2. Антивирусна система ESET NOD 32 за защита от компютърни вируси.

Базите данни се актуализират редовно и работните станции се сканират.

3. Вграден Windows Backup за създаване на архиви.

OS Backup Wizard е програма, предназначена за бързо създаванеи възстановяване на резервно копие копия на Windows. Позволява ви да създадете копие на целия Windows или само на отделни файлове и папки.

4. Криптиране с 2048 битов ключ за vpn канал(връзка с офиса на управляващата компания за поща и работен процес).

Глава 2. Подобряване на НИС

2.1 Слабости в системата за информационна сигурност

Когато се анализират проблемите, свързани с информационната сигурност, е необходимо да се вземе предвид спецификата на този аспект на сигурността, която се състои в това, че информационната сигурност е неразделна част от информационните технологии - област, която се развива с безпрецедентни темпове. Тук не е толкова важно отделни решения(закони, курсове за обучение, софтуерни и хардуерни продукти), които са на съвременно ниво, колко механизми за генериране на нови решения, които ви позволяват да живеете с темпото на техническия прогрес.

Съвременни технологиипрограмирането не ви позволява да създавате програми без грешки, което не допринася за бързото развитие на софтуера информационна сигурност.

След като анализираме информационната сигурност на предприятието, можем да заключим, че не се обръща достатъчно внимание на информационната сигурност:

Липса на пароли за достъп до системата;

Липсата на пароли при работа с програмата с 1C: Enterprise, при промяна на данни;

Няма допълнителна защита на файлове и информация (няма елементарна заявка за парола при отваряне или промяна на информация във файлове, да не говорим за инструменти за криптиране на данни);

Нередовно обновяване на базите данни на антивирусната програма и сканиране на работни станции;

Голям брой документи на хартиен носител са предимно в папки (понякога без тях) на работния плот на служителя, което позволява на нападателите лесно да използват този вид информация за свои цели;

Няма редовно обсъждане на проблемите на информационната сигурност в предприятието и възникващите проблеми в тази област;

Не се организира редовна проверка на работоспособността на информационните системи на предприятието, отстраняването на грешки се извършва само когато те се повредят;

Липса на политика за информационна сигурност;

Липса на системен администратор.

Всички горепосочени са много важни недостатъци при осигуряването на информационната сигурност на предприятието.

2.2 Предназначение и задачи на системата за информационна сигурност

Информационна сигурност - състоянието на сигурността информационни ресурси V компютърни мрежии корпоративни системи от неоторизиран достъп, случайна или умишлена намеса в нормалното функциониране на системите, опити за унищожаване на нейните компоненти.

Цели на информационната сигурност:

предотвратяване на заплахи за сигурността на предприятието поради неразрешени действия за унищожаване, модифициране, изкривяване, копиране, блокиране на информация или други форми на незаконна намеса в информационни ресурси и информационни системи;

съхраняване на търговски тайни, обработвани с помощта на компютърни технологии;

защита на конституционните права на гражданите за опазване на личната тайна и поверителността на личните данни, налични в информационните системи.

За постигане на целите на защитата трябва да се осигури ефективно решаване на следните задачи:

Защита от намеса в процеса на функциониране на предприятието от неоторизирани лица;

защита срещу неразрешени действия с информационните ресурси на предприятието от неупълномощени лица и служители, които нямат съответните правомощия;

Осигуряване на пълнота, надеждност и ефективност на информационното осигуряване на осиновяването управленски решенияуправление на предприятието;

Осигуряване на физическа сигурност технически средстваи корпоративен софтуер и защитата им от действието на създадени от човека и природни източници на заплахи;

регистриране на събития, засягащи сигурността на информацията, осигуряване на пълен контрол и отчетност на изпълнението на всички операции, извършвани в предприятието;

своевременно идентифициране, оценка и прогнозиране на източници на заплахи за информационната сигурност, причини и условия, които допринасят за увреждане на интересите на субектите, нарушаване на нормалното функциониране и развитие на предприятието;

анализ на рисковете от прилагането на заплахи за информационната сигурност и оценка на възможните щети, предотвратяване на неприемливи последици от нарушение на информационната сигурност на предприятието, създаване на условия за минимизиране и локализиране на причинените щети;

Осигуряване на възможност за възстановяване на текущото състояние на предприятието в случай на нарушаване на информационната сигурност и отстраняване на последствията от тези нарушения;

· Създаване и формиране на целенасочена политика за информационна сигурност на предприятието.

2.3 Мерки и средства за подобряване на системата за информационна сигурност

За постигане на поставените цели и решаване на проблеми е необходимо да се извършват дейности на нивата на информационна сигурност.

Административно ниво на информационна сигурност.

За да се създаде система за информационна сигурност, е необходимо да се разработи и утвърди политика за информационна сигурност.

Политиката за сигурност е набор от закони, правила и норми на поведение, насочени към защита на информацията и свързаните с нея ресурси.

Трябва да се отбележи, че политиката, която се разработва, трябва да бъде в съответствие със съществуващите закони и разпоредби, свързани с организацията, т.е. тези закони и разпоредби трябва да бъдат идентифицирани и взети предвид при разработването на политиката.

Колкото по-надеждна е системата, толкова по-строга и разнообразна трябва да бъде политиката за сигурност.

В зависимост от формулираната политика можете да изберете конкретни механизми, които гарантират сигурността на системата.

Организационно ниво на защита на информацията.

Въз основа на недостатъците, описани в предишния раздел, могат да бъдат предложени следните мерки за подобряване на информационната сигурност:

Организация на работа за обучение на персонала в умения за работа с нови софтуерни продуктис участието на квалифицирани специалисти;

Разработване на необходимите мерки, насочени към подобряване на системата за икономическа, социална и информационна сигурност на предприятието.

Провеждане на брифинг, така че всеки служител да осъзнае важността и поверителността на поверената му информация, като по правило причината за разкриването конфиденциална информацияе недостатъчно познаване от служителите на правилата за защита на търговската тайна и неразбиране (или неразбиране) на необходимостта от тяхното внимателно спазване.

Строг контрол върху спазването от служителите на правилата за работа с поверителна информация;

Контрол на спазването на правилата за съхранение на работната документация на служителите на предприятието;

Планирани срещи, семинари, дискусии по проблемите на корпоративната информационна сигурност;

Редовна (планова) проверка и поддръжка на всички информационни системи и информационна инфраструктура за работоспособност.

Назначаване на постоянен системен администратор.

Софтуерни и хардуерни мерки за защита на информацията.

Софтуерът и хардуерът са едни от критични компонентив изпълнение защита на информациятаСледователно, за да се повиши нивото на защита на информацията, е необходимо да се въведат и прилагат следните мерки:

Въвеждане на потребителски пароли;

За да регулирате достъпа на потребителите до информационните ресурси на предприятието, трябва да въведете списък с потребители, които ще влязат в системата под тяхното влизане. Използване на ОС Windows сървър 2003 Std, инсталиран на сървъра, можете да създадете списък с потребители със съответните пароли. Раздайте пароли на служителите с подходящи инструкции за използването им. Трябва също така да въведете датата на изтичане на паролата, след което потребителят ще бъде подканен да промени паролата. Ограничете броя на опитите за влизане с неправилна парола (например до три).

Въвеждане на заявка за парола в програмата 1C: Enterprise при работа с база данни, при промяна на данни. Това може да стане с софтуерни инструментиКомпютър и програми.

Разграничаване на достъпа до файлове, директории, дискове.

Ще се извърши диференциране на достъпа до файлове и директории системен администратор, което ще позволи достъп до съответните дискове, папки и файлове за всеки потребител конкретно.

Редовно сканиране на работните станции и актуализиране на базите данни на антивирусните програми.

Позволява ви да откривате и неутрализирате злонамерени програми, да премахвате причините за инфекциите. Необходимо е да се извърши инсталиране, конфигуриране и поддръжка на инструменти и системи антивирусна защита.

За да направите това, трябва да конфигурирате антивирусната програма да сканира редовно вашия компютър и редовно да актуализира базите данни от сървъра.

Инсталиране на защитната стена Agnitum Outpost FireWall на сървърния компютър, която блокира атаки от интернет.

Предимства от използването на Agnitum Outpost FireWall:

¾ контролира връзките на вашия компютър с други, като блокира хакери и предотвратява неоторизиран външен и вътрешен мрежов достъп.

След като анализираме информационната сигурност на предприятието, можем да заключим, че не се обръща достатъчно внимание на следните точки в информационната сигурност:

– нередовно архивиране на корпоративната база данни;

– не се архивира данните на персоналните компютри на служителите;

– съобщения електронна пощасъхранявани на сървъри на пощенски услуги в Интернет;

– някои служители нямат достатъчно умения за работа с автоматизирани системи;

служителите имат достъп до персонални компютритехните колеги;

- отсъствие антивирусни програмина някои работни станции;

- Лош контрол на достъпа мрежови ресурси;

– Няма нормативни документи за безопасност.

Всички горепосочени са много важни недостатъци при осигуряването на информационната сигурност на предприятието.

Анализ на риска

Опасността от заплаха се определя от риска в случай на нейното успешно изпълнение. Рискът е потенциалната вреда. Поносимостта на риска означава, че щетите в случай на заплаха няма да доведат до сериозни негативни последици за собственика на информацията. Организацията е изправена пред следните рискове:

1. Нередовно архивиране на корпоративната база данни;

Последици: загуба на данни за дейността на предприятието.

2. Няма резервно копие на данните на персоналните компютри на служителите;

Последици: Когато оборудването се повреди, някои важни данни могат да бъдат загубени.

3. Имейл съобщенията се съхраняват на сървърите на пощенските услуги в Интернет;

4. Някои служители нямат достатъчно умения за работа с автоматизирани системи;

Последици: Може да доведе до появата на неправилни данни в системата.

5. Служителите имат достъп до персоналните компютри на своите колеги;

6. Липса на антивирусни програми на някои работни станции;

Последици: поява на вирусни програми, зловреден софтуер в системата

7. Лоша диференциация на правата за достъп до мрежовите ресурси;

Последици: поради небрежност може да доведе до загуба на данни.

8. Няма нормативни документи по безопасност.

Целта и задачите на системата за информационна сигурност

Основната цел на системата за сигурност на предприятието е да предотврати увреждане на дейността му поради кражба на материално-технически средства и документация; унищожаване на имущество и ценности; разкриване, изтичане и неоторизиран достъп до източници на поверителна информация; нарушения на техническите средства за осигуряване на производствени дейности, включително средства за информатизация, както и предотвратяване на увреждане на персонала на предприятието.

Целите на системата за сигурност са:

защита на правата на предприятието, неговите структурни подразделения и служители;

· Съхраняване и ефективно използване на финансови, материални и информационни ресурси;

· Подобряване на имиджа и ръст на печалбите на компанията чрез гарантиране на качеството на услугите и безопасността на клиентите.

Задачи на системата за сигурност на предприятието:

своевременно откриване и отстраняване на заплахи за персонала и ресурсите; причини и условия, допринасящи за нанасянето на финансови, материални и морални щети на интересите на предприятието, нарушаване на нормалното му функциониране и развитие;

категоризация на информацията ограничен достъп, а други ресурси - с различна степен на уязвимост (опасност) и подлежащи на опазване;

създаване на механизъм и условия за бърза реакция при заплахи за сигурността и прояви на негативни тенденции във функционирането на предприятието;

ефективно пресичане на посегателства върху ресурси и заплахи за персонала на базата на интегриран подход към сигурността;

Организацията и функционирането на системата за сигурност трябва да се основава на следните принципи:

Сложност. Това включва осигуряване сигурността на персонала, материалните и финансовите ресурси, информацията от всички възможни заплахи с всички налични законови средства и методи, през цялото време. жизнен цикъли във всички режими на работа, както и способността на системата да се развива и усъвършенства в процеса на работа.

Надеждност. Различните зони за сигурност трябва да бъдат еднакво надеждни по отношение на вероятността за реализиране на заплаха.

Навременност. Способността на системата да бъде проактивна на базата на анализ и прогнозиране на заплахи за сигурността и разработване на ефективни мерки за противодействието им.

Приемственост. Няма прекъсвания в работата на системите за сигурност, причинени от ремонт, подмяна, поддръжка и др.

Законност. Разработване на системи за сигурност на базата на съществуващото законодателство.

разумна достатъчност. Установяване на приемливо ниво на сигурност, при което вероятността и размерът на възможните щети ще бъдат съчетани с максимално допустимите разходи за развитие и експлоатация на системата за сигурност.

Централизация на управлението. Самостоятелно функциониране на системата за сигурност по единни организационни, функционални и методически принципи.

Компетентност. Системата за сигурност трябва да се създава и управлява от лица, които имат професионална подготовка, достатъчна за правилна оценка на ситуацията и вземане на адекватни решения, включително и в условия на повишен риск.

Най-уязвимото място в системата за сигурност може да се нарече служители на предприятието и софтуер и хардуер. По-специално, данните не се архивират на персонални компютри в случай на повреда на оборудването, някои важни данни могат да бъдат загубени; актуализацията не работи операционна система MS Windows XP и използвания софтуер, което може да доведе до неоторизиран достъп до информация, съхранена на компютъра, или нейното увреждане поради грешки в софтуера; достъпът на служителите до интернет ресурси не се контролира, което може да доведе до изтичане на данни; бизнес имейл кореспонденцияпровеждани през интернет чрез незащитени канали, имейл съобщенията се съхраняват на сървърите на пощенските услуги в интернет; някои служители нямат достатъчно умения за работа с автоматизирани системи, използвани в академията, което може да доведе до появяване на некоректни данни в системата; служителите имат достъп до персонални компютри на свои колеги, което при небрежност може да доведе до загуба на данни; всички членове на факултета имат достъп до архива, в резултат на което някои лични файлове могат да бъдат загубени или търсенето им да отнеме много време; няма правила за безопасност.

Основната цел на системата за информационна сигурност е да осигури стабилна работа на съоръжението, да предотврати заплахи за неговата сигурност, да защити законните интереси на предприятието от незаконни посегателства, да предотврати разкриването, загубата, изтичането, изкривяването и унищожаването на служебна информация и лична информация, осигуряваща нормалната производствена дейност на всички звена на обекта.

Друга цел на системата за информационна сигурност е подобряване качеството на предоставяните услуги и гаранциите за сигурност.

Задачите на формиране на система за информационна сигурност в организацията са: целостта на информацията, надеждността на информацията и нейната поверителност. Когато задачите са изпълнени, целта ще бъде реализирана.

Създаването на системи за информационна сигурност в ИС и ИТ се основава на следните принципи:

Систематичен подход за изграждане на система за защита, което означава оптимална комбинация от взаимосвързани организационни, софтуерни, хардуерни, физически и други свойства, потвърдени от практиката на създаване на вътрешни и чуждестранни системи за защита и използвани на всички етапи от технологичния цикъл на обработка на информация .

Принципът на непрекъснато развитие на системата. Този принцип, който е един от основните за компютърните информационни системи, е още по-актуален за НИС. Начините за прилагане на заплахи за информацията в ИТ непрекъснато се подобряват и следователно гарантирането на сигурността на IP не може да бъде еднократен акт. Това е непрекъснат процес, който се състои в обосноваване и прилагане на най-рационалните методи, методи и начини за подобряване на МКС, непрекъснато наблюдение, идентифициране на неговите пречки и слабости, потенциални канали за изтичане на информация и нови методи за неоторизиран достъп.

Разделяне и минимизиране на правомощията за достъп до обработваната информация и процедурите за обработка, т.е. предоставяне както на потребителите, така и на служителите на ИС на минимум строго определени правомощия, достатъчни за изпълнение на служебните им задължения.

Пълнота на контрола и регистриране на опити за неоторизиран достъп, т.е. необходимостта от точно установяване на самоличността на всеки потребител и записване на неговите действия за евентуално разследване, както и невъзможността за извършване на каквато и да е операция по обработка на информация в ИТ без неговата предварителна регистрация.

Осигуряване на надеждността на защитната система, т.е. невъзможността за намаляване на нивото на надеждност в случай на повреди, повреди, умишлени действия на хакер или неволни грешки на потребителите и персонала по поддръжката в системата.

Осигуряване на контрол върху функционирането на системата за защита, т.е. създаване на средства и методи за наблюдение на работата на защитните механизми.

Осигуряване на различни средства за борба зловреден софтуер.

Осигуряване на икономическа целесъобразност на използването на системата за защита, която се изразява в превишаването на възможните щети на ИС и ИТ от внедряването на заплахи над разходите за разработване и експлоатация на МКС.

Предприетите защитни мерки трябва да бъдат адекватни на вероятността за изпълнение от този типзаплахата и потенциалните щети, които могат да бъдат причинени, ако заплахата се материализира (включително разходите за защита срещу нея).

Трябва да се има предвид, че много мерки за защита изискват достатъчно големи изчислителни ресурси, което от своя страна значително влияе върху процеса на обработка на информацията. Следователно съвременният подход за решаване на този проблем е прилагането на принципите на ситуационното управление на сигурността на информационните ресурси в автоматизираните системи за управление. Същността на този подход се състои в това, че необходимото ниво на информационна сигурност се задава в съответствие със ситуацията, която определя съотношението между стойността на обработваната информация, разходите (намаляване на производителността на автоматизираните системи за управление, допълнителни оперативна памети др.), които са необходими за постигане на това ниво, и възможните общи загуби (материални, морални и т.н.) от изкривяването и неразрешеното използване на информацията.

Необходимите характеристики на защитата на информационните ресурси се определят в хода на ситуационното планиране по време на непосредствената подготовка на технологичния процес за сигурна обработка на информация, като се вземе предвид текущата ситуация, а също и (в намален обем) по време на процеса на обработка. При избора на защитни мерки трябва да се вземат предвид не само преките разходи за закупуване на оборудване и програми, но и разходите за въвеждане на нови продукти, обучение и преквалификация на персонала. Важно обстоятелство е съвместимостта на новото средство със съществуващата хардуерна и софтуерна структура на обекта.

Чуждестранният опит в областта на защитата на интелектуалната собственост и националният опит в защитата на държавната тайна показват, че само цялостната защита може да бъде ефективна, съчетавайки области на защита като правна, организационна и инженерна.

Правно направлениепредвижда формирането на набор от законодателни актове, регулаторни документи, наредби, инструкции, насоки, чиито изисквания са задължителни в рамките на тяхната дейност в системата за информационна сигурност.

Организационно направление- това е регулирането на производствените дейности и отношенията на изпълнителите на правна основа по такъв начин, че разкриването, изтичането и неоторизираният достъп до поверителна информация стават невъзможни или значително затруднени от организационни мерки.

Според експертите организационните мерки играят важна роля за създаването на надежден механизъм за защита на информацията, тъй като възможността за неоторизирано използване на поверителна информация до голяма степен се дължи не на технически аспекти, а на злонамерени действия, небрежност, небрежност и небрежност на потребителите или сигурността персонал.

Организационните дейности включват:

Извършвани дейности по проектиране, изграждане и оборудване на офисни и производствени сгради и помещения;

Извършвани дейности по подбор на персонал;

Организиране и поддържане на надежден контрол на достъпа, охрана на помещения и територия, контрол на посетителите;

Организация на съхранението и използването на документи и носители на поверителна информация;

Организация на информационната сигурност;

Организиране на редовно обучение на служителите.

Един от основните компоненти на организационната информационна сигурност на компанията е Службата за информационна сигурност (ИСС - органът за управление на системата за информационна сигурност). Това е от професионалната подготовка на служителите на службите за информационна сигурност, присъствието в техния арсенал модерни средстваУправлението на сигурността до голяма степен зависи от ефективността на мерките за защита на информацията. Структурата, числеността и състава на персонала се определят от реалните нужди на фирмата, степента на конфиденциалност на нейната информация и общото състояние на сигурността.

Основната цел на функционирането на ISS, използвайки организационни мерки и софтуер и хардуер, е да се избегне или поне да се сведе до минимум възможността за нарушаване на политиката за сигурност, като крайна мярка, да се забележат и отстранят навреме последствията от нарушението.

За да се осигури успешната работа на ШИС, е необходимо да се определят нейните права и задължения, както и правилата за взаимодействие с други звена по въпросите на защитата на информацията в съоръжението. Броят на услугите трябва да е достатъчен, за да изпълнява всички функции, които са му възложени. Желателно е служителите на службата да нямат задължения, свързани с функционирането на обекта на охрана. Службата за информационна сигурност трябва да разполага с всички условия, необходими за изпълнение на своите функции.

сърцевина инженерно-техническо направлениеса софтуерни и хардуерни средства за информационна сигурност, които включват механични, електромеханични, електронни, оптични, лазерни, радио и радиотехнически, радарни и други устройства, системи и структури, предназначени да гарантират сигурността и защитата на информацията.

Под софтуеринформационната сигурност се разбира като съвкупност специални програми, реализиращи функциите по защита на информацията и режима на работа.

Формираният набор от правни, организационни и инженерни мерки води до подходяща политика за сигурност.

Политиката за сигурност определя външния вид на системата за информационна сигурност под формата на набор от правни норми, организационни (правни) мерки, набор от софтуерни и хардуерни инструменти и процедурни решения, насочени към противодействие на заплахите за премахване или минимизиране на възможните последици от информацията. въздействия. След приемането на една или друга версия на политиката за сигурност е необходимо да се оцени нивото на сигурност на информационната система. Разбира се, оценката на сигурността се извършва по набор от показатели, основните от които са цена, ефективност и осъществимост.

Оценката на възможностите за изграждане на система за информационна сигурност е доста сложна задача, изискваща използването на съвременни математически методи за многопараметрична оценка на ефективността. Те включват: метода за анализ на йерархиите, експертните методи, метода на последователните отстъпки и редица други.

При предприемане на предвидените мерки е необходимо да се провери тяхната ефективност, тоест да се увери, че остатъчните рискове са станали приемливи. Едва тогава може да се определи датата на следващата преоценка. В противен случай ще трябва да анализирате допуснатите грешки и да проведете втора сесия за анализ на уязвимостта, като вземете предвид промените в системата за защита.

Генерираният възможен сценарий на действията на нарушителя изисква проверка на системата за сигурност на информацията. Този тест се нарича "тест за проникване". Целта е да се осигури увереност, че няма лесни начини за неоторизиран потребител да заобиколи механизмите за сигурност.

Един от възможни начиниатестации за сигурност на системата - приканване на хакери да хакнат без предварително уведомяване на мрежовия персонал. За целта се отделя група от двама или трима души с висока професионална подготовка. На хакерите е предоставена защитена автоматизирана система и групата се опитва да открие уязвимости в продължение на 1-3 месеца и да разработи тестови инструменти въз основа на тях, за да заобиколи защитните механизми. Наетите хакери представят поверителен доклад за резултатите от работата с оценка на нивото на достъпност на информацията и препоръки за подобряване на защитата.

Заедно с този метод се използват инструменти за тестване на софтуер.

На сцената изготвяне на план за защитав съответствие с избраната политика за сигурност се разработва план за нейното прилагане. Планът за защита е документ, който въвежда в действие системата за защита на информацията, която се утвърждава от ръководителя на организацията. Планирането не е само за най-добра употребавсички възможности, с които разполага дружеството, включително разпределените ресурси, но и с предотвратяване на погрешни действия, които биха могли да доведат до намаляване на ефективността на предприетите мерки за защита на информацията.

Планът за сигурност на информацията на сайта трябва да включва:

Описание на защитената система (основните характеристики на защитения обект: предназначение на обекта, списък от задачи, които трябва да бъдат решени, конфигурация, характеристики и разположение на хардуера и софтуера, списък с категории информация (пакети, файлове, набори и бази данни, в които те се съдържат), които трябва да бъдат защитени, и изисквания за осигуряване на достъп, поверителност, цялост на тези категории информация, списък на потребителите и техните права за достъп до системните ресурси и др.);

Целта на защитата на системата и начините за осигуряване сигурността на автоматизираната система и информацията, циркулираща в нея;

Списък със значителни заплахи за сигурността автоматизирана системаот кои е необходима защита и най-вероятните пътища на увреждане;

Политика за информационна сигурност;

План за финансиране и функционална диаграмасистеми за информационна сигурност в обекта;

Спецификация на средствата за информационна сигурност и оценка на разходите за внедряването им;

Календарен план за провеждане на организационни и технически мерки за защита на информацията, процедурата за въвеждане в действие на средствата за защита;

Основни правила, регулиращи дейността на персонала по въпросите на осигуряването на информационната сигурност на съоръжението (специални задължения на служителите, обслужващи автоматизираната система);

Процедурата за преглед на плана и надграждане на средствата за защита.

Планът за защита се преразглежда, когато се променят следните компоненти на обекта:

Архитектура информационна система(свързване на други локални мрежи, промяна или модификация на използвано компютърно оборудване или софтуер);

Териториалното разположение на компонентите на автоматизираната система.

Като част от плана за защита е необходимо да има план за действие за персонала в критични ситуации, т.е. план за доставка непрекъсната работа и възстановяване на информация. Той отразява:

Целта е да се осигури непрекъснатост на процеса на функциониране на автоматизираната система, възстановяване на нейната ефективност и начини за постигането му;

Списък и класификация на възможните кризисни ситуации;

Изисквания, мерки и средства за осигуряване на непрекъсната работа и възстановяване на процеса на обработка на информация (процедурата за създаване, съхраняване и използване резервни копияинформация, поддържане на текущи, дълготрайни и спешни архиви; състава на резервната техника и реда за нейното използване и др.);

Отговорности и ред за действия на различни категории персонал на системата в кризисни ситуации, при ликвидиране на последствията от тях, минимизиране на причинените щети и при възстановяване на нормалното функциониране на системата.

Ако една организация обменя електронни документис партньори при изпълнение на единични поръчки е необходимо в плана за защита да се включи споразумение относно процедурата за организиране на обмена на електронни документи, което отразява следните въпроси:

Разделяне на отговорността на субектите, участващи в процесите на обмен на електронни документи;

Определяне на реда за подготовка, изпълнение, предаване, приемане, проверка на автентичността и целостта на електронни документи;

Процедурата за генериране, сертифициране и разпространение на ключова информация (ключове, пароли и др.);

Процедурата за разрешаване на спорове в случай на конфликти.

Планът за информационна сигурност е пакет от текстови и графични документи, следователно, заедно с горните компоненти на този пакет, той може да включва:

Наредба за търговската тайна, определяща списъка на информацията, представляваща търговска тайна, и процедурата за нейното определяне, както и задълженията на длъжностните лица за защита на търговската тайна;

Правилник за защита на информацията, който регламентира всички области на дейност за прилагане на политиката за сигурност, както и редица допълнителни инструкции, правила, разпоредби, които съответстват на спецификата на обекта на защита.

Изпълнение на плана за защита (управление на системата за защита)включва разработване на необходимите документи, сключване на договори с доставчици, инсталиране и конфигуриране на оборудване и др. След формирането на системата за информационна сигурност се решава задачата за нейното ефективно използване, т.е. управление на сигурността.

Управлението е процес на целенасочено въздействие върху даден обект, осъществяван за организиране на функционирането му по зададена програма.

Управлението на информационната сигурност трябва да бъде:

Устойчив на активна намеса от нарушителя;

Непрекъснато, осигуряващо постоянно въздействие върху процеса на защита;

Скрита, непозволяваща разкриване на организацията на управление на информационната сигурност;

Оперативен, осигуряващ възможност за навременна и адекватна реакция на действията на нарушителите и изпълнение на управленски решения до определена дата.

Освен това решенията за информационна сигурност трябва да бъдат обосновани по отношение на цялостното разглеждане на условията за изпълнение на задачата, приложението различни модели, изчислителни и информационни задачи, експертни системи, опит и всякакви други данни, които повишават надеждността на първоначалната информация и решения.

Индикатор за ефективността на управлението на информационната сигурност е времето на контролния цикъл за дадено качество на решенията. Цикълът на управление включва събиране на необходимата информация за оценка на ситуацията, вземане на решения, формиране на подходящи команди и тяхното изпълнение. Като критерий за ефективност може да се използва времето за реакция на системата за информационна сигурност при нарушение, което не трябва да надвишава времето за остаряване на информацията въз основа на нейната стойност.

Както показва развитието на реални автоматизирани системи за управление, нито един от методите (мерки, средства и дейности) за осигуряване на информационна сигурност не е абсолютно надежден и максимален ефект се постига, когато всички те са комбинирани в интегрална система за защита на информацията. Само оптималната комбинация от организационни, технически и програмни мерки, както и постоянното внимание и контрол върху поддържането на системата за защита актуална ще позволи да се осигури решаването на постоянна задача с най-голяма ефективност.

Методологичните основи за осигуряване на информационна сигурност са доста общи препоръки, базирани на световния опит в създаването подобни системи. Задачата на всеки специалист по информационна сигурност е да адаптира абстрактните разпоредби към своята конкретна предметна област (организация, банка), която винаги има своите особености и тънкости.

Анализът на вътрешния и чуждестранния опит убедително доказва необходимостта от създаване на интегрирана система за информационна сигурност за компания, която свързва оперативни, оперативни, технически и организационни мерки за защита. Освен това системата за сигурност трябва да бъде оптимална от гледна точка на съотношението на разходите и стойността на защитените ресурси. Системата се нуждае от гъвкавост и адаптация към бързо променящите се фактори на околната среда, организационни и социални условия в институцията. Невъзможно е да се постигне такова ниво на сигурност без анализ на съществуващите заплахи и възможни канали за изтичане на информация, както и без разработване на политика за информационна сигурност в предприятието. В резултат на това трябва да се създаде план за защита, който прилага принципите, заложени в политиката за сигурност.

Но има и други трудности и „подводни камъни“, на които определено трябва да обърнете внимание. Това са проблеми, които са идентифицирани в практиката и слабо подлежат на формализиране: проблеми от социален и политически характер, които не са от технически или технологичен характер, които се решават по един или друг начин.

Проблем 1.Липса на разбиране сред служителите и мениджърите от среден и нисък ранг за необходимостта да се работи за подобряване на нивото на информационна сигурност.

На това стъпало на управленската стълбица по правило не се виждат стратегическите задачи, които стоят пред организацията. В същото време проблемите със сигурността могат дори да предизвикат раздразнение - те създават "ненужни" трудности.

Често се изтъкват следните аргументи срещу работата и предприемането на мерки за осигуряване на информационна сигурност:

Появата на допълнителни ограничения за крайни потребители и специалисти от отдели, което ги затруднява при използването на автоматизираната организационна система;

Необходимостта от допълнителни материални разходи както за извършване на такава работа, така и за разширяване на персонала от специалисти, занимаващи се с проблема с информационната сигурност.

Този проблем е един от основните. Всички други въпроси по един или друг начин действат като негови последствия. За преодоляването му е важно да се решат следните задачи: първо, повишаване на квалификацията на персонала в областта на информационната сигурност чрез провеждане на специални срещи и семинари; второ, да се повиши нивото на информираност на персонала, по-специално относно стратегическите задачи, пред които е изправена организацията.

Проблем 2Конфронтация между службата за автоматизация и службата за сигурност на организациите.

Този проблем се дължи на вида на дейността и сферата на влияние, както и на отговорността на тези структури в предприятието. Изпълнението на системата за защита е в ръцете на технически специалисти, а отговорността за нейната сигурност е на службата за сигурност. Специалистите по сигурността искат да ограничат на всяка цена с помощта на защитни стеницелия трафик. Но хората, които работят в отделите за автоматизация, не желаят да се справят с допълнителните проблеми, свързани с поддръжката на специални инструменти. Такива разногласия нямат най-добър ефект върху нивото на сигурност на цялата организация.

Този проблем, както повечето подобни, се решава с чисто управленски методи. Важно е, на първо място, в организационната структура на компанията да има механизъм за разрешаване на подобни спорове. Например и двете услуги могат да имат един шеф, който ще решава проблемите на тяхното взаимодействие. Второ, технологичната и организационна документация трябва ясно и компетентно да разделят сферите на влияние и отговорност на отделите.

Проблем 3.Лични амбиции и взаимоотношения на ниво среден и висш мениджър.

Отношенията между лидерите могат да бъдат различни. Понякога, когато извършват работа по изучаване на информационната сигурност, един или друг служител проявява свръхинтерес към резултатите от тези работи. Наистина изследванията са достатъчно мощен инструмент за решаване на техните конкретни проблеми и задоволяване на амбициите им. Заключенията и препоръките, записани в доклада, се използват като план за по-нататъшни действия на едно или друго звено. Възможна е и „свободна“ интерпретация на заключенията на доклада в комбинация с проблем 5, описан по-долу. Тази ситуация е изключително нежелан фактор, тъй като изкривява смисъла на работата и изисква своевременно идентифициране и елиминиране на ниво висше ръководство на предприятието. Най-добър вариантбизнес отношенията са, когато интересите на организацията са поставени на преден план, а не лични.

Проблем 4.Ниска степен на изпълнение на планираната програма за действие за създаване на система за информационна сигурност.

Това е доста банална ситуация, когато стратегическите цели и задачи се губят на ниво изпълнение. Всичко може да започне перфектно. Генералният директор взема решение относно необходимостта от подобряване на системата за информационна сигурност. За извършване на одита е наета независима консултантска фирма съществуваща системазащита на информацията. След завършване се генерира отчет, който включва всички необходими препоръки за защита на информацията, финализиране на съществуващия работен процес в областта на информационната сигурност, въвеждане на технически средства за защита на информацията и организационни мерки и допълнителна поддръжка на създадената система. Планът за защита включва краткосрочни и дългосрочни мерки. Допълнителни препоръки се прехвърлят за изпълнение в един от отделите. И тук е важно те да не се удавят в блатото на бюрокрацията, личните амбиции, мудността на персонала и дузина други причини. Изпълнителят може да е зле информиран, недостатъчно компетентен или просто да не се интересува от извършването на работата. Важно е изпълнителният директор да следи изпълнението на планирания план, за да не загуби, първо, средствата, инвестирани в сигурност в началния етап, и второ, за да не претърпи загуби в резултат на липсата на тази сигурност. .

Проблем 5.Ниска квалификация на специалистите по информационна сигурност.

Този аспект не може да се счита за сериозна пречка, ако не е пречка за създаването на система за информационна сигурност. Факт е, че планът за защита като правило включва такова събитие като повишаване на квалификацията на специалисти в областта на защитата на информацията в компанията. Могат да се провеждат семинари по основи на организацията на информационната сигурност за специалисти от други служби. Необходимо е правилно да се оцени реалната квалификация на служителите, участващи в изпълнението на плана за защита. Често неправилните заключения или невъзможността за прилагане на методи за защита на практика водят до трудности при прилагането на препоръчаните мерки. С намек за такива обстоятелства най-правилният изход би бил да се подобрят уменията на специалистите по информационна сигурност в центрове за обучение, специално създадени за това.

По този начин практическите дейности в областта на подобряването на икономическата и информационната сигурност ясно показват, че създаването на реална система за информационна сигурност е силно зависима от навременното решаване на тези проблеми. Натрупаният опит обаче показва, че всички обсъждани въпроси могат да бъдат успешно разрешени, ако представителите на клиента и фирмата изпълнител работят в тясно сътрудничество. Основното е да осъзнаете важността на извършването на такава работа, да идентифицирате навреме съществуващите заплахи и да приложите адекватни мерки за противодействие, които по правило са специфични за всяко конкретно предприятие. Наличието на желание и възможности е достатъчно условие за ползотворна работа, чиято цел би била създаването на интегрирана система за осигуряване на сигурността на организацията.

Предишен

Изпратете добрата си работа в базата знания е лесно. Използвайте формата по-долу

Студенти, докторанти, млади учени, които използват базата от знания в обучението и работата си, ще ви бъдат много благодарни.

Хоствано на http://www.allbest.ru/

КУРСОВИ ПРОЕКТ

В дисциплината "Информационна сигурност"

По темата

„Подобряване на системата за информационна сигурност на

предприятие LLC "Фурна"

Въведение

Говорейки за информационна сигурност, в днешно време всъщност се има предвид компютърна сигурност. Действително информацията в електронна медияиграе все по-важна роля в съвременното общество. Уязвимостта на такава информация се дължи на редица фактори: огромни обеми, многоточковост и възможна анонимност на достъпа, възможността за "информационен саботаж" ... Всичко това прави задачата да се гарантира сигурността на информацията, поставена в компютърна среда, много по-труден проблем от, да речем, запазването на тайната на традиционната кореспонденция по пощата.

Ако говорим за сигурността на информацията, съхранявана на традиционни носители (хартия, фотопечат и др.), Тогава нейната безопасност се постига чрез спазване на мерките физическа защита(т.е. защита срещу неразрешено влизане в зоната за съхранение на медии). Други аспекти на защитата на такава информация са свързани с природни бедствия и причинени от човека бедствия. По този начин концепцията за "компютърна" информационна сигурност като цяло е по-широка от информационната сигурност по отношение на "традиционните" медии.

Ако говорим за различия в подходите за решаване на проблема с информационната сигурност на различни нива (държавно, регионално, ниво на една организация), тогава такива различия просто не съществуват. Подходът за гарантиране на сигурността на Държавната автоматизирана система "Избори" не се различава от подхода за осигуряване на сигурност локална мрежав малка фирма. Следователно принципите за осигуряване на информационна сигурност в тази статия се разглеждат на примери за дейността на отделна организация.

Целта на курсовия проект е да подобри системата за информационна сигурност на Oven LLC. задачи срочна писмена работаще бъде - анализ на Oven LLC, неговите ресурси, структура и съществуваща система за информационна сигурност в предприятието и търсене на методи за нейното подобряване.

На първия етап ще бъде извършен анализ на системата за информационна сигурност. От получените резултати на втория етап ще се търсят методи за подобряване на защитата на информацията, ако има такива слаби странив тази система.

1. Анализ на системата за информационна сигурност на Oven LLC

1.1 Характеристика на предприятието. Организационна структура на предприятието. Услуга за информационни ресурси и тяхната защита

Пълното фирмено наименование на предприятието е дружество с ограничена отговорност "Овен". Съкратеното наименование на дружеството е Овен ООД. По-нататък в текста Общество. Компанията няма клонове и представителства, единственият й център се намира в района на Перм, район Суксунски, село Мартяново.

Дружеството е създадено през 1990 г. като малко стопанство и има трима учредители. След реорганизирането на стопанството в селско стопанство през 1998 г. остава единственият основател. Последната реорганизация беше през април 2004 г. От 1 април предприятието става известно като дружество с ограничена отговорност „Овен“.

Основната дейност на фирмата е отглеждане на селскостопанска продукция, посевен материал, продажба на селскостопанска продукция. Днес в Русия компанията заема тринадесето място сред фермите за картофи и първото в Пермската територия.

Юридически адрес: Русия, 617553, Пермска територия, Суксунски, село Мартяново.

Целите на предприятието като цяло:

· Получаване на печалба от основната дейност.

· Повишаване конкурентоспособността на продуктите и разширяване на пазарите за продажби.

· Концентрация на капитал и увеличаване на инвестиционния ресурс за реализиране на инвестиционни и други проекти.

Мисия на компанията:

1. Продължете да заемате водеща позиция на пазара.

2. Създаване на семенна ферма.

Организационна структура на предприятието.

Фирмата използва линейно-функционална структура. При линейно-функционална структура се формира йерархия на услугите. В тази структура ръководителите на функционални звена имат право да дават нареждания на следващото ниво на управление по функционални въпроси.

Структурата на предприятието е показана на фигура 1.

Хоствано на http://www.allbest.ru/

Хоствано на http://www.allbest.ru/

Фигура 1 - Организационна структура на Aries LLC

1.2 Анализ и характеристика на информационните ресурси на предприятието

Днес всеки е загрижен за сигурността на корпоративната информация. Индивидуалните програми и цели комплекси, предназначени за защита на данните, стават все по-популярни. Никой обаче не се замисля, че можеш да имаш колкото искаш. надеждна защитано все пак губят важна информация. Защото някой от служителите ви ще го сметне за незначително и ще го изложи на всеослушание. И ако сте сигурни, че сте защитени от това, тогава много грешите. На пръв поглед тази ситуация изглежда като нещо нереално, като шега. Това обаче се случва и се случва често. Всъщност техническият персонал, който в по-голямата част от случаите се занимава с проблемите на информационната сигурност, не винаги разбира кои данни трябва да бъдат скрити и кои не. За да разберете, трябва да разделите цялата информация на различни видове, които обикновено се наричат ​​типове, и ясно определят границите между тях.

В интерес на истината всички компании, специализирани в доставката на сложни системи за осигуряване на сигурността на компютърната информация, вземат предвид разделянето на данните на различни видове. Тук трябва да внимавате. Факт е, че западните продукти следват международните стандарти (по-специално ISO 17799 и някои други). Според тях всички данни се делят на три вида: отворени, поверителни и строго поверителни. Междувременно в нашата страна, според действащото законодателство, се използва малко по-различно разграничение: отворена информация, за вътрешна употреба и поверителна.

Отворена означава всяка информация, която може свободно да се предава на други лица, както и да се помества в медиите. Най-често се представя под формата на прессъобщения, речи на конференции, презентации и изложби, отделни (естествено положителни) елементи на статистиката. В допълнение, този лешояд включва всички данни, получени от отворени външни източници. И, разбира се, информацията, предназначена за корпоративен уебсайт, също се счита за публична.

На пръв поглед изглежда, че отворената информация не се нуждае от защита. Хората обаче забравят, че данните могат не само да бъдат откраднати, но и заменени. Следователно поддържането на целостта на отворената информация е много важна задача. В противен случай, вместо предварително подготвено прессъобщение, може да се окаже неразбираемо. Или Главна страницакорпоративният сайт ще бъде заменен с обидни надписи. Така че обществената информация също трябва да бъде защитена.

Като всяко друго предприятие, обществото има отворена информациясъдържащи се главно в презентации, показвани на потенциални инвеститори.

Информация за вътрешно ползване включва всички данни, които се използват от служителите при изпълнение на професионалните им задължения. Но това не е всичко. Тази категория включва цялата информация, която се обменя помежду им от различни отдели или клонове, за да се гарантира тяхната ефективност. И накрая, последният вид данни, попадащи в тази категория данни, е информация, получена от отворени източници и подложена на обработка (структуриране, редактиране, уточняване).

Всъщност цялата тази информация, дори и да попадне в ръцете на конкуренти или натрапници, не може да причини сериозна вреда на компанията. Въпреки това, някои щети от нейното отвличане все още могат да бъдат. Да предположим, че служителите са събрали новини за своя шеф по интересуваща го тема, сред които са избрали най-важните съобщения и са ги маркирали. Такъв дайджест е ясно информация за вътрешна употреба (информация, получена от отворени източници и подложена на обработка). На пръв поглед изглежда, че конкурентите, след като са го придобили, няма да могат да се възползват от него. Но всъщност те могат да се досетят от каква посока се интересува ръководството на вашата компания и, кой знае, може дори да успеят да ви изпреварят. Следователно информацията за вътрешна употреба трябва да бъде защитена не само от подмяна, но и от неоторизиран достъп. Вярно е, че в по-голямата част от случаите можете да се ограничите до сигурността на локалната мрежа, тъй като не е икономически изгодно да харчите големи суми за това.

Този вид информация се представя и в предприятието, която се съдържа в различни видове справки, списъци, извлечения и др.

Поверителна информация - документирана информация, достъпът до която е ограничен в съответствие със закона Руска федерация, който не е публично достъпен и ако бъде разкрит, е в състояние да увреди правата и защитените от закона интереси на лицето, което го е предоставило. Списъкът с данни, свързани с тази шия, се установява от държавата. На този моментто е както следва: лична информация, информация, представляваща търговска, служебна или професионална тайна, информация, която е тайна на следствието и деловодството. Освен това напоследък данните за същността на изобретението или научното откритие преди официалното им публикуване са класифицирани като поверителни.

Поверителната информация в едно предприятие включва такива данни като: план за развитие, изследователска работа, техническа документация, чертежи, разпределение на печалбата, договори, отчети, ресурси, партньори, преговори, договори, както и информация от управленски и планов характер.

Фирмата разполага с около двадесет компютъра. Що се отнася до наличието на локална мрежа в едно предприятие, компютрите в обществото не са обединени в една мрежа. Освен това всички компютри са оборудвани със стандартен комплект офис програмиИ счетоводни програми. Три компютъра имат достъп до Интернет през WAN Miniport. В същото време нито един компютър в предприятието не е оборудван с антивирусна програма. Обменът на информация се осъществява чрез медии: флаш памети, дискети. Цялата информация на "традиционните" медии се намира в шкафове, които не се заключват. Най-важните документи се съхраняват в сейф, ключовете от който се съхраняват при секретаря.

защита на информацията сигурност

1.3 Заплахи и средства за защита на информацията в предприятието

Заплаха за информационната сигурност - набор от условия и фактори, които създават потенциална или реална опасност, свързана с изтичане на информация и / или неразрешени и / или неволни въздействия върху нея

Според методите за въздействие върху обектите на информационната сигурност заплахите от значение за обществото са обект на следната класификация: информационни, софтуерни, физически, организационни и правни.

Информационните заплахи включват:

Неоторизиран достъп до информационни ресурси;

Кражба на информация от архиви и бази данни;

Нарушаване на технологията за обработка на информация;

незаконно събиране и използване на информация;

Софтуерните заплахи включват:

компютърни вируси и зловреден софтуер;

Физическите заплахи включват:

Унищожаване или унищожаване на средства за обработка на информация и комуникация;

Кражба на носители за съхранение;

Въздействието върху персонала

Организационните и правните заплахи включват:

Закупуване на несъвършени или остарели информационни технологии и средства за информатизация;

Средствата за информационна сигурност са набор от инженерни, електрически, електронни, оптични и други устройства и устройства, инструменти и технически системи, както и други реални елементи, използвани за решаване на различни проблеми на защитата на информацията, включително предотвратяване на изтичане и гарантиране на сигурността на защитената информация.

Помислете за инструментите за информационна сигурност, използвани в предприятието. Те са общо четири (хардуерни, софтуерни, смесени, организационни).

Хардуерна защита- брави, решетки на прозорци, СОТ, мрежови филтри, камери за видеонаблюдение.

Софтуерни защити: използват се инструменти на операционната система като защита, парола, акаунти.

Организационни средства за защита: подготовка на помещения с компютри.

2 Подобряване на системата за информационна сигурност

2.1 Констатирани недостатъци в системата за информационна сигурност

Най-уязвимото място в защитата на информацията в обществото е защитата компютърна сигурност. В хода дори на повърхностен анализ на предприятието могат да се идентифицират следните недостатъци:

§ Информацията рядко се архивира;

§ Недостатъчно ниво на софтуер за информационна сигурност;

§ Някои служители нямат достатъчно компютърни умения;

§ Няма контрол над служителите. Често служителите могат да напуснат работното място, без да изключат компютъра си и да имат флашка със сервизна информация.

§ Липса на нормативни документи по информационна сигурност.

§ Не всички компютри използват OS инструменти като пароли и акаунти.

2.2 Цели и задачи на формирането на системата за информационна сигурност в предприятието

Основната цел на системата за информационна сигурност е да осигури стабилна работа на съоръжението, да предотврати заплахи за неговата сигурност, да защити законните интереси на предприятието от незаконни посегателства, да предотврати кражба на средства, разкриване, загуба, изтичане, изкривяване и унищожаване на официална информация, осигуряваща нормалната производствена дейност на всички звена на обекта. Друга цел на системата за информационна сигурност е подобряване качеството на предоставяните услуги и гарантиране сигурността на правата на собственост и интереси.

Задачите на формиране на система за информационна сигурност в организацията са: целостта на информацията, надеждността на информацията и нейната поверителност. Когато задачите са изпълнени, целта ще бъде реализирана.

Създаването на системи за сигурност на информацията (ИСС) в ИС и ИТ се основава на следните принципи:

Систематичен подход за изграждане на система за защита, което означава оптимална комбинация от взаимосвързани организационни, софтуерни, хардуерни, физически и други свойства, потвърдени от практиката на създаване на вътрешни и чуждестранни системи за защита и използвани на всички етапи от технологичния цикъл на обработка на информация .

Принципът на непрекъснато развитие на системата. Този принцип, който е един от основните за компютърните информационни системи, е още по-актуален за НИС. Начините за прилагане на заплахи за информацията в ИТ непрекъснато се подобряват и следователно гарантирането на сигурността на IP не може да бъде еднократен акт. Това е непрекъснат процес, който се състои в обосноваване и прилагане на най-рационалните методи, методи и начини за подобряване на МКС, непрекъснато наблюдение, идентифициране на неговите пречки и слабости, потенциални канали за изтичане на информация и нови методи за неоторизиран достъп.

Разделяне и минимизиране на правомощията за достъп до обработваната информация и процедурите за обработка, т.е. предоставяне както на потребителите, така и на самите служители на ИС на минимум строго определени правомощия, достатъчни за изпълнение на служебните им задължения.

Пълнотата на контрола и регистриране на опити за неоторизиран достъп, т.е. необходимостта от точно установяване на самоличността на всеки потребител и записване на неговите действия за евентуално разследване, както и невъзможността за извършване на каквато и да е операция по обработка на информация в ИТ без предварителна регистрация.

Осигуряване на надеждността на системата за защита, т.е. невъзможността за намаляване на нивото на надеждност в случай на повреди, повреди, умишлени действия на хакер или неволни грешки на потребителите и персонала по поддръжката в системата.

Осигуряване на контрол върху функционирането на системата за защита, т.е. създаване на средства и методи за наблюдение на работата на защитните механизми.

Предоставяне на всички видове инструменти за защита от зловреден софтуер.

Осигуряване на икономическа целесъобразност на използването на системата за защита, която се изразява в превишаването на възможните щети на ИС и ИТ от внедряването на заплахи над разходите за разработване и експлоатация на МКС.

2.3 Предложени действия за подобряване на системата за информационна сигурност на организацията

Идентифицираните недостатъци в предприятието изискват тяхното отстраняване, поради което се предлагат следните мерки.

§ Редовно архивиране на базата данни с лични данни на служителите на компанията, със счетоводни данни и други бази данни, налични в предприятието. Това ще предотврати загуба на данни поради повреда на диска, прекъсване на захранването, вируси и други злополуки. Внимателно планиране и редовни процедури Резервно копиепозволява бързо възстановяване на данни в случай на загуба.

§ Използване на OS инструменти на всеки компютър. Създаване на акаунти за специалисти и редовна промяна на паролите за тези акаунти.

§ Обучение на персонала на предприятието за работа с компютри. Необходимо условиеза правилна работа на работните станции и предотвратяване на загуба и повреда на информация. От уменията на компютърния персонал по отношение на правилното изпълнение зависи работата на цялото предприятие.

§ Инсталиране на компютри на антивирусни програми като: Avast, NOD, Доктор Уеби така нататък. Така ще избегнете заразяването на компютрите с различни злонамерени програми, наречени вируси. Което е много важно за това предприятие, тъй като няколко компютъра имат достъп до интернет и служителите използват флаш носители за обмен на информация.

§ Провеждане на контрол върху служителите, чрез видеокамери. Това ще намали случаите на небрежно боравене с оборудването, риска от кражба и повреда на оборудването, а също така ще позволи да се контролира „премахването“ на служебна информация от територията на компанията.

§ Разработване на нормативен документ „Мерки за защита на информацията в Oven LLC и отговорност за техните нарушения“, който да отговаря на действащото законодателство на Руската федерация и да определя рисковете, нарушенията и отговорността за тези нарушения (глоби, наказания). Както и да направи съответната графа в трудовия договор на дружеството, че е запознат и се задължава да спазва разпоредбите на този документ.

2.4 Ефективност на предложените дейности

Предложените мерки носят не само положителни аспекти, като премахване на основните проблеми в предприятието, свързани с информационната сигурност. Но в същото време те ще изискват допълнителни инвестиции в обучение на персонала и разработване на нормативни документи, свързани с политиката за сигурност. Това ще изисква допълнителни разходи за труд и няма да елиминира напълно рисковете. Винаги ще има човешки фактор, непреодолима сила. Но ако такива мерки не бъдат взети, разходите за възстановяване на информация, загубените възможности ще струват повече от тези, необходими за разработване на система за сигурност.

Обмислете резултатите от предложените мерки:

1. Повишаване надеждността на системата за информационна сигурност на организацията;

2. Повишаване на нивото на компютърни умения на персонала;

3. Намален риск от загуба на информация;

4. Наличие на нормативен документ, определящ политиката за сигурност.

5. Евентуално намаляване на риска от въвеждане/премахване на информация от предприятието.

3 Модел на информационна сигурност

Представеният модел на информационна сигурност (Фигура 2) е набор от обективни външни и вътрешни фактори и тяхното влияние върху състоянието на информационната сигурност в обекта и върху безопасността на материалните или информационните ресурси.

Фигура 2 - Модел на системата за информационна сигурност

Този модел отговаря на специалните нормативни документи за осигуряване на информационната сигурност, приети в Руската федерация, международния стандарт ISO / IEC 15408 „Информационни технологии - методи за защита - критерии за оценка на информационната сигурност“, стандарта ISO / IEC 17799 „Управление на информационната сигурност “, и взема предвид тенденциите на развитие на вътрешната регулаторна рамка (по-специално на Държавната техническа комисия на Руската федерация) по въпросите на информационната сигурност.

Изводи и предложения

Информационната ера доведе до драматични промени в начина, по който хората изпълняват задълженията си за голям брой професии. Сега един нетехнически специалист от средно ниво може да върши работата, която вършеше висококвалифициран програмист. Служителят разполага с толкова точна и актуална информация, колкото никога не е имал.

Но използването на компютри и автоматизирани технологии води до редица проблеми за управлението на организацията. Компютрите, често свързани в мрежа, могат да осигурят достъп до огромно количество разнообразни данни. Поради това хората се притесняват за сигурността на информацията и рисковете, свързани с автоматизирането и предоставянето на много по-голям достъп до поверителни, лични или други критични данни. Броят на компютърните престъпления непрекъснато нараства, което в крайна сметка може да доведе до подкопаване на икономиката. И така, трябва да е ясно, че информацията е ресурс, който трябва да бъде защитен.

И тъй като автоматизацията доведе до факта, че сега операциите с компютърна технологиясе извършват от обикновени служители на организацията, а не от специално обучен технически персонал, е необходимо крайните потребители да са наясно с отговорността си за защита на информацията.

Няма нито една рецепта, която да дава 100% гаранция за безопасност на данните и надеждна работа на мрежата. Въпреки това, създаването на цялостна, добре обмислена концепция за сигурност, която отчита спецификата на задачите на конкретна организация, ще помогне да се сведе до минимум рискът от загуба на ценна информация. Компютърната сигурност е постоянна борба срещу глупостта на потребителите и интелигентността на хакерите.

В заключение бих искал да кажа, че защитата на информацията не се ограничава до технически методи. Проблемът е много по-широк. Основната липса на защита са хората и затова надеждността на системата за сигурност зависи основно от отношението на служителите на компанията към нея. Освен това защитата трябва непрекъснато да се подобрява заедно с развитието на компютърна мрежа. Не забравяйте, че не системата за сигурност пречи на работата, а нейното отсъствие.

Бих искал също така, обобщавайки резултатите от този курсов проект, да отбележа, че след анализ на системата за информационна сигурност на предприятието Aries бяха идентифицирани пет недостатъка. След търсенето бяха намерени решения за тяхното отстраняване, тези недостатъци могат да бъдат коригирани, което ще подобри информационната сигурност на предприятието като цяло.

В хода на горните действия бяха разработени практическите и теоретични умения за изучаване на системата за информационна сигурност, следователно целта на курсовия проект беше постигната. Благодарение на намерените решения можем да кажем, че всички задачи по проекта са изпълнени.

Библиография

1. ГОСТ 7.1-2003. Библиографски запис. Библиографско описание. Общи изискванияи правила за съставяне (М .: Издателство на стандарти, 2004 г.).

2. Галатенко, В.А. „Основи на информационната сигурност“. - М.: "Интуит", 2003 г.

3. Завгородний, В. И. „Интегрирана защита на информацията в компютърни системи". - М.: "Логос", 2001.

4. Зегжда, Д.П., Ивашко, А.М. "Основи на сигурността на информационните системи".

5. Носов, В.А. Въвеждащ курс по дисциплината "Информационна сигурност".

6. Федерален закон на Руската федерация от 27 юли 2006 г. N 149-FZ „За информацията, информационни технологиии защита на информацията"

Хоствано на Allbest.ru

Подобни документи

Характеристика на информационните ресурси на земеделско стопанство "Ашатлъ". Заплахи за информационната сигурност, специфични за предприятието. Мерки, методи и средства за защита на информацията. Анализ на недостатъците на съществуващата и предимствата на актуализираната система за сигурност.

курсова работа, добавена на 03.02.2011 г


Главна информацияза дейността на предприятието. Обекти на информационната сигурност в предприятието. Мерки и средства за защита на информацията. Копиране на данни на преносим носител. Инсталиране на вътрешен резервен сървър. Ефективност на подобряването на ИС системата.

тест, добавен на 29.08.2013 г


Понятието, значението и направленията на информационната сигурност. Систематичен подход за организиране на информационната сигурност, защита на информацията от неоторизиран достъп. Средства за защита на информацията. Методи и системи за информационна сигурност.

резюме, добавено на 15.11.2011 г


Система за формиране на режим на информационна сигурност. Задачи на информационната сигурност на обществото. Средства за защита на информацията: основни методи и системи. Защита на информацията в компютърни мрежи. Разпоредби на най-важните законодателни актове на Русия.

резюме, добавено на 20.01.2014 г


Анализ на риска за информационната сигурност. Оценка на съществуващи и планирани средства за защита. Набор от организационни мерки за осигуряване на информационна сигурност и защита на информацията на предприятието. Контролен пример за изпълнение на проекта и неговото описание.

дисертация, добавена на 19.12.2012 г


Стратегия за корпоративна информационна сигурност под формата на система от ефективни политики, които биха определили ефективен и достатъчен набор от изисквания за сигурност. Идентифициране на заплахи за информационната сигурност. Вътрешен контрол и управление на риска.

курсова работа, добавена на 14.06.2015 г


Описание на комплекса от задачи и обосновка на необходимостта от подобряване на системата за осигуряване на информационна сигурност и защита на информацията в предприятието. Разработване на проект за използване на СУБД, информационна сигурност и защита на личните данни.

дисертация, добавена на 17.11.2012 г


Нормативни документив областта на информационната сигурност в Русия. Анализ на заплахите на информационните системи. Характеристики на организацията на системата за защита на личните данни на клиниката. Внедряване на система за удостоверяване чрез електронни ключове.

дисертация, добавена на 31.10.2016 г


Предпоставки за създаване на система за сигурност на личните данни. Заплахи за информационната сигурност. Източници на неоторизиран достъп до ISPD. Устройството на информационните системи за лични данни. Средства за защита на информацията. Политика за сигурност.

курсова работа, добавена на 07.10.2016 г


Задачи, структура, физически, софтуерни и хардуерни мерки за защита на информационната система. Видове и причини за компютърни престъпления, начини за подобряване на политиката за сигурност на организацията. Предназначение и основни функции на папка "Дневник" MS Outlook 97.