2. ESET NOD 32 víruskereső rendszer a számítógépes vírusok elleni védelemhez.

Az adatbázisokat rendszeresen frissítik, és a munkaállomásokat átvizsgálják.

3. Beépített Windows biztonsági mentés az archívumok létrehozásához.

Az OS Backup Wizard egy olyan program, amelyhez készült gyors alkotásés állítsa vissza a biztonsági másolatot a Windows másolatai. Lehetővé teszi a teljes Windows vagy csak az egyes fájlok és mappák másolatának létrehozását.

4. Titkosítás 2048 bites kulccsal vpn csatorna(kapcsolat az alapkezelő társaság irodájával a levelezéshez és a munkafolyamathoz).

2. fejezet A NIS fejlesztése

2.1 Az információbiztonsági rendszer gyengeségei

Az információbiztonsággal kapcsolatos kérdések elemzése során figyelembe kell venni a biztonság ezen aspektusának sajátosságait, ami abban áll, hogy az információbiztonság az információtechnológia szerves része - egy olyan terület, amely soha nem látott ütemben fejlődik. Ez itt nem annyira fontos külön megoldások(törvények, tanfolyamok, szoftver- és hardvertermékek), amelyek a modern szinten vannak, mennyi olyan mechanizmust generálnak új megoldások, amelyek lehetővé teszik, hogy a technikai fejlődés ütemében éljen.

Modern technológiák programozás nem teszi lehetővé hibamentes programok létrehozását, ami nem járul hozzá a szoftver gyors fejlődéséhez információ biztonság.

A vállalkozás információbiztonságának elemzése után megállapítható, hogy nem fordítanak kellő figyelmet az információbiztonságra:

A rendszerhez való hozzáférési jelszavak hiánya;

A jelszavak hiánya az 1C: Enterprise programmal végzett munka során, az adatok megváltoztatásakor;

A fájlok és információk további védelme nincs (nincs elemi jelszókérés a fájlok információinak megnyitásakor vagy megváltoztatásakor, nem beszélve az adattitkosítási eszközökről);

A vírusirtó programok adatbázisainak rendszertelen frissítése és a munkaállomások ellenőrzése;

A papíralapú dokumentumok nagy része főként mappákban (néha nélkülük) található az alkalmazottak asztalán, ami lehetővé teszi a támadók számára, hogy az ilyen jellegű információkat saját céljaikra könnyen felhasználhassák;

A vállalatnál nem folyik rendszeres megbeszélés az információbiztonsági kérdésekről és az ezen a területen felmerülő problémákról;

A vállalkozás információs rendszereinek működőképességének rendszeres ellenőrzése nem szervezett, hibakeresés csak akkor történik meg, ha azok meghibásodnak;

Az információbiztonsági politika hiánya;

Rendszergazda hiánya.

A fentiek mindegyike nagyon fontos hiányosság a vállalkozás információbiztonságának biztosításában.

2.2 Az információbiztonsági rendszer célja és céljai

Információbiztonság – a biztonság állapota információs források V számítógépes hálózatokés a vállalati rendszereket a jogosulatlan hozzáféréstől, a rendszerek normál működésébe való véletlen vagy szándékos beavatkozástól, az összetevők megsemmisítésének kísérletétől.

Információbiztonsági célok:

a vállalkozás biztonságát fenyegető veszélyek megelőzése az információk megsemmisítésére, módosítására, eltorzítására, másolására, blokkolására vagy az információs erőforrásokba és információs rendszerekbe történő egyéb illegális beavatkozások egyéb formáiból fakadóan;

Számítógépes technológia segítségével feldolgozott üzleti titkok megőrzése;

az állampolgárok alkotmányos jogainak védelme a személyes titoktartás és az információs rendszerekben elérhető személyes adatok bizalmas kezeléséhez.

A védelmi célok eléréséhez az alábbi feladatok hatékony megoldását kell biztosítani:

Védelem a vállalkozás működésébe való illetéktelen személyek általi beavatkozás ellen;

védelem az illetéktelen személyek és a megfelelő jogosultsággal nem rendelkező alkalmazottak által a vállalkozás információforrásaival végzett jogosulatlan tevékenységek ellen;

Az örökbefogadás információs támogatásának teljességének, megbízhatóságának és hatékonyságának biztosítása vezetői döntések Vállalati menedzsment;

A fizikai biztonság biztosítása technikai eszközökkelés vállalati szoftverek, valamint azok védelme az ember által előidézett és természetes fenyegetési források hatásaival szemben;

az információbiztonságot érintő események nyilvántartása, biztosítva a vállalkozásnál végzett összes művelet végrehajtásának teljes körű ellenőrzését és elszámoltathatóságát;

az információbiztonságot fenyegető veszélyforrások, az alanyok érdekeinek sérelméhez, a vállalkozás normális működésének és fejlődésének megzavarásához hozzájáruló okok és feltételek időben történő azonosítása, felmérése és előrejelzése;

az információbiztonságot fenyegető veszélyek megvalósításának kockázatainak elemzése és az esetleges károk felmérése, a vállalati információbiztonság megsértésének elfogadhatatlan következményeinek megelőzése, az okozott károk minimalizálása és lokalizálása feltételeinek megteremtése;

Az információbiztonság megsértése esetén a vállalkozás jelenlegi állapotának helyreállításának lehetőségének biztosítása és ezen jogsértések következményeinek megszüntetése;

· A vállalkozás célirányos információbiztonsági politikájának kialakítása és kialakítása.

2.3 Intézkedések és eszközök az információbiztonsági rendszer javítására

A kitűzött célok eléréséhez és a problémák megoldásához információbiztonsági szintű tevékenységeket kell végezni.

Adminisztratív információbiztonsági szint.

Az információbiztonsági rendszer kialakításához információbiztonsági szabályzat kidolgozása és jóváhagyása szükséges.

A biztonsági politika olyan törvények, szabályok és viselkedési normák összessége, amelyek célja az információ és a kapcsolódó erőforrások védelme.

Megjegyzendő, hogy a kidolgozás alatt álló szabályzatnak összhangban kell lennie a szervezetre vonatkozó hatályos törvényekkel és szabályozásokkal, pl. ezeket a törvényeket és rendeleteket azonosítani kell, és figyelembe kell venni a politika kialakítása során.

Minél megbízhatóbb a rendszer, annál szigorúbbnak és változatosabbnak kell lennie a biztonsági politikának.

A kialakított szabályzattól függően választhat olyan konkrét mechanizmusokat, amelyek biztosítják a rendszer biztonságát.

Az információvédelem szervezeti szintje.

Az előző részben leírt hiányosságok alapján a következő intézkedések javasolhatók az információbiztonság javítására:

Munkaszervezés, hogy a személyzetet az újakkal való munkavégzés készségeire képezzék szoftver termékek szakképzett szakemberek részvételével;

A vállalkozás gazdasági, társadalmi és információbiztonsági rendszerének javítását célzó szükséges intézkedések kidolgozása.

Tartson eligazítást, hogy minden alkalmazott felismerje a rábízott információk fontosságát és titkosságát, mint általában a nyilvánosságra hozatal okát. bizalmas információ a munkavállalók nem ismerik kellőképpen az üzleti titkok védelmére vonatkozó szabályokat, és nem értik (vagy nem értik) azok gondos betartásának szükségességét.

Szigorú ellenőrzés a felett, hogy az alkalmazottak betartsák a bizalmas információkkal való munkavégzés szabályait;

A vállalkozás alkalmazottai munkadokumentációinak tárolására vonatkozó szabályok betartásának ellenőrzése;

Ütemezett találkozók, szemináriumok, megbeszélések a vállalati információbiztonsági kérdésekről;

Valamennyi információs rendszer és információs infrastruktúra rendszeres (ütemezett) ellenőrzése és karbantartása a működőképesség érdekében.

Rendszergazdát nevezzen ki állandó jelleggel.

Szoftver és hardver intézkedések az információk védelmére.

A szoftver és a hardver az egyik kritikus összetevők megvalósításában információ biztonság Ezért az információvédelem szintjének növelése érdekében a következő intézkedéseket kell bevezetni és alkalmazni:

Felhasználói jelszavak bevitele;

A vállalat információs erőforrásaihoz való felhasználói hozzáférés szabályozásához meg kell adnia azoknak a felhasználóknak a listáját, akik bejelentkezési névvel lépnek be a rendszerbe. Az OS használata Windows Server 2003 Std telepítve a szerverre, létrehozhat egy listát a felhasználókról a megfelelő jelszavakkal. Ossza meg a jelszavakat az alkalmazottaknak megfelelő használati utasítással együtt. Meg kell adnia a jelszó lejárati dátumát is, amely után a felhasználót a jelszó megváltoztatására kell kérni. Korlátozza a helytelen jelszóval történő bejelentkezési kísérletek számát (például háromra).

Jelszókérés bevezetése az 1C: Enterprise programban, amikor adatbázissal dolgozik, az adatok megváltoztatásakor. Ezt meg lehet tenni szoftver eszközök PC és programok.

Fájlokhoz, könyvtárakhoz, lemezekhez való hozzáférés megkülönböztetése.

A fájlokhoz és könyvtárakhoz való hozzáférés differenciálása megtörténik rendszergazda, amely lehetővé teszi a hozzáférést a megfelelő meghajtókhoz, mappákhoz és fájlokhoz minden egyes felhasználó számára.

Munkaállomások rendszeres ellenőrzése és vírusirtó programok adatbázisának frissítése.

Lehetővé teszi a rosszindulatú programok észlelését és semlegesítését, a fertőzések okainak megszüntetését. Szerszámok és rendszerek telepítését, konfigurálását és karbantartását szükséges elvégezni vírusvédelem.

Ehhez be kell állítania a víruskereső programot, hogy rendszeresen ellenőrizze a számítógépét, és rendszeresen frissítse az adatbázisokat a szerverről.

Az Agnitum Outpost FireWall tűzfal telepítése a szerver számítógépre, amely blokkolja az internetről érkező támadásokat.

Az Agnitum Outpost FireWall használatának előnyei:

¾ vezérli a számítógép kapcsolatait másokkal, blokkolja a hackereket, és megakadályozza a jogosulatlan külső és belső hálózati hozzáférést.

A vállalkozás információbiztonságának elemzése után megállapítható, hogy az információbiztonságban nem fordítanak kellő figyelmet a következő pontokra:

– a vállalati adatbázis szabálytalan biztonsági mentése;

– az adatokról nem készül biztonsági másolat az alkalmazottak személyi számítógépére;

- üzenetek Email Internetes levelezési szolgáltatások szerverein tárolva;

– egyes alkalmazottak nem rendelkeznek kellő készségekkel az automatizált rendszerekkel való munkavégzésben;

az alkalmazottak hozzáférhetnek személyi számítógépek kollégáik;

- hiány víruskereső programok egyes munkaállomásokon;

- Rossz beléptetés hálózati erőforrások;

– Nincsenek szabályozó dokumentumok a biztonságról.

A fentiek mindegyike nagyon fontos hiányosság a vállalkozás információbiztonságának biztosításában.

Kockázatelemzés

A fenyegetés veszélyét annak sikeres végrehajtása esetén a kockázat határozza meg. A kockázat a lehetséges kár. A kockázat tolerálhatósága azt jelenti, hogy a fenyegetés esetén a kár nem jár súlyos negatív következményekkel az információ tulajdonosára nézve. A szervezet a következő kockázatokkal néz szembe:

1. A vállalati adatbázis szabálytalan biztonsági mentése;

Következmények: adatvesztés a vállalkozás működéséről.

2. Nincs biztonsági mentés az alkalmazottak személyi számítógépein lévő adatokról;

Következmények: Ha a berendezés meghibásodik, néhány fontos adat elveszhet.

3. Az e-mail üzeneteket az internetes levelezőszolgáltatások szerverein tárolják;

4. Egyes alkalmazottak nem rendelkeznek elegendő készséggel az automatizált rendszerekkel való munkavégzésben;

Következmények: Helytelen adatok jelenhetnek meg a rendszerben.

5. Az alkalmazottak hozzáférhetnek kollégáik személyi számítógépéhez;

6. Vírusirtó programok hiánya egyes munkaállomásokon;

Következmények: vírus programok, rosszindulatú szoftverek megjelenése a rendszerben

7. A hálózati erőforrásokhoz való hozzáférési jogok nem megfelelő differenciálása;

Következmények: gondatlanságból adatvesztéshez vezethet.

8. Nincsenek normatív dokumentumok a biztonságról.

Az információbiztonsági rendszer célja és céljai

A vállalati biztonsági rendszer fő célja, hogy megakadályozza tevékenységében anyagi és technikai eszközök, dokumentációk ellopása miatti károkat; ingatlanok és értékek megsemmisítése; a bizalmas információk felfedése, kiszivárogtatása és azokhoz való jogosulatlan hozzáférés; a termelési tevékenységet biztosító technikai eszközök megsértése, beleértve az informatizálási eszközöket, valamint a vállalkozás személyi állományának károsodásának megakadályozását.

A biztonsági rendszer céljai:

a vállalkozás, szervezeti egységei és alkalmazottai jogainak védelme;

· Pénzügyi, tárgyi és információs források megőrzése és hatékony felhasználása;

· A szolgáltatás minőségének és az ügyfelek biztonságának biztosításával a vállalat imázsának javítása és nyereségének növekedése.

A vállalati biztonsági rendszer feladatai:

a személyzetet és az erőforrásokat fenyegető veszélyek időben történő észlelése és megszüntetése; a vállalkozás érdekeinek anyagi, anyagi és erkölcsi károkozáshoz, normál működésének és fejlődésének megzavarásához hozzájáruló okok és feltételek;

az információk kategorizálása korlátozott hozzáférés, és egyéb erőforrások – különböző szintű sérülékenység (veszély) és megőrzés tárgya;

a biztonsági fenyegetésekre és a vállalat működésében tapasztalható negatív tendenciák megnyilvánulásaira való azonnali reagálás mechanizmusának és feltételeinek megteremtése;

az erőforrásokba való behatolás és a személyzetet fenyegető veszélyek hatékony visszaszorítása a biztonság integrált megközelítése alapján;

A biztonsági rendszer megszervezésének és működésének a következő elveken kell alapulnia:

Bonyolultság. Ez magában foglalja a személyzet, az anyagi és pénzügyi erőforrások biztonságának, valamint az összes lehetséges fenyegetéssel szembeni tájékoztatás biztosítását minden rendelkezésre álló jogi eszközzel és módszerrel. életciklusés minden üzemmódban, valamint a rendszer fejlődési és fejlesztési képessége a működés folyamatában.

Megbízhatóság. A különböző biztonsági zónáknak egyformán megbízhatónak kell lenniük a fenyegetés megvalósulásának valószínűsége szempontjából.

Időszerűség. A rendszer proaktív képessége a biztonsági fenyegetések elemzésén és előrejelzésén, valamint az ezek elleni hatékony intézkedések kidolgozásán alapulóan.

Folytonosság. Nincsenek fennakadások a biztonsági rendszerek működésében javítás, csere, karbantartás stb.

Jogszerűség. Biztonsági rendszerek fejlesztése a meglévő jogszabályok alapján.

ésszerű elegendő. Elfogadható biztonsági szint kialakítása, amelynél az esetleges károk valószínűsége és mértéke kombinálódik a biztonsági rendszer fejlesztésének és üzemeltetésének megengedhető maximális költségeivel.

Az irányítás centralizálása. A biztonsági rendszer önálló működése egységes szervezeti, funkcionális és módszertani elvek szerint.

Kompetencia. A biztonsági rendszert olyan személyeknek kell létrehozniuk és kezelniük, akik megfelelő szakmai képzettséggel rendelkeznek a helyzet helyes felméréséhez és a megfelelő döntések meghozatalához, beleértve a fokozott kockázatot is.

A biztonsági rendszer legsebezhetőbb helye a vállalat alkalmazottai, valamint a szoftver és a hardver. Különösen az adatokról nem készül biztonsági másolat a személyi számítógépekre berendezés meghibásodása esetén, egyes fontos adatok elveszhetnek; frissítés nem fut operációs rendszer MS Windows XP és a használt szoftver, amely a számítógépen tárolt információkhoz való jogosulatlan hozzáféréshez vagy a szoftver hibái miatti károsodásához vezethet; az alkalmazottak internetes forrásokhoz való hozzáférése nem ellenőrzött, ami adatszivárgáshoz vezethet; üzleti email levelezés az interneten, nem biztonságos csatornákon keresztül bonyolított e-mail üzenetek tárolása az internetes levelezési szolgáltatások szerverein történik; egyes alkalmazottak nem rendelkeznek kellő ismeretekkel az akadémián használt automatizált rendszerekkel való munkavégzésben, ami hibás adatok megjelenéséhez vezethet a rendszerben; az alkalmazottak hozzáférhetnek kollégáik személyi számítógépéhez, ami gondatlanságból adatvesztéshez vezethet; minden oktató hozzáférhet az archívumhoz, aminek következtében egyes személyes iratok elveszhetnek, vagy a keresésük elhúzódhat; nincsenek biztonsági előírások.

Az információbiztonsági rendszer fő célja a létesítmény stabil működésének biztosítása, a biztonságot fenyegető veszélyek megelőzése, a vállalkozás jogos érdekeinek védelme a jogellenes beavatkozásokkal szemben, a szolgáltatási információk és a személyes adatok nyilvánosságra hozatalának, elvesztésének, kiszivárgásának, eltorzulásának és megsemmisülésének megakadályozása. információkat, biztosítva a létesítmény összes részlegének normál termelési tevékenységét.

Az információbiztonsági rendszer másik célja a nyújtott szolgáltatások minőségének és a biztonsági garanciák javítása.

Az információbiztonsági rendszer kialakításának feladatai a szervezetben: az információk integritása, az információk megbízhatósága és titkossága. A feladatok elvégzése után a cél megvalósul.

Az információbiztonsági rendszerek létrehozása az IS-ben és az IT-ben a következő elveken alapul:

A védelmi rendszer felépítésének szisztematikus megközelítése, amely az egymással összefüggő szervezeti, szoftveres, hardveres, fizikai és egyéb tulajdonságok optimális kombinációját jelenti, amelyet a hazai és külföldi védelmi rendszerek létrehozásának gyakorlata is megerősít, és amelyet az információfeldolgozás technológiai ciklusának minden szakaszában alkalmaznak. .

A rendszer folyamatos fejlesztésének elve. Ez az elv, amely a számítógépes információs rendszerek egyik alapelve, még inkább érvényes a NIS-re. Az informatikai információs fenyegetések megvalósításának módjai folyamatosan javulnak, ezért az IP biztonságának biztosítása nem lehet egyszeri lépés. Ez egy folyamatos folyamat, amely az ISS fejlesztésének legracionálisabb módszereinek, módszereinek és módozatainak megalapozásából és megvalósításából, folyamatos monitorozásból, szűk keresztmetszetek és gyengeségek, a lehetséges információszivárgási csatornák és a jogosulatlan hozzáférés új módszereinek feltárásából áll.

A feldolgozott információkhoz való hozzáférés és a feldolgozási eljárások hatásköreinek szétválasztása és minimalizálása, pl. mind a felhasználók, mind az IS alkalmazottak minimális, szigorúan meghatározott jogosítványok biztosítása, amelyek elegendőek hivatalos feladataik ellátásához.

A jogosulatlan hozzáférési kísérletek ellenőrzésének és nyilvántartásának teljessége, i.e. az egyes felhasználók személyazonosságának pontos megállapításának és tevékenységének rögzítésének szükségessége egy esetleges kivizsgálás érdekében, valamint az informatikai információfeldolgozási műveletek előzetes regisztrációja nélkül történő végrehajtásának lehetetlensége.

A védelmi rendszer megbízhatóságának biztosítása, pl. a megbízhatóság szintjének csökkentésének lehetetlensége meghibásodások, meghibásodások, hacker szándékos cselekedetei vagy a felhasználók és a karbantartó személyzet nem szándékos hibái esetén.

A védelmi rendszer működése feletti ellenőrzés biztosítása, pl. eszközök és módszerek létrehozása a védelmi mechanizmusok teljesítményének ellenőrzésére.

Különféle harci eszközök biztosítása rosszindulatú.

A védelmi rendszer használatának gazdasági megvalósíthatóságának biztosítása, amely a fenyegetések megvalósításából eredő, az IS-t és az informatikát érő lehetséges károk többletében fejeződik ki az ISS fejlesztési és üzemeltetési költségein felül.

A megtett védintézkedéseknek megfelelőnek kell lenniük a végrehajtás valószínűségéhez ebből a típusból a fenyegetés és a fenyegetés megvalósulása esetén esetlegesen előidézhető kár (beleértve az ellene való védekezés költségeit is).

Szem előtt kell tartani, hogy számos védelmi intézkedés kellően nagy számítási erőforrást igényel, ami viszont jelentősen befolyásolja az információfeldolgozás folyamatát. Ezért a probléma megoldásának modern megközelítése az információs erőforrások biztonságának helyzetkezelési elveinek alkalmazása az automatizált vezérlőrendszerekben. Ennek a megközelítésnek a lényege abban rejlik, hogy a szükséges információbiztonsági szintet annak a helyzetnek megfelelően állítják be, amely meghatározza a feldolgozott információ értékének és a költségeknek az arányát (automatizált vezérlőrendszerek teljesítményének csökkenése, további véletlen hozzáférésű memória stb.), amelyek e szint eléréséhez szükségesek, valamint az információ elferdítéséből és jogosulatlan felhasználásából eredő esetleges teljes (anyagi, erkölcsi stb.) veszteségek.

Az információs erőforrások védelmének szükséges jellemzőit a biztonságos információfeldolgozás technológiai folyamatának közvetlen előkészítése során a helyzettervezés során, az aktuális helyzet figyelembevételével, valamint (csökkentett mennyiségben) a feldolgozási folyamat során is meghatározzák. A védőintézkedések megválasztásakor nem csak az eszközök és programok beszerzésének közvetlen költségeit kell figyelembe venni, hanem az új termékek bevezetésének, a személyzet képzésének és átképzésének költségeit is. Fontos körülmény az új eszköz kompatibilitása az objektum meglévő hardver- és szoftverstruktúrájával.

A szellemi tulajdonvédelem területén szerzett külföldi és az államtitok védelmében szerzett hazai tapasztalatok azt mutatják, hogy csak az átfogó védelem lehet hatékony, olyan védelmi területeket ötvözve, mint a jogi, szervezési és mérnöki védelem.

Jogi irány rendelkezik olyan jogalkotási aktusok, szabályozó dokumentumok, rendeletek, utasítások, iránymutatások megalkotásáról, amelyek követelményei az információbiztonsági rendszerben végzett tevékenységük körében kötelezőek.

Szervezeti irány- ez a produkciós tevékenység és az előadóművészek kapcsolatának jogi alapon történő szabályozása oly módon, hogy a bizalmas információk nyilvánosságra hozatala, kiszivárogtatása, jogosulatlan hozzáférése szervezési intézkedésekkel lehetetlenné vagy jelentős mértékben megnehezüljön.

Szakértők szerint a szervezeti intézkedések fontos szerepet játszanak egy megbízható információvédelmi mechanizmus kialakításában, hiszen a bizalmas információk jogosulatlan felhasználásának lehetősége nagyrészt nem technikai szempontoknak, hanem rosszindulatú cselekményeknek, gondatlanságnak, a felhasználók gondatlanságának és hanyagságának, illetve a biztonságnak köszönhető. személyzet.

A szervezési tevékenységek közé tartozik:

Irodai és ipari épületek, helyiségek tervezésével, kivitelezésével és felszerelésével kapcsolatos tevékenységek;

A személyzet kiválasztásában végzett tevékenységek;

Megbízható beléptetés szervezése és fenntartása, a helyiségek és a terület biztonsága, a látogatók ellenőrzése;

Dokumentumok és bizalmas információhordozók tárolásának és használatának megszervezése;

Információbiztonság szervezése;

Rendszeres dolgozói továbbképzések szervezése.

A vállalat szervezeti információbiztonságának egyik fő eleme az Információbiztonsági Szolgálat (ISS - az információbiztonsági rendszert irányító szerv). Az információbiztonsági szolgálat munkatársainak szakmai felkészültségéből, a fegyvertárukban való jelenlétből fakad modern eszközökkel A biztonságkezelés nagymértékben függ az információvédelmi intézkedések hatékonyságától. Személyi összetételét, létszámát és összetételét a vállalat valós igényei, információinak titkosságának foka és az általános biztonsági állapot határozza meg.

Az ISS működésének fő célja szervezési intézkedések, valamint szoftver és hardver felhasználásával a biztonsági szabályzat megsértésének elkerülése, vagy legalábbis minimalizálása, végső esetben a jogsértés következményeinek időben történő észlelése és megszüntetése.

A SIS sikeres működésének biztosítása érdekében meg kell határozni jogait és kötelezettségeit, valamint a létesítményben található információvédelem kérdésében más egységekkel való interakció szabályait. A szolgáltatás számának elegendőnek kell lennie az összes hozzárendelt funkció ellátásához. Kívánatos, hogy a szolgálat munkatársai ne legyenek a védelem tárgyának működésével kapcsolatos feladatok. Az információbiztonsági szolgálat számára biztosítani kell a feladatai ellátásához szükséges minden feltételt.

mag mérnöki és műszaki irány szoftveres és hardveres információbiztonsági eszközök, amelyek magukban foglalják a mechanikai, elektromechanikus, elektronikus, optikai, lézer-, rádió- és rádiótechnikai, radar- és egyéb eszközöket, rendszereket és szerkezeteket, amelyek célja az információ biztonságának és védelmének biztosítása.

Alatt szoftver Az információbiztonság halmazként értendő speciális programok, az információvédelem funkcióit és a működési módot megvalósítva.

A kialakult jogi, szervezeti és mérnöki intézkedések összessége megfelelő biztonsági politikát eredményez.

A biztonsági politika határozza meg az információbiztonsági rendszer megjelenését jogi normák, szervezeti (jogi) intézkedések, szoftver- és hardvereszközök összessége, valamint eljárási megoldások formájában, amelyek célja a fenyegetések leküzdése az információ lehetséges következményeinek kiküszöbölése vagy minimalizálása érdekében. hatások. A biztonsági politika egyik vagy másik változatának elfogadása után fel kell mérni az információs rendszer biztonsági szintjét. A biztonság értékelése természetesen egy sor mutató szerint történik, amelyek közül a legfontosabb a költség, a hatékonyság és a megvalósíthatóság.

Az információbiztonsági rendszer kiépítésének lehetőségeinek felmérése meglehetősen bonyolult feladat, amely modern matematikai módszerek alkalmazását igényli a többparaméteres teljesítményértékeléshez. Ezek közé tartozik: a hierarchiák elemzésének módszere, a szakértői módszerek, az egymást követő engedmények módszere és számos más.

A tervezett intézkedések meghozatalakor ellenőrizni kell azok hatékonyságát, vagyis meg kell győződni arról, hogy a fennmaradó kockázatok elfogadhatóvá váltak. Csak ezután lehet a következő átértékelés időpontját kitűzni. Ellenkező esetben elemeznie kell az elkövetett hibákat, és egy második sebezhetőségelemzést kell végeznie, figyelembe véve a védelmi rendszer változásait.

A behatoló tevékenységének generált lehetséges forgatókönyve megköveteli az információbiztonsági rendszer ellenőrzését. Ezt a tesztet "penetrációs tesztnek" nevezik. A cél annak biztosítása, hogy a jogosulatlan felhasználóknak nincs egyszerű módja a biztonsági mechanizmusok megkerülésére.

Az egyik lehetséges módjai rendszerbiztonsági tanúsítványok – a hackerek feltörésre való felhívása a hálózati személyzet előzetes értesítése nélkül. Ehhez egy két-három fős, magas szakmai felkészültségű csoportot osztanak ki. A hackerek védett automatizált rendszert kapnak, a csoport pedig 1-3 hónapon keresztül igyekszik felkutatni a sebezhetőségeket, és ezek alapján teszteszközöket fejleszteni a védelmi mechanizmusok megkerülésére. A felbérelt hackerek bizalmas jelentést nyújtanak be a munka eredményeiről, amelyben értékelik az információ elérhetőségi szintjét, és javaslatokat tesznek a védelem javítására.

Ezzel a módszerrel együtt szoftvertesztelő eszközöket is használnak.

A színpadon védelmi terv elkészítése a választott biztonsági politikának megfelelően végrehajtási tervet dolgoznak ki. A védelmi terv az információvédelmi rendszert életbe léptető dokumentum, amelyet a szervezet vezetője hagy jóvá. A tervezés nem csak arról szól legjobb felhasználása a vállalat rendelkezésére álló összes lehetőséget, ideértve az allokált erőforrásokat, de az olyan hibás cselekvések megelőzésével is, amelyek az információvédelmi intézkedések hatékonyságának csökkenéséhez vezethetnek.

A webhely információbiztonsági tervének tartalmaznia kell:

A védett rendszer leírása (a védett objektum főbb jellemzői: az objektum célja, a megoldandó feladatok listája, a hardver és szoftver konfigurációja, jellemzői és elhelyezése, az információ kategóriáinak listája (csomagok, fájlok, a védendő készletek és adatbázisok, amelyekben ezeket tartalmazzák, valamint a hozzáférés biztosítására, a titkosságra és az ezen információkategóriák integritására vonatkozó követelmények, a felhasználók listája és a rendszererőforrásokhoz való hozzáférési jogosultságaik stb.);

A rendszer védelmének célja, valamint az automatizált rendszer és a benne keringő információk biztonságának biztosításának módjai;

A jelentős biztonsági fenyegetések listája automatizált rendszer amelyektől védelem szükséges, és a károsodás legvalószínűbb módjai;

Információbiztonsági politika;

Finanszírozási terv és funkcionális diagram információbiztonsági rendszerek a létesítményben;

Információbiztonsági eszközök specifikációja és megvalósításuk költségbecslése;

Az információ védelmét szolgáló szervezési és technikai intézkedések végrehajtásának naptári terve, a védelmi eszközök életbe léptetésének rendje;

A személyzet tevékenységére vonatkozó alapvető szabályok a létesítmény információbiztonságának biztosításával kapcsolatban (az automatizált rendszert kiszolgáló tisztviselők speciális feladatai);

A terv felülvizsgálatának és a védelmi eszközök korszerűsítésének eljárása.

A védelmi terv akkor kerül felülvizsgálatra, ha az objektum következő összetevői megváltoznak:

Építészet tájékoztatási rendszer(más helyi hálózatok csatlakoztatása, használt számítógépes berendezés vagy szoftver cseréje, módosítása);

Az automatizált rendszer összetevőinek területi elhelyezkedése.

A védelmi terv részeként intézkedési tervet kell készíteni a kritikus helyzetben lévő személyzetre, pl. ellátási terv folyamatos munkavégzés és információ visszaszerzés. Ez tükrözi:

Az automatizált rendszer működési folyamatának folyamatosságának biztosítása, teljesítményének helyreállítása és elérésének módjai;

A lehetséges krízishelyzetek listája és osztályozása;

Az információfeldolgozási folyamat (létrehozásának, tárolásának és felhasználásának eljárása) folyamatos működését és helyreállítását biztosító követelmények, intézkedések és eszközök biztonsági mentések aktuális, hosszú távú és sürgősségi archívumok tájékoztatása, karbantartása; a tartalék felszerelés összetétele és használatának rendje stb.);

A rendszer különböző kategóriáiban dolgozó személyzet felelőssége és eljárása válsághelyzetekben, azok következményeinek felszámolása, az okozott károk minimalizálása és a rendszer normál működésének helyreállítása esetén.

Ha egy szervezet cserél elektronikus dokumentumokat az egyedi megbízások teljesítésében részt vevő partnerekkel a védelmi tervbe bele kell foglalni az elektronikus dokumentumok cseréjének megszervezésének eljárási rendjéről szóló megállapodást, amely a következő kérdéseket tükrözi:

Az elektronikus dokumentumcsere folyamataiban részt vevő alanyok felelősségének elkülönítése;

Az elektronikus dokumentumok elkészítésének, lebonyolításának, továbbításának, átvételének, hitelességének, sértetlenségének ellenőrzési eljárásrendjének meghatározása;

A kulcsfontosságú információk (kulcsok, jelszavak stb.) előállításának, hitelesítésének és terjesztésének eljárása;

A vitarendezési eljárás konfliktusok esetén.

Az információbiztonsági terv szöveges és grafikus dokumentumokból álló csomag, ezért a csomag fenti összetevőivel együtt a következőket tartalmazhatja:

az üzleti titokról szóló rendelet, amely meghatározza az üzleti titkot képező adatok jegyzékét és megállapításának rendjét, valamint a tisztségviselők üzleti titokvédelmi feladatait;

Információvédelmi szabályzat, amely a biztonsági politika megvalósítása érdekében minden tevékenységi területet szabályoz, valamint számos további utasítás, szabály, előírás, amely megfelel a védelem tárgyának sajátosságainak.

Védelmi terv végrehajtása (védelmi rendszer irányítása) magában foglalja a szükséges dokumentumok kidolgozását, a beszállítókkal való szerződések megkötését, berendezések telepítését, konfigurálását stb. Az információbiztonsági rendszer kialakítása után megoldódik a hatékony felhasználás, azaz a biztonságmenedzsment feladata.

A menedzsment egy objektumra gyakorolt ​​célirányos befolyásolás folyamata, amelyet azért hajtanak végre, hogy egy adott program szerint megszervezzék annak működését.

Az információbiztonság kezelésének a következőnek kell lennie:

Ellenáll a behatoló aktív interferenciájának;

Folyamatos, állandó hatást biztosít a védelmi folyamatra;

Rejtett, nem engedi felfedni az információbiztonsági menedzsment szervezetét;

Működőképes, amely lehetőséget biztosít a behatolók intézkedéseire időben és megfelelően reagálni, és a vezetői döntéseket adott időpontig végrehajtani.

Ezen túlmenően az információbiztonsággal kapcsolatos döntéseket indokolni kell a feladatellátás feltételeinek átfogó mérlegelésével, a pályázattal. különféle modellek, számítási és információs feladatokat, szakértői rendszereket, tapasztalatokat és minden olyan adatot, amely növeli a kiindulási információk és döntések megbízhatóságát.

Az információbiztonsági menedzsment eredményességének mutatója az ellenőrzési ciklus ideje egy adott minőségi döntésnél. Az irányítási ciklus magában foglalja a helyzet felméréséhez szükséges információk összegyűjtését, a döntéshozatalt, a megfelelő parancsok kialakítását és végrehajtását. Hatékonysági kritériumként használható az információbiztonsági rendszer jogsértésre adott válaszideje, amely értéke nem haladhatja meg az információ avulási idejét.

Ahogy a valódi automatizált irányítási rendszerek fejlődése is mutatja, az információbiztonságot biztosító módszerek (intézkedések, eszközök és tevékenységek) egyike sem teljesen megbízható, és a maximális hatás akkor érhető el, ha mindegyiket egy integrált információvédelmi rendszerré egyesítjük. Csak a szervezési, technikai és programintézkedések optimális kombinációja, valamint a védelmi rendszer naprakészen tartásának folyamatos odafigyelése és ellenőrzése teszi lehetővé az állandó feladat legnagyobb hatékonyságú megoldását.

Az információbiztonság biztosításának módszertani alapjai az alkotás világtapasztalatán alapuló, meglehetősen általános ajánlások hasonló rendszerek. Az egyes információbiztonsági szakemberek feladata, hogy absztrakt rendelkezéseket a saját szakterületükhöz (szervezethez, bankhoz) igazítsák, aminek mindig megvannak a maga sajátosságai és finomságai.

A hazai és külföldi tapasztalatok elemzése meggyőzően bizonyítja, hogy egy vállalat számára olyan integrált információbiztonsági rendszert kell létrehozni, amely összekapcsolja a működési, működési, műszaki és szervezeti védelmi intézkedéseket. Ezenkívül a biztonsági rendszernek optimálisnak kell lennie a költségek és a védett erőforrások értékének aránya szempontjából. A rendszer rugalmasságot és alkalmazkodást igényel a gyorsan változó környezeti tényezőkhöz, az intézmény szervezeti és társadalmi viszonyaihoz. Ilyen biztonsági szintet nem lehet elérni a meglévő fenyegetések és az információszivárgás lehetséges csatornáinak elemzése, valamint a vállalatnál információbiztonsági politika kidolgozása nélkül. Ennek eredményeként olyan védelmi tervet kell készíteni, amely megvalósítja a biztonságpolitikában lefektetett elveket.

De vannak más nehézségek és „csapdák”, amelyekre mindenképpen oda kell figyelni. Ezek a gyakorlatban azonosított, formalizálható problémák: olyan társadalmi és politikai jellegű problémák, amelyek nem technikai vagy technológiai jellegűek, és amelyeket így vagy úgy megoldanak.

1. probléma. A közép- és alsóbb besorolású alkalmazottak és vezetők nem értik meg, hogy az információbiztonság szintjén javítani kell.

A vezetői ranglétrán ezen a fokon általában nem látszanak a szervezet előtt álló stratégiai feladatok. Ugyanakkor a biztonsági problémák akár irritációt is okozhatnak – „felesleges” nehézségeket okoznak.

A következő érveket gyakran felhozzák az információbiztonság érdekében végzett munka és intézkedések megtétele ellen:

További korlátozások megjelenése a végfelhasználók és az osztályok szakemberei számára, ami megnehezíti számukra az automatizált szervezeti rendszer használatát;

További anyagköltségek szükségessége mind az ilyen munkák elvégzéséhez, mind az információbiztonság problémájával foglalkozó szakemberek létszámának bővítéséhez.

Ez a probléma az egyik fő probléma. Minden más kérdés így vagy úgy annak következményeként hat. Ennek leküzdéséhez fontos a következő feladatok megoldása: egyrészt a személyzet információbiztonsági készségeinek fejlesztése speciális értekezletek és szemináriumok megtartásával; másodsorban a személyzet tudatosságának növelése, különös tekintettel a szervezet előtt álló stratégiai feladatokra.

2. probléma Konfrontáció az automatizálási szolgáltatás és a szervezetek biztonsági szolgálata között.

Ez a probléma a tevékenység típusából és befolyási köréből, valamint ezen struktúrák vállalaton belüli felelősségéből adódik. A védelmi rendszer megvalósítása műszaki szakemberek kezében van, biztonságáért a biztonsági szolgálat felelőssége. A biztonsági szakemberek minden áron korlátozni akarnak a segítségével tűzfalak minden forgalom. Az automatizálási osztályokon dolgozók azonban nem hajlandók foglalkozni a speciális szerszámok karbantartásával kapcsolatos további problémákkal. Az ilyen nézeteltérések nem a legjobb hatással vannak az egész szervezet biztonsági szintjére.

Ezt a problémát, mint a legtöbb hasonlót, tisztán menedzseri módszerekkel oldják meg. Először is fontos, hogy a vállalat szervezeti felépítésében legyen egy mechanizmus az ilyen viták megoldására. Például mindkét szolgáltatásnak lehet egyetlen főnöke, aki megoldja az interakciójuk problémáit. Másodszor, a technológiai és szervezeti dokumentációnak egyértelműen és hozzáértően meg kell osztania az osztályok befolyási és felelősségi köreit.

3. probléma. Személyes ambíciók és kapcsolatok közép- és felsővezetői szinten.

A vezetők közötti kapcsolatok eltérőek lehetnek. Néha az információbiztonság tanulmányozása során egyik vagy másik tisztviselő túlzott érdeklődést mutat ezen munkák eredményei iránt. A kutatás valóban elég hatékony eszköz sajátos problémáik megoldására és ambícióik kielégítésére. A jelentésben rögzített következtetéseket és ajánlásokat az egyik vagy másik kapcsolat további intézkedéseinek terveként használják fel. A jelentés következtetéseinek „szabad” értelmezése is lehetséges az alábbiakban ismertetett 5. problémával kombinálva. Ez a helyzet rendkívül nemkívánatos tényező, mivel torzítja a munka értelmét, és időben történő azonosítást és megszüntetést igényel a vállalat felső vezetésének szintjén. Legjobb lehetőség az üzleti kapcsolatok az, amikor a szervezet érdekeit helyezik előtérbe, és nem személyesek.

4. probléma. Az információbiztonsági rendszer létrehozására tervezett akcióprogram végrehajtásának alacsony szintje.

Ez egy meglehetősen banális helyzet, amikor a stratégiai célok és célkitűzések elvesznek a végrehajtás szintjén. Minden tökéletesen indulhat. Az információbiztonsági rendszer fejlesztésének szükségességéről a főigazgató dönt. Az audit elvégzésére független tanácsadó céget vesznek fel meglévő rendszer információvédelem. A befejezést követően jelentés készül, amely tartalmazza az összes szükséges ajánlást az információ védelmére, az információbiztonság területén meglévő munkafolyamat véglegesítésére, az információvédelmi technikai eszközök és szervezési intézkedések bevezetésére, valamint a létrehozott rendszer további támogatására. A védelmi terv rövid és hosszú távú intézkedéseket tartalmaz. A további ajánlásokat végrehajtásra átadják valamelyik osztálynak. És itt fontos, hogy ne fulladjanak bele a bürokrácia, a személyes ambíciók, a személyzet lomhasága és egy tucat egyéb ok mocsarába. Előfordulhat, hogy a vállalkozó rosszul tájékozott, nem kellően hozzáértő, vagy egyszerűen nem érdeklődik a munka elvégzésében. Fontos, hogy a vezérigazgató figyelemmel kísérje a tervezett terv megvalósítását, hogy egyrészt ne veszítse el a kezdeti szakaszban a biztonságba fektetett pénzeszközöket, másrészt ne szenvedjen veszteséget e biztonság hiánya miatt. .

5. probléma. Információbiztonsági szakemberek alacsony képzettsége.

Ez a szempont nem tekinthető komoly akadálynak, ha nem akadálya egy információbiztonsági rendszer kialakításának. Az a tény, hogy a védelmi terv általában olyan eseményt tartalmaz, mint a vállalat információvédelmi területén dolgozó szakemberek továbbképzése. Az információbiztonság megszervezésének alapjairól szemináriumok tarthatók más szolgálatok szakemberei számára. Helyesen fel kell mérni a védelmi terv végrehajtásában részt vevő munkavállalók valós képzettségét. Gyakran a helytelen következtetések vagy a védelmi módszerek gyakorlati alkalmazásának képtelensége okoz nehézségeket az ajánlott intézkedések végrehajtásában. Ilyen körülményekre utalva a leghelyesebb kiút az információbiztonsági szakemberek készségeinek fejlesztése lenne a kifejezetten erre a célra létrehozott oktatóközpontokban.

Így a gazdasági és információbiztonság javítása terén végzett gyakorlati tevékenységek egyértelműen azt mutatják, hogy egy valós információbiztonsági rendszer létrehozása nagymértékben függ e problémák időben történő megoldásától. A felhalmozott tapasztalatok azonban azt mutatják, hogy a megbeszélt kérdések mindegyike sikeresen megoldható, ha a megrendelő és a kivitelező cég képviselői szorosan együttműködnek. A legfontosabb dolog az ilyen munka elvégzésének fontosságának felismerése, a meglévő fenyegetések időben történő azonosítása és megfelelő ellenintézkedések alkalmazása, amelyek általában minden egyes vállalkozásra jellemzőek. A vágy és a lehetőségek jelenléte kellő feltétele a gyümölcsöző munkának, melynek célja a szervezet biztonságát biztosító integrált rendszer kialakítása lenne.

Előző

Küldje el a jó munkát a tudásbázis egyszerű. Használja az alábbi űrlapot

Diákok, végzős hallgatók, fiatal tudósok, akik a tudásbázist tanulmányaikban és munkájukban használják, nagyon hálásak lesznek Önnek.

Házigazda: http://www.allbest.ru/

TANFOLYAM PROJEKT

Az "Információbiztonság" szakterületen

A témán

„Az információbiztonsági rendszer fejlesztése bekapcsolva

Enterprise LLC "Sütő"

Bevezetés

Ha már az információbiztonságról beszélünk, jelenleg ezek a számítógépes biztonságot jelentik. Valójában az információ elektronikus média egyre fontosabb szerepet játszik a modern társadalomban. Az ilyen információk sebezhetősége számos tényezőnek köszönhető: hatalmas mennyiségek, többpontos és lehetséges hozzáférési névtelenség, "információs szabotázs" lehetősége... Mindez az elhelyezett információk biztonságának biztosítását teszi feladattá. számítógépes környezet, sokkal nehezebb probléma, mint mondjuk a hagyományos levélváltás titkosságának megőrzése.

Ha a hagyományos adathordozókon (papír, fotónyomat stb.) tárolt információk biztonságáról beszélünk, akkor azok biztonságát az intézkedések betartásával érjük el. fizikai védelem(azaz a médiatároló területre való jogosulatlan belépés elleni védelem). Az ilyen információk védelmének egyéb vonatkozásai a természeti katasztrófákhoz és az ember okozta katasztrófákhoz kapcsolódnak. Így a „számítógépes” információbiztonság fogalma összességében tágabb, mint az információbiztonság a „hagyományos” médiával kapcsolatban.

Ha az információbiztonság problémájának különböző szinteken (állami, regionális, egy szervezeti szinten) történő megközelítésbeli különbségekről beszélünk, akkor ilyen különbségek egyszerűen nem léteznek. Az állam „Választások” automatizált rendszerének biztonságának biztosításának megközelítése nem különbözik a biztonság biztosításának megközelítésétől helyi hálózat egy kis cégnél. Ezért az információbiztonság biztosításának alapelveit ebben a cikkben egy külön szervezet tevékenységének példáin szemléltetjük.

A kurzusprojekt célja az Oven LLC információbiztonsági rendszerének fejlesztése. feladatokat lejáratú papírok lesz - az Oven LLC elemzése, erőforrásai, struktúrája és a vállalatnál meglévő információbiztonsági rendszere, és módszerek keresése a fejlesztésére.

Az első szakaszban az információbiztonsági rendszer elemzésére kerül sor. A kapott eredményekből a második szakaszban felkutatják az információvédelmet javító módszereket, ha vannak ilyenek gyenge oldalai ebben a rendszerben.

1. Az Oven LLC információbiztonsági rendszerének elemzése

1.1 A vállalkozás jellemzői. A vállalkozás szervezeti felépítése. Információs forrásokkal és azok védelmével foglalkozó szolgáltatás

A vállalkozás teljes cégneve "Kos" Korlátolt Felelősségű Társaság. A Társaság rövidített neve Oven LLC. Tovább a Társadalom szövegben. A cégnek nincsenek fiókjai és képviseleti irodái, egyetlen központja a Perm régióban, Suksunsky kerületben, Martyanovo faluban található.

A társaság 1990-ben alakult kis gazdaságként, és három alapítója volt. A gazdaság 1998-as parasztgazdasággá történő átszervezése után az egyetlen alapító maradt. Az utolsó átszervezés 2004 áprilisában történt. Április 1-től a vállalkozás Kos Korlátolt Felelősségű Társaság néven vált.

A cég fő tevékenysége mezőgazdasági termékek termesztése, vetőmaganyag termesztése, mezőgazdasági termékek értékesítése. Ma Oroszországban a cég a tizenharmadik helyet foglalja el a burgonyagazdaságok között, és az első helyet a Perm Területen.

Jogi cím: Oroszország, 617553, Perm Terület, Suksunsky, Martyanovo falu.

A vállalkozás egészének céljai:

· Nyereség megszerzése a fő tevékenységből.

· A termékek versenyképességének növelése és az értékesítési piacok bővítése.

· Tőkekoncentráció és beruházási források növelése beruházási és egyéb projektek megvalósításához.

A cég vállalati küldetése:

1. Továbbra is a vezető pozíció megszerzése a piacon.

2. Vetőmagtelep létrehozása.

A vállalkozás szervezeti felépítése.

A vállalat lineáris-funkcionális struktúrát alkalmaz. Lineáris-funkcionális struktúrában a szolgáltatások hierarchiája alakul ki. Ebben a struktúrában a funkcionális egységek vezetői jogosultak a következő vezetési szintre funkcionális kérdésekben utasításokat adni.

A vállalkozás felépítését az 1. ábra mutatja.

Házigazda: http://www.allbest.ru/

Házigazda: http://www.allbest.ru/

1. ábra - Az Aries LLC szervezeti felépítése

1.2 A vállalkozás információforrásainak elemzése és jellemzése

Manapság mindenkit aggaszt a vállalati információk biztonsága. Egyre népszerűbbek az adatok védelmét szolgáló egyedi programok és teljes komplexumok. Arra viszont senki sem gondol, hogy annyit kaphat, amennyit csak akar. megbízható védelem de még mindig veszít fontos információ. Mert az egyik alkalmazottja jelentéktelennek fogja tartani, és nyilvánosságra hozza. És ha biztos benne, hogy védve van ettől, akkor nagyot téved. Első pillantásra ez a helyzet valami valószerűtlennek, viccnek tűnik. Ez azonban megtörténik, és gyakran megtörténik. A technikai személyzet ugyanis, akik az esetek túlnyomó többségében információbiztonsági kérdésekkel foglalkoznak, nem mindig értik, milyen adatokat kell elrejteni és melyeket nem. Ahhoz, hogy megértsük, minden információt fel kell bontani különböző típusok, amelyeket általában típusoknak neveznek, és egyértelműen meghatározzák a köztük lévő határokat.

Valójában minden, a számítógépes információk biztonságát biztosító komplex rendszerek szállítására szakosodott cég figyelembe veszi az adatok felosztását különböző típusok. Itt kell vigyázni. A helyzet az, hogy a nyugati termékek megfelelnek a nemzetközi szabványoknak (különösen az ISO 17799 és néhány más szabványnak). Ezek szerint minden adat három típusra oszlik: nyílt, bizalmas és szigorúan bizalmas. Eközben hazánkban a hatályos jogszabályok szerint némileg eltérő megkülönböztetést alkalmaznak: nyílt információ, belső használatra és bizalmas.

Nyílt minden olyan információ, amely szabadon átadható másoknak, valamint elhelyezhető a médiában. Leggyakrabban sajtóközlemények, konferenciákon elhangzott beszédek, előadások és kiállítások formájában jelenik meg, különálló (természetesen pozitív) statisztikai elemek formájában. Ezenkívül ez a keselyű tartalmazza az összes nyílt külső forrásból származó adatot. És természetesen nyilvánosnak számítanak a vállalati weboldalnak szánt információk is.

Első pillantásra úgy tűnik, hogy a nyílt információ nem szorul védelemre. Az emberek azonban elfelejtik, hogy az adatokat nemcsak el lehet lopni, hanem pótolni is lehet. Ezért a nyílt információk integritásának megőrzése nagyon fontos feladat. Ellenkező esetben az előre elkészített sajtóközlemény helyett érthetetlennek bizonyulhat. Vagy Főoldal a céges honlapot sértő feliratok váltják fel. Tehát a nyilvános információkat is védeni kell.

Mint minden más vállalkozás, a társadalom is nyílt információ főként a potenciális befektetőknek bemutatott prezentációkban.

A belső használatra szánt információ minden olyan adatot tartalmaz, amelyet az alkalmazottak szakmai feladataik ellátása során felhasználnak. De ez még nem minden. Ebbe a kategóriába tartozik minden olyan információ, amelyet a különböző részlegek vagy fiókok egymás között kicserélnek teljesítményük biztosítása érdekében. És végül, az ebbe az adatkategóriába tartozó utolsó adattípus a nyílt forrásokból nyert és feldolgozásnak (strukturálásnak, szerkesztésnek, pontosításnak) alávetett információ.

Valójában mindezek az információk, még ha versenytársak vagy behatolók kezébe is kerülnek, nem okozhatnak komoly károkat a cégnek. Az elrablása azonban némi kárt okozhat. Tegyük fel, hogy az alkalmazottak híreket gyűjtöttek főnöküknek egy őt érdeklő témában, amelyek közül kiválasztották a legfontosabb üzeneteket és megjelölték azokat. Az ilyen kivonat egyértelműen belső használatra szánt információ (nyílt forrásból nyert és feldolgozásnak alávetett információ). Első pillantásra úgy tűnik, hogy a versenytársak, miután megvásárolták, nem fognak tudni profitálni belőle. Valójában azonban sejthetik, hogy cége vezetése milyen irányban érdeklődik, és ki tudja, még az is lehet, hogy megelőzheti Önt. Ezért a belső használatra szánt információkat nemcsak a helyettesítéstől, hanem az illetéktelen hozzáféréstől is védeni kell. Igaz, az esetek túlnyomó többségében a helyi hálózat biztonságára szorítkozhat, mert gazdaságilag nem kifizetődő erre nagy összegeket költeni.

Az ilyen típusú információkat a vállalkozás is bemutatja, amelyeket különféle jelentések, listák, kivonatok stb. tartalmaznak.

Bizalmas információ - dokumentált információ, amelyhez való hozzáférés a jogszabályoknak megfelelően korlátozott Orosz Föderáció, amely nyilvánosan nem elérhető, és nyilvánosságra hozatala esetén az azt biztosító személy jogait és törvényileg védett érdekeit sértheti. Az ehhez a nyakhoz kapcsolódó adatok listáját az állam állapítja meg. Tovább Ebben a pillanatban ez a következő: személyes adat, kereskedelmi, hivatali vagy szakmai titkot képező információ, a nyomozás és az irodai munka titkát képező információ. Ezenkívül a közelmúltban egy találmány vagy tudományos felfedezés lényegére vonatkozó adatokat a hivatalos közzététel előtt bizalmasnak minősítették.

A vállalkozás bizalmas információi közé tartoznak a következők: fejlesztési terv, kutatási munka, műszaki dokumentáció, rajzok, nyereségfelosztás, szerződések, jelentések, erőforrások, partnerek, tárgyalások, szerződések, valamint vezetői és tervezési jellegű információk.

A cégnek körülbelül húsz PC-je van. Ami a helyi hálózat jelenlétét illeti egy vállalkozásban, a társadalomban a PC-k nem egyesülnek egyetlen hálózatban. Ezenkívül minden számítógép szabványos készlettel van felszerelve irodai programokÉs számviteli programok. Három számítógép rendelkezik internet-hozzáféréssel a WAN Miniporton keresztül. Ugyanakkor a vállalat egyetlen számítógépe sem rendelkezik víruskereső programmal. Az információcsere médián keresztül történik: flash meghajtók, hajlékonylemezek. A "hagyományos" adathordozókra vonatkozó összes információ nem zárt szekrényekben található. A legfontosabb iratokat széfben tárolják, melynek kulcsait a titkár őrzi.

információvédelmi biztonság

1.3. Veszélyek és az információk védelmének eszközei a vállalaton belül

Információbiztonsági fenyegetés - olyan feltételek és tényezők összessége, amelyek potenciális vagy valós veszélyt jelentenek az információszivárgással és/vagy annak jogosulatlan és/vagy nem szándékos befolyásolásával összefüggésben

Az információbiztonsági objektumok befolyásolási módszerei szerint a társadalom szempontjából releváns fenyegetések a következő osztályozásba tartoznak: információs, szoftveres, fizikai, szervezeti és jogi.

Az információs fenyegetések a következők:

Az információs forrásokhoz való jogosulatlan hozzáférés;

Információlopás archívumokból és adatbázisokból;

Az információfeldolgozási technológia megsértése;

illegális információgyűjtés és -felhasználás;

A szoftverfenyegetések a következők:

számítógépes vírusok és rosszindulatú programok;

A fizikai fenyegetések közé tartozik:

Információfeldolgozó és kommunikációs eszközök megsemmisítése vagy megsemmisítése;

Adathordozók ellopása;

A személyzetre gyakorolt ​​hatás

A szervezeti és jogi fenyegetések a következők:

Hiányos vagy elavult információs technológiák és informatizálási eszközök beszerzése;

Az információbiztonsági eszközök mérnöki, elektromos, elektronikus, optikai és egyéb eszközök és eszközök, műszerek és eszközök összessége műszaki rendszerek, valamint egyéb valós elemek, amelyek az információvédelem különféle problémáinak megoldására szolgálnak, beleértve a kiszivárgás megelőzését és a védett információk biztonságának biztosítását.

Fontolja meg a vállalatnál használt információbiztonsági eszközöket. Ebből összesen négy van (hardver, szoftver, vegyes, szervezeti).

Hardveres védelem- zárak, ablakrácsok, biztonsági riasztók, hálózati szűrők, videó megfigyelő kamerák.

Szoftvervédelmek: olyan operációs rendszer-eszközöket használnak, mint a védelem, jelszó, fiókok.

A védekezés szervezési eszközei: helyiségek előkészítése számítógépekkel.

2 Az információbiztonsági rendszer fejlesztése

2.1 Feltárt hiányosságok az információbiztonsági rendszerben

A társadalom információvédelmének legsebezhetőbb pontja a védelem számítógép biztonság. A vállalkozás felületes elemzése során is a következő hiányosságok azonosíthatók:

§ Az információról ritkán készül biztonsági másolat;

§ Nem megfelelő szintű információbiztonsági szoftver;

§ Egyes alkalmazottak nem rendelkeznek megfelelő számítógépes ismeretekkel;

§ Nincs ellenőrzés az alkalmazottak felett. Az alkalmazottak gyakran elhagyhatják a munkahelyüket anélkül, hogy kikapcsolnák a számítógépüket és a szolgáltatási információkat tartalmazó flash meghajtóval rendelkeznek.

§ Az információbiztonságra vonatkozó normatív dokumentumok hiánya.

§ Nem minden számítógép használ operációs rendszer-eszközöket, például jelszavakat és fiókokat.

2.2 A vállalati információbiztonsági rendszer kialakításának céljai és célkitűzései

Az információbiztonsági rendszer fő célja a létesítmény stabil működésének biztosítása, a biztonságot fenyegető veszélyek megelőzése, a vállalkozás jogos érdekeinek védelme a jogellenes beavatkozásokkal szemben, a pénzeszközök eltulajdonításának, nyilvánosságra hozatalának, elvesztésének, kiszivárgásának, torzulásának és megsemmisülésének megakadályozása. hivatalos tájékoztatás, biztosítva a létesítmény összes részlegének normál termelési tevékenységét. Az információbiztonsági rendszer további célja a nyújtott szolgáltatások minőségének javítása, a tulajdonjogok és érdekek biztonságának garantálása.

Az információbiztonsági rendszer kialakításának feladatai a szervezetben: az információk integritása, az információk megbízhatósága és titkossága. A feladatok elvégzése után a cél megvalósul.

Az információbiztonsági rendszerek (ISS) létrehozása az IS-ben és az IT-ben a következő elveken alapul:

A védelmi rendszer felépítésének szisztematikus megközelítése, amely az egymással összefüggő szervezeti, szoftveres, hardveres, fizikai és egyéb tulajdonságok optimális kombinációját jelenti, amelyet a hazai és külföldi védelmi rendszerek létrehozásának gyakorlata is megerősít, és amelyet az információfeldolgozás technológiai ciklusának minden szakaszában alkalmaznak. .

A rendszer folyamatos fejlesztésének elve. Ez az elv, amely a számítógépes információs rendszerek egyik alapelve, még inkább érvényes a NIS-re. Az informatikai információs fenyegetések megvalósításának módjai folyamatosan javulnak, ezért az IP biztonságának biztosítása nem lehet egyszeri lépés. Ez egy folyamatos folyamat, amely az ISS fejlesztésének legracionálisabb módszereinek, módszereinek és módozatainak megalapozásából és megvalósításából, folyamatos monitorozásból, szűk keresztmetszetek és gyengeségek, a lehetséges információszivárgási csatornák és a jogosulatlan hozzáférés új módszereinek feltárásából áll.

A feldolgozott információkhoz való hozzáférés és a feldolgozási eljárások hatásköreinek elkülönítése és minimalizálása, azaz mind a felhasználók, mind maguk az IS alkalmazottak minimális, szigorúan meghatározott jogosítványok biztosítása, amelyek elegendőek a hivatalos feladataik ellátásához.

A jogosulatlan hozzáférési kísérletek ellenőrzésének és nyilvántartásának teljessége, azaz az egyes felhasználók személyazonosságának pontos megállapításának és tevékenységének rögzítésének szükségessége az esetleges kivizsgálás érdekében, valamint az informatikai információfeldolgozás előzetes regisztráció nélkül történő végrehajtásának lehetetlensége.

A védelmi rendszer megbízhatóságának biztosítása, azaz a megbízhatóság szintjének csökkentésének lehetetlensége meghibásodások, meghibásodások, hacker szándékos tevékenysége vagy a felhasználók és a karbantartó személyzet nem szándékos hibája esetén.

A védelmi rendszer működése feletti ellenőrzés biztosítása, pl. eszközök és módszerek létrehozása a védelmi mechanizmusok teljesítményének ellenőrzésére.

Mindenféle kártevőirtó eszköz biztosítása.

A védelmi rendszer használatának gazdasági megvalósíthatóságának biztosítása, amely a fenyegetések megvalósításából eredő, az IS-t és az informatikát érő lehetséges károk többletében fejeződik ki az ISS fejlesztési és üzemeltetési költségein felül.

2.3 Javasolt intézkedések a szervezet információbiztonsági rendszerének javítására

A vállalkozásnál feltárt hiányosságok kiküszöbölését teszik szükségessé, ezért a következő intézkedéseket javasoljuk.

§ Az adatbázis rendszeres biztonsági mentése a cég dolgozóinak személyes adataival, a számviteli adatokkal és a vállalkozásnál elérhető egyéb adatbázisokkal. Ez megakadályozza a lemezhibák, áramkimaradások, vírusok és egyéb balesetek miatti adatvesztést. Gondos tervezés és rendszeres eljárások Tartalékmásolat lehetővé teszi az adatok gyors visszaállítását elvesztés esetén.

§ OS eszközök használata minden számítógépen. Fiókok létrehozása a szakemberek számára és rendszeres jelszómódosítás ezekhez a fiókokhoz.

§ A vállalkozás személyzetének képzése számítógépekkel való munkára. Szükséges állapot a munkaállomások megfelelő működése, valamint az információvesztés és -károsodás megelőzése érdekében. Az egész vállalkozás munkája a PC személyzet szakértelmétől függ a helyes végrehajtás tekintetében.

§ Vírusirtó programok telepítése számítógépekre, például: Avast, NOD, Doktor Web stb. Ezzel elkerülhető, hogy a számítógépeket különféle rosszindulatú programokkal, úgynevezett vírusokkal fertőzzék meg. Amiért nagyon fontos ezt a vállalkozást, mivel számos számítógép rendelkezik internet-hozzáféréssel, és az alkalmazottak flash médiát használnak információcserére.

§ Munkatársak feletti ellenőrzés lefolytatása, videokamerák használatával. Ez csökkenti a berendezések gondatlan kezelésének eseteit, a berendezések ellopásának és megrongálódásának kockázatát, és lehetővé teszi a hivatalos információk cég területéről történő „eltávolításának” ellenőrzését is.

§ Szabályozási dokumentum kidolgozása „Intézkedések az Oven LLC információinak védelmére és a jogsértésekért való felelősség”, amely megfelel az Orosz Föderáció jelenlegi jogszabályainak, és meghatározza a jogsértések kockázatait, jogsértéseit és felelősségét (bírságok, büntetések). Valamint a megfelelő rovat beírása a cég munkaszerződésébe, hogy ismeri és vállalja, hogy betartja a jelen dokumentumban foglaltakat.

2.4 A javasolt intézkedések hatékonysága

A javasolt intézkedések nemcsak pozitív szempontokat hordoznak magukban, mint például a vállalkozás főbb információbiztonsági problémáinak kiküszöbölése. Ugyanakkor további beruházásokat igényelnek a személyzet képzésében és a biztonságpolitikával kapcsolatos szabályozási dokumentumok kidolgozásában. Ez további munkaerőköltséget igényel, és nem szünteti meg teljesen a kockázatokat. Mindig lesz emberi tényező, vis maior. De ha ilyen intézkedéseket nem tesznek, az információk helyreállításának költségei, az elveszett lehetőségek többe kerülnek, mint amennyi egy biztonsági rendszer kifejlesztéséhez szükséges.

Fontolja meg a javasolt intézkedések eredményeit:

1. A szervezet információbiztonsági rendszere megbízhatóságának növelése;

2. A személyzet PC-ismereti szintjének növelése;

3. Csökkentett információvesztés kockázata;

4. A biztonsági politikát meghatározó szabályozó dokumentum rendelkezésre állása.

5. Esetleg csökkentse az információk vállalkozásba való beírásának/eltávolításának kockázatát.

3 Információbiztonsági modell

Az információbiztonság bemutatott modellje (2. ábra) objektív külső és belső tényezők összessége, és ezek hatása a létesítmény információbiztonsági állapotára, valamint az anyagi vagy információs erőforrások biztonságára.

2. ábra - Információbiztonsági rendszer modellje

Ez a modell megfelel az Orosz Föderációban elfogadott, az információbiztonság biztosítására vonatkozó speciális szabályozási dokumentumoknak, az ISO / IEC 15408 „Információtechnológia – védelmi módszerek – az információbiztonság értékelésének kritériumai”, az ISO / IEC 17799 „Információbiztonsági menedzsment” szabványnak. ", és figyelembe veszi a hazai szabályozási keret (különösen az Orosz Föderáció Állami Műszaki Bizottsága) fejlődési tendenciáit az információbiztonsági kérdésekben.

Következtetések és ajánlatok

Az információs korszak drámai változásokat hozott az emberek feladatai ellátásában számos szakma esetében. Most egy középszintű, nem műszaki szakember tudja elvégezni azt a munkát, amit korábban egy magasan képzett programozó. A munkavállalónak annyi pontos és naprakész információ áll a rendelkezésére, mint soha.

A számítógépek és az automatizált technológiák használata azonban számos problémához vezet a szervezet vezetésében. A gyakran együtt hálózatba kapcsolt számítógépek hatalmas mennyiségű, sokféle adathoz tudnak hozzáférést biztosítani. Ezért az emberek aggódnak az információk biztonsága és a bizalmas, személyes vagy egyéb kritikus adatok automatizálásával és az azokhoz való sokkal nagyobb hozzáférés biztosításával kapcsolatos kockázatok miatt. A számítógépes bűncselekmények száma folyamatosan növekszik, ami végül a gazdaság aláásásához vezethet. Ezért egyértelműnek kell lennie, hogy az információ olyan erőforrás, amelyet meg kell védeni.

És mivel az automatizálás oda vezetett, hogy most a műveletek számítógépes technológia a szervezet rendes alkalmazottai, nem pedig speciálisan képzett műszaki személyzet végzik, szükséges, hogy a végfelhasználók tisztában legyenek az információ védelmével kapcsolatos felelősségükkel.

Nincs egyetlen recept, amely 100%-os garanciát adna az adatbiztonságra és a megbízható hálózati működésre. Egy átfogó, átgondolt, az adott szervezet feladatainak sajátosságait figyelembe vevő biztonsági koncepció megalkotása azonban segít minimalizálni az értékes információk elvesztésének kockázatát. A számítógépes biztonság folyamatos küzdelem a felhasználók butasága és a hackerek intelligenciája ellen.

Végezetül szeretném elmondani, hogy az információvédelem nem korlátozódik erre technikai módszerek. A probléma sokkal szélesebb körű. A védelem fő hiánya az emberekben rejlik, ezért a biztonsági rendszer megbízhatósága elsősorban a vállalat alkalmazottainak hozzáállásán múlik. Emellett folyamatosan fejleszteni kell a védelmet a számítógépes hálózat fejlesztésével együtt. Ne felejtsük el, hogy nem a biztonsági rendszer zavarja a munkát, hanem annak hiánya.

A tanfolyami projekt eredményeit összegezve azt is szeretném megjegyezni, hogy az Aries vállalat információbiztonsági rendszerének elemzése után öt hiányosságot tártak fel. A keresést követően megoldásokat találtak ezek kiküszöbölésére, ezek a hiányosságok javíthatók, ami javítja a vállalkozás egészének információbiztonságát.

A fenti akciók során az információbiztonsági rendszer tanulmányozásának gyakorlati és elméleti ismereteit dolgozták ki, így a kurzus projekt célja megvalósult. A megtalált megoldásoknak köszönhetően elmondhatjuk, hogy a projekt minden feladatát teljesítettük.

Bibliográfia

1. GOST 7.1-2003. Bibliográfiai rekord. Bibliográfiai leírás. Általános követelményekés összeállítási szabályok (M.: Publishing house of Standards, 2004).

2. Galatenko, V.A. "Az információbiztonság alapjai". - M.: "Intuit", 2003.

3. Zavgorodniy, V. I. „Integrated information protection in számítógépes rendszerek". - M.: Logosz, 2001.

4. Zegzhda, D.P., Ivashko, A.M. "Az információs rendszerek biztonságának alapjai".

5. Nosov, V.A. Bevezető tanfolyam az „Információbiztonság” tudományágról.

6. Az Orosz Föderáció 2006. július 27-i N 149-FZ szövetségi törvénye „A tájékoztatásról, információs technológiaés információvédelem"

Az Allbest.ru oldalon található

Hasonló dokumentumok

Az "Ashatli" mezőgazdasági üzem információs forrásainak jellemzői. A vállalatra jellemző információbiztonsági fenyegetések. Az információvédelem intézkedései, módszerei és eszközei. A meglévő biztonsági rendszer hiányosságainak és a frissített biztonsági rendszer előnyeinek elemzése.

szakdolgozat, hozzáadva: 2011.02.03


Általános információ a vállalkozás tevékenységéről. Az információbiztonság tárgyai a vállalatnál. Az információvédelem intézkedései és eszközei. Adatok másolása cserélhető adathordozóra. Belső tartalék szerver telepítése. Az IS rendszer fejlesztésének hatékonysága.

teszt, hozzáadva 2013.08.29


Az információbiztonság fogalma, jelentése és irányai. Az információbiztonság megszervezésének szisztematikus megközelítése, az információk illetéktelen hozzáféréstől való védelme. Az információvédelem eszközei. Az információbiztonság módszerei és rendszerei.

absztrakt, hozzáadva: 2011.11.15


Információbiztonsági mód formáló rendszer. A társadalom információbiztonságának feladatai. Az információvédelem eszközei: alapvető módszerek és rendszerek. Információvédelem számítógépes hálózatokban. Oroszország legfontosabb jogalkotási aktusainak rendelkezései.

absztrakt, hozzáadva: 2014.01.20


Információbiztonsági kockázatelemzés. A meglévő és tervezett védelmi eszközök értékelése. Szervezeti intézkedések összessége az információbiztonság és a vállalati információk védelmének biztosítására. A projekt megvalósításának ellenőrzési példája és leírása.

szakdolgozat, hozzáadva: 2012.12.19


Vállalati információbiztonsági stratégia hatékony irányelvek rendszere formájában, amely hatékony és elégséges biztonsági követelményeket határoz meg. Az információbiztonságot fenyegető veszélyek azonosítása. Belső ellenőrzés és kockázatkezelés.

szakdolgozat, hozzáadva 2015.06.14


A feladategyüttes ismertetése és a vállalkozás információbiztonságát és információvédelmét biztosító rendszer fejlesztésének szükségességének indoklása. DBMS használatára, információbiztonságra és személyes adatok védelmére vonatkozó projekt kidolgozása.

szakdolgozat, hozzáadva: 2012.11.17


Szabályozó dokumentumok az információbiztonság területén Oroszországban. Információs rendszerekkel kapcsolatos fenyegetések elemzése. A klinika személyes adatvédelmi rendszerének szervezeti jellemzői. Elektronikus kulcsokat használó hitelesítési rendszer megvalósítása.

szakdolgozat, hozzáadva 2016.10.31


Személyes adatbiztonsági rendszer létrehozásának előfeltételei. Az információbiztonságot fenyegető veszélyek. Az ISPD-hez való jogosulatlan hozzáférés forrásai. A személyes adatok információs rendszerek eszköze. Az információvédelem eszközei. Biztonsági politika.

szakdolgozat, hozzáadva 2016.10.07


Feladatok, szerkezet, fizikai, szoftveres és hardveres intézkedések az információs rendszer védelmére. A számítógépes bûnözés típusai, okai, a szervezet biztonságpolitikájának javításának módjai. A "Napló" mappa célja és fő funkciói MS Outlook 97.