавата включва формирането на законодателни основи и институционални структури, които го осигуряват. Да се ​​усъвършенства институционалният механизъм и да се формира нова архитектура на икономическата сигурност в условията на информационна икономикапредложена е система от мерки, включващи: преодоляване на декларативния характер на законодателството и стесняване на разрива между законодателството и практиката в информационната сфера, формиране на наднационално законодателство в информационната сфера, създаване на нови институции, които определят рамката за взаимодействие. и правила за поведение в интернет пространството.

Библиографски списък (препратки)

1. Иншаков О.В., Лебедева Н.Н. Икономически и институционални механизми: корелация и взаимодействие в условията на социална и пазарна трансформация на руската икономика // Бюлетин на Санкт Петербург. състояние unta. сер. 5. 2008 г. Бр. 4 (№ 16).

2. Дзлиев М.И., Романович А.Л., Урсул А.Д. Проблеми на безопасността: теоретични и методологически аспекти. М., 2001.

3. Атаманов Г. А. Информационна сигурност в модерното руското общество(социално-философски аспект): дис. ... канд. философия науки. Волгоград, 2006.

4. Кононов А. А., Смолян Г. Л. Информационно общество: общество на тотален риск или общество на гарантирана сигурност? // Информационно общество. 2002. № 1.

1. Иншаков О.В., Лебедева Н.Н. (2008) Khozyaystvennyy i institutional "nyy khaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial" no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. гос. unta. сер. 5. Vyp. 4 (№ 16).

2. Дзлиев М.И., Романович А.Л., Урсул А.Д. (2001) Проблеми на безопасността: теоретико-методологически аспекти. М.

3. Атаманов Г.А. (2006) Информационная безопасност" в съвременното руско об-щество (социален" но-философски аспект). Волгоград.

4. Кононов А.А., Смолян Г.Л. (2002) Информационное общество: общество тотален риск или общество гарантированной безопасности? // Информационное общество. № 1.

2. Антивирусна система ESET NOD 32 за защита от компютърни вируси.

Базите данни се актуализират редовно и работните станции се сканират.

3. Вграден Windows Backup за създаване на архиви.

OS Backup Wizard е програма, предназначена за бързо създаванеи възстановяване на резервно копие копия на Windows. Позволява ви да създадете копие на целия Windows или само на отделни файлове и папки.

4. Криптиране с 2048 битов ключ за vpn канал(връзка с офиса на управляващата компания за поща и работен процес).

Глава 2. Подобряване на НИС

2.1 Слабости в системата за информационна сигурност

Когато се анализират проблемите, свързани с информационната сигурност, е необходимо да се вземе предвид спецификата на този аспект на сигурността, която се състои в това, че информационната сигурност е неразделна част от информационните технологии - област, която се развива с безпрецедентни темпове. Тук не е толкова важно отделни решения(закони, курсове за обучение, софтуерни и хардуерни продукти), които са на съвременно ниво, колко механизми за генериране на нови решения, които ви позволяват да живеете с темпото на техническия прогрес.

Съвременни технологиипрограмирането не ви позволява да създавате програми без грешки, което не допринася за бързото развитие на инструментите за информационна сигурност.

След като анализираме информационната сигурност на предприятието, можем да заключим, че не се обръща достатъчно внимание на информационната сигурност:

Липса на пароли за достъп до системата;

Липсата на пароли при работа с програмата с 1C: Enterprise, при промяна на данни;

Няма допълнителна защита на файлове и информация (няма елементарна заявка за парола при отваряне или промяна на информация във файлове, да не говорим за инструменти за криптиране на данни);

Нередовно обновяване на базите данни на антивирусната програма и сканиране на работни станции;

Голям брой документи на хартиен носител са предимно в папки (понякога без тях) на работния плот на служителя, което позволява на нападателите лесно да използват този вид информация за свои цели;

Няма редовно обсъждане на проблемите на информационната сигурност в предприятието и възникващите проблеми в тази област;

Няма редовни проверки на ефективността информационни системипредприятия, отстраняването на грешки се извършва само когато се провалят;

Липса на политика за информационна сигурност;

Липса на системен администратор.

Всички горепосочени са много важни недостатъци при осигуряването на информационната сигурност на предприятието.

2.2 Предназначение и задачи на системата за информационна сигурност

Информационна сигурност - състоянието на сигурността информационни ресурсив компютърни мрежи и корпоративни системи от неоторизиран достъп, случайна или умишлена намеса в нормалното функциониране на системите, опити за унищожаване на нейните компоненти.

Цели на информационната сигурност:

предотвратяване на заплахи за сигурността на предприятието поради неразрешени действия за унищожаване, модифициране, изкривяване, копиране, блокиране на информация или други форми на незаконна намеса в информационни ресурси и информационни системи;

запазване на търговски тайни, обработвани с помощта на средства Информатика;

защита на конституционните права на гражданите за опазване на личната тайна и поверителността на личните данни, налични в информационните системи.

За постигане на целите на защитата трябва да се осигури ефективно решаване на следните задачи:

Защита от намеса в процеса на функциониране на предприятието от неоторизирани лица;

защита срещу неразрешени действия с информационните ресурси на предприятието от неупълномощени лица и служители, които нямат съответните правомощия;

Осигуряване на пълнота, надеждност и ефективност на информационното осигуряване на осиновяването управленски решенияуправление на предприятието;

Осигуряване на физическата безопасност на техническите средства и софтуерпредприятията и тяхната защита от действието на техногенни и природни източници на заплахи;

регистриране на събития, засягащи сигурността на информацията, осигуряване на пълен контрол и отчетност на изпълнението на всички операции, извършвани в предприятието;

своевременно идентифициране, оценка и прогнозиране на източници на заплахи за информационната сигурност, причини и условия, които допринасят за увреждане на интересите на субектите, нарушаване на нормалното функциониране и развитие на предприятието;

анализ на рисковете от прилагането на заплахи за информационната сигурност и оценка на възможните щети, предотвратяване на неприемливи последици от нарушение на информационната сигурност на предприятието, създаване на условия за минимизиране и локализиране на причинените щети;

Осигуряване на възможност за възстановяване на текущото състояние на предприятието в случай на нарушаване на информационната сигурност и отстраняване на последствията от тези нарушения;

· Създаване и формиране на целенасочена политика за информационна сигурност на предприятието.

2.3 Мерки и средства за подобряване на системата за информационна сигурност

За постигане на поставените цели и решаване на проблеми е необходимо да се извършват дейности на нивата на информационна сигурност.

Административно ниво на информационна сигурност.

За да се създаде система за информационна сигурност, е необходимо да се разработи и утвърди политика за информационна сигурност.

Политиката за сигурност е набор от закони, правила и норми на поведение, насочени към защита на информацията и свързаните с нея ресурси.

Трябва да се отбележи, че политиката, която се разработва, трябва да бъде в съответствие със съществуващите закони и разпоредби, свързани с организацията, т.е. тези закони и разпоредби трябва да бъдат идентифицирани и взети предвид при разработването на политиката.

Колкото по-надеждна е системата, толкова по-строга и разнообразна трябва да бъде политиката за сигурност.

В зависимост от формулираната политика можете да изберете конкретни механизми, които гарантират сигурността на системата.

Организационно ниво на защита на информацията.

Въз основа на недостатъците, описани в предишния раздел, могат да бъдат предложени следните мерки за подобряване на информационната сигурност:

Организация на работа за обучение на персонала в умения за работа с нови софтуерни продуктис участието на квалифицирани специалисти;

Разработване на необходимите мерки, насочени към подобряване на системата за икономическа, социална и информационна сигурност на предприятието.

Осигурете обучение, така че всеки служител да е наясно с важността и поверителността на поверената му информация, тъй като по правило причината за разкриването на поверителна информация е недостатъчно познаване от страна на служителите на правилата за защита на търговските тайни и неразбиране (или неразбиране) на необходимостта от тяхното внимателно спазване.

Строг контрол върху спазването от служителите на правилата за работа с поверителна информация;

Контрол на спазването на правилата за съхранение на работната документация на служителите на предприятието;

Планирани срещи, семинари, дискусии по проблемите на корпоративната информационна сигурност;

Редовна (планова) проверка и поддръжка на всички информационни системи и информационна инфраструктура за работоспособност.

Назначаване на постоянен системен администратор.

Софтуерни и хардуерни мерки за защита на информацията.

Софтуерът и хардуерът са едни от най-важните компоненти при внедряването защита на информациятаСледователно, за да се повиши нивото на защита на информацията, е необходимо да се въведат и прилагат следните мерки:

Въвеждане на потребителски пароли;

За да регулирате достъпа на потребителите до информационните ресурси на предприятието, трябва да въведете списък с потребители, които ще влязат в системата под тяхното влизане. Използване на ОС Windows сървър 2003 Std, инсталиран на сървъра, можете да създадете списък с потребители със съответните пароли. Раздайте пароли на служителите с подходящи инструкции за използването им. Трябва също така да въведете датата на изтичане на паролата, след което потребителят ще бъде подканен да промени паролата. Ограничете броя на опитите за влизане с неправилна парола (например до три).

Въвеждане на заявка за парола в програмата 1C: Enterprise при работа с база данни, при промяна на данни. Това може да стане с помощта на компютърни софтуерни инструменти и софтуер.

Разграничаване на достъпа до файлове, директории, дискове.

Разграничаването на достъпа до файлове и директории ще се извършва от системния администратор, който ще разрешава достъп до съответните дискове, папки и файлове за всеки потребител конкретно.

Редовно сканиране на работните станции и актуализиране на базите данни на антивирусните програми.

Позволява ви да откриете и неутрализирате зловреден софтуерпремахване на причините за инфекцията. Необходимо е да се извърши инсталиране, конфигуриране и поддръжка на инструменти и системи антивирусна защита.

За да направите това, трябва да конфигурирате антивирусната програма да сканира редовно вашия компютър и редовно да актуализира базите данни от сървъра.

Инсталиране на защитната стена Agnitum Outpost FireWall на сървърния компютър, която блокира атаки от интернет.

Предимства от използването на Agnitum Outpost FireWall:

¾ контролира връзките на вашия компютър с други, като блокира хакери и предотвратява неоторизиран външен и вътрешен мрежов достъп.

Предприетите защитни мерки трябва да бъдат адекватни на вероятността за изпълнение от този типзаплахата и потенциалните щети, които могат да бъдат причинени, ако заплахата се материализира (включително разходите за защита срещу нея).

Трябва да се има предвид, че много мерки за защита изискват достатъчно големи изчислителни ресурси, което от своя страна значително влияе върху процеса на обработка на информацията. Следователно съвременният подход за решаване на този проблем е прилагането на принципите на ситуационното управление на сигурността на информационните ресурси в автоматизираните системи за управление. Същността на този подход се състои в това, че необходимото ниво на информационна сигурност се задава в съответствие със ситуацията, която определя съотношението между стойността на обработваната информация, разходите (намаляване на производителността на автоматизираните системи за управление, допълнителни оперативна памети др.), които са необходими за постигане на това ниво, и възможните общи загуби (материални, морални и т.н.) от изкривяването и неразрешеното използване на информацията.

Необходимите характеристики на защитата на информационните ресурси се определят в хода на ситуационното планиране по време на непосредствената подготовка на технологичния процес за сигурна обработка на информация, като се вземе предвид текущата ситуация, а също и (в намален обем) по време на процеса на обработка. При избора на защитни мерки трябва да се вземат предвид не само преките разходи за закупуване на оборудване и програми, но и разходите за въвеждане на нови продукти, обучение и преквалификация на персонала. Важно обстоятелство е съвместимостта на новото средство със съществуващата хардуерна и софтуерна структура на обекта.

Чуждестранният опит в областта на защитата на интелектуалната собственост и вътрешният опит в защитата на държавната тайна показват само това цялостна защита, който съчетава такива области на защита като правна, организационна и инженерна.

Правно направлениепредвижда формирането на набор от законодателни актове, регулаторни документи, наредби, инструкции, насоки, чиито изисквания са задължителни в рамките на тяхната дейност в системата за информационна сигурност.

Организационно направление- това е регулирането на производствените дейности и отношенията на изпълнителите на правна основа по такъв начин, че разкриването, изтичането и неоторизираният достъп до поверителна информация стават невъзможни или значително затруднени от организационни мерки.

Според експертите организационните мерки играят важна роля за създаването на надежден механизъм за защита на информацията, тъй като възможността за неоторизирано използване на поверителна информация до голяма степен се дължи не на технически аспекти, а на злонамерени действия, небрежност, небрежност и небрежност на потребителите или сигурността персонал.

Организационните дейности включват:

Извършвани дейности по проектиране, изграждане и оборудване на офисни и производствени сгради и помещения;

Извършвани дейности по подбор на персонал;

Организиране и поддържане на надежден контрол на достъпа, охрана на помещения и територия, контрол на посетителите;

Организация на съхранението и използването на документи и носители на поверителна информация;

Организация на информационната сигурност;

Организиране на редовно обучение на служителите.

Един от основните компоненти на организационната информационна сигурност на компанията е Службата за информационна сигурност (ИСС - органът за управление на системата за информационна сигурност). Това е от професионалната подготовка на служителите на службите за информационна сигурност, присъствието в техния арсенал модерни средстваУправлението на сигурността до голяма степен зависи от ефективността на мерките за защита на информацията. Структурата, числеността и състава на персонала се определят от реалните нужди на фирмата, степента на конфиденциалност на нейната информация и общото състояние на сигурността.

Основната цел на функционирането на ISS, използвайки организационни мерки и софтуер и хардуер, е да се избегне или поне да се сведе до минимум възможността за нарушаване на политиката за сигурност, като крайна мярка, да се забележат и отстранят навреме последствията от нарушението.

За да се осигури успешната работа на ШИС, е необходимо да се определят нейните права и задължения, както и правилата за взаимодействие с други звена по въпросите на защитата на информацията в съоръжението. Броят на услугите трябва да е достатъчен, за да изпълнява всички функции, които са му възложени. Желателно е служителите на службата да нямат задължения, свързани с функционирането на обекта на охрана. Службата за информационна сигурност трябва да разполага с всички условия, необходими за изпълнение на своите функции.

сърцевина инженерно-техническо направлениеса софтуерни и хардуерни средства за информационна сигурност, които включват механични, електромеханични, електронни, оптични, лазерни, радио и радиотехнически, радарни и други устройства, системи и структури, предназначени да гарантират сигурността и защитата на информацията.

Под софтуер за информационна сигурност се разбира набор от специални програми, реализиращи функциите по защита на информацията и режима на работа.

Формираният набор от правни, организационни и инженерни мерки води до подходяща политика за сигурност.

Политиката за сигурност определя външния вид на системата за информационна сигурност под формата на набор от правни норми, организационни (правни) мерки, набор от софтуерни и хардуерни инструменти и процедурни решения, насочени към противодействие на заплахите за премахване или минимизиране на възможните последици от информацията. въздействия. След приемането на една или друга версия на политиката за сигурност е необходимо да се оцени нивото на сигурност на информационната система. Разбира се, оценката на сигурността се извършва по набор от показатели, основните от които са цена, ефективност и осъществимост.

Оценката на възможностите за изграждане на система за информационна сигурност е доста сложна задача, изискваща използването на съвременни математически методи за многопараметрична оценка на ефективността. Те включват: метода за анализ на йерархиите, експертните методи, метода на последователните отстъпки и редица други.

При предприемане на предвидените мерки е необходимо да се провери тяхната ефективност, тоест да се увери, че остатъчните рискове са станали приемливи. Едва тогава може да се определи датата на следващата преоценка. В противен случай ще трябва да анализирате допуснатите грешки и да проведете втора сесия за анализ на уязвимостта, като вземете предвид промените в системата за защита.

Генерираният възможен сценарий на действията на нарушителя изисква проверка на системата за сигурност на информацията. Този тест се нарича "тест за проникване". Целта е да се осигури увереност, че няма лесни начини за неоторизиран потребител да заобиколи механизмите за сигурност.

Един от възможни начиниатестации за сигурност на системата - приканване на хакери да хакнат без предварително уведомяване на мрежовия персонал. За целта се отделя група от двама или трима души с висока професионална подготовка. На хакерите е предоставена защитена автоматизирана система и групата се опитва да открие уязвимости в продължение на 1-3 месеца и да разработи тестови инструменти въз основа на тях, за да заобиколи защитните механизми. Наетите хакери представят поверителен доклад за резултатите от работата с оценка на нивото на достъпност на информацията и препоръки за подобряване на защитата.

Заедно с този метод се използват инструменти за тестване на софтуер.

На сцената изготвяне на план за защитав съответствие с избраната политика за сигурност се разработва план за нейното прилагане. Планът за защита е документ, който въвежда в действие системата за защита на информацията, която се утвърждава от ръководителя на организацията. Планирането не е само за най-добра употребавсички възможности, с които разполага дружеството, включително разпределените ресурси, но и с предотвратяване на погрешни действия, които биха могли да доведат до намаляване на ефективността на предприетите мерки за защита на информацията.

Планът за сигурност на информацията на сайта трябва да включва:

Описание на защитената система (основните характеристики на защитения обект: предназначение на обекта, списък от задачи, които трябва да бъдат решени, конфигурация, характеристики и разположение на хардуера и софтуера, списък с категории информация (пакети, файлове, набори и бази данни, в които те се съдържат), които трябва да бъдат защитени, и изисквания за осигуряване на достъп, поверителност, цялост на тези категории информация, списък на потребителите и техните права за достъп до системните ресурси и др.);

Целта на защитата на системата и начините за осигуряване сигурността на автоматизираната система и информацията, циркулираща в нея;

Списък на значителни заплахи за сигурността на автоматизирана система, от които се изисква защита, и най-вероятните начини за причиняване на щети;

Политика за информационна сигурност;

План за финансиране и функционална диаграмасистеми за информационна сигурност в обекта;

Спецификация на средствата за информационна сигурност и оценка на разходите за внедряването им;

Календарен план за провеждане на организационни и технически мерки за защита на информацията, процедурата за въвеждане в действие на средствата за защита;

Основни правила, регулиращи дейността на персонала по въпросите на осигуряването на информационната сигурност на съоръжението (специални задължения на служителите, обслужващи автоматизираната система);

Процедурата за преглед на плана и надграждане на средствата за защита.

Планът за защита се преразглежда, когато се променят следните компоненти на обекта:

Архитектури на информационни системи (свързване на други локални мрежи, промяна или модифициране на използваното компютърно оборудване или софтуер);

Териториалното разположение на компонентите на автоматизираната система.

Като част от плана за защита е необходимо да има план за действие за персонала в критични ситуации, т.е. план за доставка непрекъсната работа и възстановяване на информация. Той отразява:

Целта е да се осигури непрекъснатост на процеса на функциониране на автоматизираната система, възстановяване на нейната ефективност и начини за постигането му;

Списък и класификация на възможните кризисни ситуации;

Изисквания, мерки и средства за осигуряване на непрекъсната работа и възстановяване на процеса на обработка на информация (процедурата за създаване, съхраняване и използване резервни копияинформация, поддържане на текущи, дълготрайни и спешни архиви; състава на резервната техника и реда за нейното използване и др.);

Отговорности и ред за действия на различни категории персонал на системата в кризисни ситуации, при ликвидиране на последствията от тях, минимизиране на причинените щети и при възстановяване на нормалното функциониране на системата.

Ако една организация обменя електронни документис партньори при изпълнение на единични поръчки е необходимо в плана за защита да се включи споразумение относно процедурата за организиране на обмена на електронни документи, което отразява следните въпроси:

Разделяне на отговорността на субектите, участващи в процесите на обмен на електронни документи;

Определяне на реда за подготовка, изпълнение, предаване, приемане, проверка на автентичността и целостта на електронни документи;

Процедурата за генериране, сертифициране и разпространение на ключова информация (ключове, пароли и др.);

Процедурата за разрешаване на спорове в случай на конфликти.

Планът за информационна сигурност е пакет от текстови и графични документи, следователно, заедно с горните компоненти на този пакет, той може да включва:

Наредба за търговската тайна, определяща списъка на информацията, представляваща търговска тайна, и процедурата за нейното определяне, както и задълженията на длъжностните лица за защита на търговската тайна;

Правилник за защита на информацията, който регламентира всички области на дейност за прилагане на политиката за сигурност, както и редица допълнителни инструкции, правила, разпоредби, които съответстват на спецификата на обекта на защита.

Изпълнение на плана за защита (управление на системата за защита)включва разработване на необходимите документи, сключване на договори с доставчици, инсталиране и конфигуриране на оборудване и др. След формирането на системата за информационна сигурност се решава задачата за нейното ефективно използване, т.е. управление на сигурността.

Управлението е процес на целенасочено въздействие върху даден обект, осъществяван за организиране на функционирането му по зададена програма.

Управлението на информационната сигурност трябва да бъде:

Устойчив на активна намеса от нарушителя;

Непрекъснато, осигуряващо постоянно въздействие върху процеса на защита;

Скрита, непозволяваща разкриване на организацията на управление на информационната сигурност;

Оперативен, осигуряващ възможност за навременна и адекватна реакция на действията на нарушителите и изпълнение на управленски решения до определена дата.

Освен това решенията за информационна сигурност трябва да бъдат обосновани по отношение на цялостното разглеждане на условията за изпълнение на задачата, приложението различни модели, изчислителни и информационни задачи, експертни системи, опит и всякакви други данни, които повишават надеждността на първоначалната информация и решения.

Индикатор за ефективността на управлението на информационната сигурност е времето на контролния цикъл за дадено качество на решенията. Цикълът на управление включва събиране на необходимата информация за оценка на ситуацията, вземане на решения, формиране на подходящи команди и тяхното изпълнение. Като критерий за ефективност може да се използва времето за реакция на системата за информационна сигурност при нарушение, което не трябва да надвишава времето за остаряване на информацията въз основа на нейната стойност.

Както показва развитието на реални автоматизирани системи за управление, нито един от методите (мерки, средства и дейности) за осигуряване на информационна сигурност не е абсолютно надежден и максимален ефект се постига, когато всички те са комбинирани в интегрална система за защита на информацията. Само оптималната комбинация от организационни, технически и програмни мерки, както и постоянното внимание и контрол върху поддържането на системата за защита актуална ще позволи да се осигури решаването на постоянна задача с най-голяма ефективност.

Методологичните основи за осигуряване на информационна сигурност са доста общи препоръки, базирани на световния опит в създаването подобни системи. Задачата на всеки специалист по информационна сигурност е да адаптира абстрактните разпоредби към своята конкретна предметна област (организация, банка), която винаги има своите особености и тънкости.

Анализът на вътрешния и чуждестранния опит убедително доказва необходимостта от създаване на интегрирана система за информационна сигурност за компания, която свързва оперативни, оперативни, технически и организационни мерки за защита. Освен това системата за сигурност трябва да бъде оптимална от гледна точка на съотношението на разходите и стойността на защитените ресурси. Системата се нуждае от гъвкавост и адаптация към бързо променящите се фактори на околната среда, организационни и социални условия в институцията. Невъзможно е да се постигне такова ниво на сигурност без анализ на съществуващите заплахи и възможни канали за изтичане на информация, както и без разработване на политика за информационна сигурност в предприятието. В резултат на това трябва да се създаде план за защита, който прилага принципите, заложени в политиката за сигурност.

Но има и други трудности и „подводни камъни“, на които определено трябва да обърнете внимание. Това са проблеми, които са идентифицирани в практиката и слабо подлежат на формализиране: проблеми от социален и политически характер, които не са от технически или технологичен характер, които се решават по един или друг начин.

Проблем 1.Липса на разбиране сред служителите и мениджърите от среден и нисък ранг за необходимостта да се работи за подобряване на нивото на информационна сигурност.

На това стъпало на управленската стълбица по правило не се виждат стратегическите задачи, които стоят пред организацията. В същото време проблемите със сигурността могат дори да предизвикат раздразнение - те създават "ненужни" трудности.

Често се изтъкват следните аргументи срещу работата и предприемането на мерки за осигуряване на информационна сигурност:

Появата на допълнителни ограничения за крайни потребители и специалисти от отдели, което ги затруднява при използването на автоматизираната организационна система;

Необходимостта от допълнителни материални разходи както за извършване на такава работа, така и за разширяване на персонала от специалисти, занимаващи се с проблема с информационната сигурност.

Този проблем е един от основните. Всички други въпроси по един или друг начин действат като негови последствия. За преодоляването му е важно да се решат следните задачи: първо, повишаване на квалификацията на персонала в областта на информационната сигурност чрез провеждане на специални срещи и семинари; второ, да се повиши нивото на информираност на персонала, по-специално относно стратегическите задачи, пред които е изправена организацията.

Проблем 2Конфронтация между службата за автоматизация и службата за сигурност на организациите.

Този проблем се дължи на вида на дейността и сферата на влияние, както и на отговорността на тези структури в предприятието. Изпълнението на системата за защита е в ръцете на технически специалисти, а отговорността за нейната сигурност е на службата за сигурност. Специалистите по сигурността искат да ограничат на всяка цена с помощта на защитни стеницелия трафик. Но хората, които работят в отделите за автоматизация, не желаят да се справят с допълнителните проблеми, свързани с поддръжката на специални инструменти. Такива разногласия нямат най-добър ефект върху нивото на сигурност на цялата организация.

Този проблем, както повечето подобни, се решава с чисто управленски методи. Важно е, на първо място, в организационната структура на компанията да има механизъм за разрешаване на подобни спорове. Например и двете услуги могат да имат един шеф, който ще решава проблемите на тяхното взаимодействие. Второ, технологичната и организационна документация трябва ясно и компетентно да разделят сферите на влияние и отговорност на отделите.

Проблем 3.Лични амбиции и взаимоотношения на ниво среден и висш мениджър.

Отношенията между лидерите могат да бъдат различни. Понякога, когато извършват работа по изучаване на информационната сигурност, един или друг служител проявява свръхинтерес към резултатите от тези работи. Наистина изследванията са достатъчно мощен инструмент за решаване на техните конкретни проблеми и задоволяване на амбициите им. Заключенията и препоръките, записани в доклада, се използват като план за по-нататъшни действия на едно или друго звено. Възможна е и „свободна“ интерпретация на заключенията на доклада в комбинация с проблем 5, описан по-долу. Тази ситуация е изключително нежелан фактор, тъй като изкривява смисъла на работата и изисква своевременно идентифициране и елиминиране на ниво висше ръководство на предприятието. Най-добър вариантбизнес отношенията са, когато интересите на организацията са поставени на преден план, а не лични.

Проблем 4.Ниска степен на изпълнение на планираната програма за действие за създаване на система за информационна сигурност.

Това е доста банална ситуация, когато стратегическите цели и задачи се губят на ниво изпълнение. Всичко може да започне перфектно. Генералният директор взема решение относно необходимостта от подобряване на системата за информационна сигурност. Наема се независима консултантска фирма за одит на съществуващата система за информационна сигурност. След завършване се генерира отчет, който включва всички необходими препоръки за защита на информацията, финализиране на съществуващия работен процес в областта на информационната сигурност, въвеждане на технически средства за защита на информацията и организационни мерки и допълнителна поддръжка на създадената система. Планът за защита включва краткосрочни и дългосрочни мерки. Допълнителни препоръки се прехвърлят за изпълнение в един от отделите. И тук е важно те да не се удавят в блатото на бюрокрацията, личните амбиции, мудността на персонала и дузина други причини. Изпълнителят може да е зле информиран, недостатъчно компетентен или просто да не се интересува от извършването на работата. Важно е изпълнителният директор да следи изпълнението на планирания план, за да не загуби, първо, средствата, инвестирани в сигурност в началния етап, и второ, за да не претърпи загуби в резултат на липсата на тази сигурност. .

Проблем 5.Ниска квалификация на специалистите по информационна сигурност.

Този аспект не може да се счита за сериозна пречка, ако не е пречка за създаването на система за информационна сигурност. Факт е, че планът за защита като правило включва такова събитие като повишаване на квалификацията на специалисти в областта на защитата на информацията в компанията. Могат да се провеждат семинари по основи на организацията на информационната сигурност за специалисти от други служби. Необходимо е правилно да се оцени реалната квалификация на служителите, участващи в изпълнението на плана за защита. Често неправилните заключения или невъзможността за прилагане на методи за защита на практика водят до трудности при прилагането на препоръчаните мерки. С намек за такива обстоятелства най-правилният изход би бил да се подобрят уменията на специалистите по информационна сигурност в центрове за обучение, специално създадени за това.

По този начин практическите дейности в областта на подобряването на икономическата и информационната сигурност ясно показват, че създаването на реална система за информационна сигурност е силно зависима от навременното решаване на тези проблеми. Но натрупаният опит показва, че всички разглеждани въпроси могат да бъдат успешно решени при условие на тясно сътрудничество. съвместна работапредставители на клиента и фирмата изпълнител. Основното е да осъзнаете важността на извършването на такава работа, да идентифицирате навреме съществуващите заплахи и да приложите адекватни мерки за противодействие, които по правило са специфични за всяко конкретно предприятие. Наличието на желание и възможности е достатъчно условие за ползотворна работа, чиято цел би била създаването на интегрирана система за осигуряване на сигурността на организацията.

Предишен

Най-уязвимото място в системата за сигурност може да се нарече служители на предприятието и софтуер и хардуер. По-специално, не го прави архивиранеданни на персонални компютри, когато оборудването се повреди, някои важни данни могат да бъдат загубени; актуализацията не работи операционна система MS Windows XP и използвания софтуер, което може да доведе до неоторизиран достъп до информация, съхранена на компютъра, или нейното увреждане поради грешки в софтуера; достъпът на служителите до интернет ресурси не се контролира, което може да доведе до изтичане на данни; бизнес имейл кореспонденцияпровеждани през интернет чрез незащитени канали, съобщения електронна пощасъхранявани на сървъри на пощенски услуги в Интернет; някои служители нямат достатъчно умения за работа с автоматизирани системи, използвани в академията, което може да доведе до появяване на некоректни данни в системата; служителите имат достъп до персонални компютривашите колеги, което по невнимание може да доведе до загуба на данни; всички членове на факултета имат достъп до архива, в резултат на което някои лични файлове могат да бъдат загубени или търсенето им да отнеме много време; липсва регламентипо сигурността.

Основната цел на системата за информационна сигурност е да осигури стабилна работа на съоръжението, да предотврати заплахи за неговата сигурност, да защити законните интереси на предприятието от незаконни посегателства, да предотврати разкриването, загубата, изтичането, изкривяването и унищожаването на служебна информация и лична информация, осигуряваща нормалната производствена дейност на всички звена на обекта.

Друга цел на системата за информационна сигурност е подобряване качеството на предоставяните услуги и гаранциите за сигурност.

Задачите на формиране на система за информационна сигурност в организацията са: целостта на информацията, надеждността на информацията и нейната поверителност. Когато задачите са изпълнени, целта ще бъде реализирана.

Създаването на системи за информационна сигурност в ИС и ИТ се основава на следните принципи:

Систематичен подход за изграждане на система за защита, което означава оптимална комбинация от взаимосвързани организационни, софтуерни, хардуерни, физически и други свойства, потвърдени от практиката на създаване на вътрешни и чуждестранни системи за защита и използвани на всички етапи от технологичния цикъл на обработка на информация .

Принципът на непрекъснато развитие на системата. Този принцип, който е един от основните за компютърните информационни системи, е още по-актуален за НИС. Начините за прилагане на заплахи за информацията в ИТ непрекъснато се подобряват и следователно гарантирането на сигурността на IP не може да бъде еднократен акт. Това е непрекъснат процес, който се състои в обосноваване и прилагане на най-рационалните методи, методи и начини за подобряване на МКС, непрекъснато наблюдение, идентифициране на неговите пречки и слабости, потенциални канали за изтичане на информация и нови методи за неоторизиран достъп.

Разделяне и минимизиране на правомощията за достъп до обработваната информация и процедурите за обработка, т.е. предоставяне както на потребителите, така и на служителите на ИС на минимум строго определени правомощия, достатъчни за изпълнение на служебните им задължения.

Пълнота на контрола и регистриране на опити за неоторизиран достъп, т.е. необходимостта от точно установяване на самоличността на всеки потребител и записване на неговите действия за евентуално разследване, както и невъзможността за извършване на каквато и да е операция по обработка на информация в ИТ без неговата предварителна регистрация.

Осигуряване на надеждността на защитната система, т.е. невъзможността за намаляване на нивото на надеждност в случай на повреди, повреди, умишлени действия на хакер или неволни грешки на потребителите и персонала по поддръжката в системата.

Осигуряване на контрол върху функционирането на системата за защита, т.е. създаване на средства и методи за наблюдение на работата на защитните механизми.

Предоставяне на всички видове инструменти за защита от зловреден софтуер.

Осигуряване на икономическа целесъобразност на използването на системата за защита, която се изразява в превишаването на възможните щети на ИС и ИТ от внедряването на заплахи над разходите за разработване и експлоатация на МКС.

КУРСОВИ ПРОЕКТ

на тема: "Подобряване на системата за информационна сигурност в предприятието LLC" Управляващо дружество "Ашатли"

Въведение

Темата за разработване на политика за информационна сигурност в предприятия, фирми и организации е актуална в съвременния свят. Информационната сигурност (на ниво предприятия и организации) е защитата на информацията и поддържащата инфраструктура от случайни или умишлени въздействия от естествен или изкуствен характер, които могат да причинят неприемлива вреда на субектите на информационните отношения.

Фирмата разполага с модерен локал компютърна мрежаи инсталиран необходимия софтуер, и има достъп до интернет. При наличието на такъв голям брой информационни ресурси е необходимо да има и политика за информационна сигурност. В това предприятие е необходимо да се подобри политиката за информационна сигурност, за да се минимизират заплахите за информационната сигурност, което е целта на този курсов проект. Заплаха за информационната сигурност е реално или потенциално действие, насочено към нарушаване на информационната сигурност, водещо до материални и морални щети.

1. Анализ на информационната сигурност на Ashatli Management Company LLC

1. Обща информация за организацията

Агрохолдинг "Ашатли" е динамично развиваща се, вертикално и хоризонтално интегрирана група от селскостопански компании, участник в проекта "Купете Перм!".

Агрохолдинг "Ашатли" е създаден през 2007 г. и днес има следните направления на дейност: млечно животновъдство, млекопреработка, растениевъдство, отглеждане на зеленчуци, салати и билки в оранжерии, хидропонно цветарство, както и търговия на дребно със земя и месо.

Едно от предимствата, като динамично развиващ се холдинг, е гъвкавият подход към спецификата на работа и желанията на клиентите. Специалистите на компанията са в състояние да извършват работа с почти всякакъв обем и сложност. Разнообразният трудов опит и професионализмът на служителите ни позволява да гарантираме изпълнението на всякакви задачи в рамките на договорения срок.

Местоположение LLC „Управляващо дружество „Ашатли“

614010, Русия, Пермска област, Перм, Комсомолски проспект, 70а

1.2 Характеристика на информационните ресурси на предприятието

Съгласно Федералния закон „За информацията, информационните технологии и защитата на информацията“ публично достъпната информация включва общоизвестна информация и друга информация, достъпът до която не е ограничен. Обществено достъпната информация може да се използва от всяко лице по тяхно усмотрение, при спазване на ограниченията, установени от федералните закони относно разпространението на такава информация.

В Ashatli Management Company LLC публичната информация е достъпна на уебсайта на компанията или може да бъде предоставена от мениджърите на кампанията. Тази информация включва:

информация, съдържаща се в устава на организацията.

Финансови отчети;

Състав на ръководството и др.;

Информация за наградите и търговете на кампанията;

Информация за свободни работни места и информация за броя и състава на служителите, за условията им на труд, за системата на заплащане;

Данни за контакт на мениджърите на кампанията;

Организацията разполага и с информация, чието използване и разпространение е ограничено от собственика им, т.е. организация. Такава информация се нарича защитена. Той включва информация, свързана с личния живот на служителите на организацията.

Следващият вид информация е информация, която е търговска тайна. Съгласно Федералния закон „За информацията, информационните технологии и защитата на информацията“, информацията, представляваща търговска тайна (производствена тайна), е информация от всякакъв характер (производствена, техническа, икономическа, организационна и други), включително резултатите от интелектуалната дейност в научната и техническата сфера, както и информация за методите за извършване на професионални дейности, които имат действителна или потенциална търговска стойност поради неизвестността им на трети лица, до които трети лица нямат свободен достъп на законово основание, по отношение на които собственикът на такава информация е въвел режим на търговска тайна (стр. 2, изменен с Федерален закон № 231-FZ от 18 декември 2006 г.)

Следната информация е класифицирана като търговска тайна в Ashatli Management Company LLC:

Информация за самоличността на работниците, домашни адреси.

Информация за клиенти, техните контактни и лични данни.

Информация за проектите, условията на договорите.

Информационните ресурси на дружеството включват документи и актове на хартиен носител, локална мрежа.

1.3 Заплахи за информационната сигурност, специфични за това предприятие

Под заплаха за информационната сигурност се разбира потенциалната възможност за нарушаване на основните качества или свойства на информацията - достъпност, цялостност и поверителност. Основният вид заплаха за информационната сигурност за тази компания може да се счита за неоторизиран достъп до информация, свързана с търговска тайна.

Според методите за въздействие върху обектите на информационната сигурност заплахите от значение за обществото са обект на следната класификация: информационни, софтуерни, физически, организационни и правни.

Информационните заплахи включват:

неоторизиран достъп до информационни ресурси;

кражба на информация от архиви и бази данни;

незаконно събиране и използване на информация;

Софтуерните заплахи включват:

компютърни вирусии зловреден софтуер;

Физическите заплахи включват:

унищожаване или унищожаване на средства за обработка на информация и комуникация;

кражба на носители за съхранение;

въздействие върху персонала;

Организационните и правните заплахи включват:

закупуване на несъвършени или остарели информационни технологии и средства за информатизация;

Предприятието LLC “UK “Ashatli” може да бъде изложено на такива информационни заплахи, като напр

Хакване на бази данни или неразрешено използване на търговска информация с цел прехвърляне на данни на конкуренти на предприятието, което може да повлияе неблагоприятно на дейността на предприятието и в краен случай да доведе до неговото разрушаване, ликвидация.

Разкриване на поверителна информация от служители, използването й за егоистични цели за печалба, тъй като много служители имат достъп до базата данни на 1C Trade Management.

Служителите на предприятието могат умишлено или случайно да повлияят на разпространението на информация, например чрез електронна поща,ICQи други цифрови средства за комуникация, които могат да повлияят негативно на репутацията на предприятието, тъй като имат достъп до информацията на организацията.

Една от най-често срещаните заплахи за информационната сигурност са повреди и повреди на софтуера, техническите средства на компанията, тъй като оборудването често се проваля дори и най-новото, а компанията може да бъде снабдена и с технически нискокачествено оборудване.

Ситуация на неоторизиран физически достъп до технически средства, които са източници на информация, както и кражба на носител с важна информация (флашка, външен твърд диск и др.) или само данни. Всъщност това е кражба на интелектуална собственост през мрежата или физическа кражба на медии.

Една от най-важните информационни заплахи са грешките на персонала на организацията. Пропуски в работата на мениджърите, нечестно изпълнение на задълженията им от консултанти могат да доведат до нарушаване на целостта на информацията, а също така могат да възникнат конфликтни ситуации с клиенти.

Софтуерните заплахи включват различни зловреден софтуер, загуба на пароли, несигурност на използвания софтуер, както и липсата на резервна система.

1.4 Мерки, методи и средства за защита на информацията, използвани в предприятието

Законодателното ниво на защита е набор от законодателни актове в областта на информацията и информационните технологии. Това ниво включва: Конституцията на Руската федерация, Гражданският кодекс на Руската федерация, Наказателният кодекс на Руската федерация, Федералният закон „За информацията, информационните технологии и защитата на информацията“ и др.

Административното ниво на защита на информацията е отразено в програмата IS. Основата на програмата е политиката за информационна сигурност - публикуван документ (набор от документи), който се приема от ръководството на организацията и е насочен към защита на информационните ресурси на тази организация. Тази организация не е разработила политика за информационна сигурност и това ниво на защита на информацията не е представено.

Мерките, използвани на процедурно ниво за защита на информацията в Ashatli Management Company LLC, включват факта, че преминаването в сградата се извършва само по предварителна уговорка и в сградата е инсталирана алармена система. Същото се сключен договор за охрана на помещения с извънведомствена охрана.

Помислете за инструментите за информационна сигурност, използвани в предприятието. Те са общо четири (хардуерни, софтуерни, смесени, организационни).

Обков за сигурност - брави, решетки, аларми, защити от пренапрежение, камери за видеонаблюдение.

Софтуерни защити: използват се инструменти на операционната система като защита, парола, акаунти.

Организационни средства за защита: подготовка на помещения с компютри.

На хардуерно и софтуерно ниво се предприемат следните мерки за защита на информацията:

• Използване на антивирусна програма на всички компютри (ESET NOD32 Business Edition NOD Antivirus 32)

  С помощта на вграден Windows инструментиза упълномощаване на компютърен потребител.

  Използването на специални влизания / пароли за оторизация в базата данни на 1C Trade Management.

2. Подобряване на системата за информационна сигурност

2.1 Слабости в системата за информационна сигурност

Някои от заплахите за сигурността на информацията, като неоторизиран достъп отвън, неправилна работа на софтуер или технически повреди, се неутрализират доста успешно чрез компетентна мрежова конфигурация и администрация, но няма мерки за предотвратяване на вътрешни заплахи.

В процеса на анализ на съществуващата система за информационна сигурност в Ashatli Management Company LLC бяха идентифицирани следните недостатъци:

Непълно използване на функционалността на 1C. Правата за достъп до данните в базата данни не са напълно разделени, както и паролите не отговарят на изискванията за сложност или някои служители просто не ги използват.

Няма ограничения за форматите и размерите на данните, предавани през интернет (*.т.т3,*. avi,*. rar) за определени служители.

Някои служители съхраняват поверителна информация в публични папки просто поради собственото си невнимание, а също така съхраняват потребителско име / парола от информационни системи, които изискват разрешение на лесно достъпни места на работния плот.

Информацията на хартия практически не е защитена, с изключение на най-важната. (Договори за заем, договори за наем, резултати от одит и др.)

2.2 Цели и задачи на формирането на системата за информационна сигурност в предприятието

Следователно можем да заключим, че има голяма нужда от подобряване на съществуващата система за информационна сигурност. Също така е необходимо внимателно да се защити клиентската база на кампанията, тъй като това е много важна информация, който не подлежи на разкриване на външни лица.

Служителите на кампанията често не осъзнават, че правилното организиране на целостта на базите данни и документи, поддържането им в ред пряко влияе върху бързината на компанията и съответно нейната конкурентоспособност, а оттам и нивото на техните заплати.

Най-голямата заплаха за функционалността на електронното счетоводство представляват различните вируси, които проникват в компютрите в мрежата през Интернет, както и възможността за достъп до електронни справочници и документи от неоторизирани лица.

Цели на информационната сигурност:

– предотвратяване на заплахи за сигурността на предприятието поради неразрешени действия за унищожаване, модифициране, изкривяване, копиране, блокиране на информация или други форми на незаконна намеса в информационни ресурси и информационни системи;

– съхраняване на търговски тайни, обработвани с помощта на компютърни технологии;

– защита на конституционните права на гражданите за опазване на личната тайна и поверителността на личните данни, налични в информационните системи.

Задачите на формиране на система за информационна сигурност в организацията са: целостта на информацията, надеждността на информацията и нейната поверителност. Когато задачите са изпълнени, целта ще бъде реализирана.

2.3 Предложени мерки за подобряване на системата за информационна сигурност на законодателно, административно, процедурно и софтуерно и хардуерно ниво

За отстраняване на установените недостатъци в системата за информационна сигурност на Ashatli Management Company LLC се предлага да се въведат следните мерки:

На законодателно ниво не се предвиждат промени за въвеждане на нови мерки за гарантиране на информационната сигурност.

Необходимо е да се въведат мерки на административно ниво в политиката за сигурност на фирмата. На административно ниво се предлага:

Създайте набор от инструкции за информационна сигурност в компанията за определени категории служители (промяна и съхраняване на пароли на недостъпни места, забрана на посещението на ресурси на трети страни и др.).

Предвидете редица мотивационни дейности за интерес на служителите към спазване на политиката за сигурност, както и наказания за грубо нарушаване на политиката за сигурност на компанията. (бонуси и неустойки)

За подобряване на системата за сигурност на процесуално ниво се предлага следната поредица от мерки:

Ограничете достъпа на неоторизирани лица до определени отдели на компанията.

Провеждане на поредица от консултации със служители на организацията по въпросите на информационната сигурност и инструкции за спазване на политиката за сигурност.

На хардуерно и софтуерно ниво се предлага въвеждането на следните мерки:

Задължете всички служители да използват пароли за достъп до базата данни 1C и по-внимателно ограничете достъпа до определени данни от базата данни (директории, документи и отчети) на всички служители.

Необходимо е да промените всички стандартни потребителски имена и пароли за достъп доADSL-Рутер, необходимо е паролите да отговарят на нивото на сложност.

Въведете ограничения върху файловите формати и размерите на файловете, предавани по интернет на отделни служители, като създадете филтри вESETNOD32 бизнесиздание

Така взехме решение за промените в съществуваща системаинформационна сигурност на LLC "MC "Ashatli". Сред тези промени ключът е работата с персонала, тъй като без значение какъв перфектен софтуер за информационна сигурност е внедрен, въпреки това цялата работа с тях се извършва от персонала и основните повреди в системата за сигурност на организацията обикновено се причиняват от персонала. Правилно мотивираният, ориентиран към резултатите персонал вече е половината от това, което е необходимо за ефективната работа на всяка система.

2.4 Ефективност на предложените дейности

Най-важното предимство на актуализираната система за сигурност в Ashatli Management Company LLC са промените в персонала. Повечето от проблемите в съществуващата система за сигурност са причинени от персонала.

Ползи от използванетоESET NOD32 Business Edition:

Разширяемо решение

• фокусиран върху предприятия от 5 до 100 000 компютъра в една структура

  инсталиран както на сървър, така и на работни станции

Съвременни технологии

• проактивна защита срещу неизвестни заплахи

  прилагане на интелигентни технологии, комбиниращи евристични и сигнатурни методи за откриване

  актуализирано евристично ядро ​​ThreatSense™

  редовен автоматична актуализациябази за подписи

Филтриране на имейл и уеб съдържание

• пълно сканиране на цялата входяща поща чрез протоколи POP3 и POP3s

  сканиране на входящи и изходящи имейли

  подробен отчет за открит зловреден софтуер

  пълна интеграция в популярни пощенски клиенти: Microsoft Outlook, Outlook Express, Windows Mail, Windows LiveДанните на Mail, Mozilla Thunderbird и The Bat! няма да бъдат заети с предаване на външна информация.

  Централизирано управление

  С разтвор ESET Remote Administrator можете дистанционно да инсталирате и деинсталирате софтуерни продукти ESET , контролират работата на антивирусния софтуер, създават сървъри в мрежата за локална актуализацияпродукти ESET ("огледала"), позволяващи значително намаляване на външния интернет трафик.

Удобни отчети

• ESET NOD 32 Бизнес издание автоматично генерира отчет за открити заразени обекти, изпратени в карантина, за динамиката на заплахи, събития, сканирания, задачи, могат да се генерират различни комбинирани отчети и др. Възможно е да се изпращат предупреждения и съобщения чрез протокола SMTP или чрез диспечера на съобщенията.

Висококачествена антивирусна програма мрежова защитаще избегне смущения в работата на компютрите, това е особено важно за работните места на мениджъри и консултанти. Подобни подобрения ще се отразят на надеждността на кампанията като бизнес партньор за много клиенти, което ще има благоприятен ефект върху имиджа на кампанията, както и нейните приходи. Автоматичното архивиране на информацията ще гарантира нейната цялост и безопасност, а архивирането ще осигури възможност за бързо възстановяване при необходими ситуации.

3. Модел на информационна сигурност

Представеният модел на информационна сигурност е съвкупност от обективни външни и вътрешни фактори и тяхното влияние върху състоянието на информационната сигурност на обекта и върху безопасността на материалните или информационните ресурси. Като обекти се считат материално-технически средства, лични данни, документи.

ЗАЩИТЕН ОБЕМKTY

ЗАЩИТЕНИ ОБЕКТИ

- лични данни на студентите f aculte;

Лични досиета на студенти;

Лични карти на учениците;

текущи документи;

Материално-технически ценности.

ЗАПЛАХИ СИГУРНОСТ

- кражба;

- неоторизиран достъп;

- нарушаване на целостта на информацията рмация;

Неизправности на софтуера и хардуера.

МЕТОДИ НА ЗАЩИТА

- регламенти;

- организационни, технически и охранителни мерки и способи;

- софтуер и хардуер оби;

Организационна защита.

ИЗТОЧНИЦИ НА ЗАПЛАХИ

- антропогенни източници (персонал, ученици, натрапници);

Техногенни източници (софтуер и хардуер);

Естествени източници на заплахи (пожари, наводнения, земетресения и др.).

Заключение

В процеса на изпълнение на курсовия проект беше направен анализ на средствата за информационна сигурност на предприятието LLC "UK" Ashatli ". Направен е анализ на информационните ресурси на предприятието, анализ на заплахите за информационната сигурност и са идентифицирани съответните недостатъци.

Изпълнението на предложените коригиращи действия ще позволи на предприятието да повиши ефективността на мерките за защита и да намали риска от загуба на информация. Трябва да се отбележи, че процесът на организиране или реорганизиране на информационната сигурност е сложен процес, в който програмите, персоналът и оборудването си взаимодействат едновременно.

За решаването на проблема с осигуряването на информационната сигурност е необходимо да се приложат законодателни, организационни и софтуерно-хардуерни мерки, които да го елиминират напълно.

Списък на използваната литература

Маклаков С.В. Създаване на информационни системи с AllFusion Modeling Suite. – М.: Диалог-МИФИ, 2003. – 432 с.

www. ashatli-agro.ru

Федерален закон № 231-F „За информацията, информационните технологии и защитата на информацията“ от 18.12.2006 г.

Федерален закон на Руската федерация от 27 юли 2006 г. № 149-FZ „За информацията, информационните технологии и защитата на информацията“