2. Sistem antivirus ESET NOD 32 untuk melindungi dari virus komputer.

Basis data diperbarui secara berkala dan stasiun kerja dipindai.

3. Pencadangan Windows bawaan untuk membuat arsip.

OS Backup Wizard adalah program yang dirancang untuk kreasi cepat dan memulihkan cadangan salinan Windows. Ini memungkinkan Anda untuk membuat salinan seluruh Windows atau hanya file dan folder individual.

4. Enkripsi dengan kunci 2048 bit untuk saluran vpn(koneksi ke kantor perusahaan manajemen untuk surat dan alur kerja).

Bab 2. Peningkatan NIS

2.1 Kelemahan sistem keamanan informasi

Saat menganalisis masalah yang terkait dengan keamanan informasi, perlu mempertimbangkan secara spesifik aspek keamanan ini, yang terdiri dari fakta bahwa keamanan informasi merupakan bagian integral dari teknologi informasi - area yang berkembang dengan kecepatan yang belum pernah terjadi sebelumnya. Ini tidak terlalu penting di sini solusi terpisah(hukum, kursus pelatihan, produk perangkat lunak dan perangkat keras), yang berada pada tingkat modern, berapa banyak mekanisme untuk menghasilkan solusi baru yang memungkinkan Anda hidup dengan kecepatan kemajuan teknis.

Teknologi modern pemrograman tidak memungkinkan Anda membuat program bebas kesalahan, yang tidak berkontribusi pada perkembangan pesat perangkat lunak informasi keamanan.

Setelah menganalisis keamanan informasi perusahaan, kami dapat menyimpulkan bahwa keamanan informasi tidak cukup diperhatikan:

Kurangnya kata sandi akses ke sistem;

Tidak adanya kata sandi saat bekerja dengan program dengan 1C: Perusahaan, saat mengubah data;

Tidak ada perlindungan tambahan untuk file dan informasi (tidak ada permintaan kata sandi dasar saat membuka atau mengubah informasi dalam file, belum lagi alat enkripsi data);

Pemutakhiran yang tidak teratur dari database program anti-virus dan pemindaian workstation;

Sejumlah besar dokumen di atas kertas sebagian besar ada di folder (terkadang tanpa folder) di desktop karyawan, yang memungkinkan penyerang dengan mudah menggunakan informasi semacam ini untuk tujuan mereka sendiri;

Tidak ada diskusi reguler tentang masalah keamanan informasi di perusahaan dan masalah yang muncul di area ini;

Pemeriksaan rutin terhadap pengoperasian sistem informasi perusahaan tidak terorganisir, debugging dilakukan hanya jika gagal;

Kurangnya kebijakan keamanan informasi;

Kurangnya administrator sistem.

Semua hal di atas adalah kekurangan yang sangat penting dalam memastikan keamanan informasi suatu perusahaan.

2.2 Maksud dan tujuan sistem keamanan informasi

Keamanan informasi - keadaan keamanan sumber daya informasi V jaringan komputer dan sistem perusahaan dari akses yang tidak sah, gangguan yang tidak disengaja atau disengaja dengan fungsi normal sistem, upaya untuk menghancurkan komponennya.

Tujuan keamanan informasi:

pencegahan ancaman terhadap keamanan perusahaan karena tindakan tidak sah untuk menghancurkan, mengubah, mendistorsi, menyalin, memblokir informasi atau bentuk lain dari campur tangan ilegal dalam sumber daya informasi dan sistem informasi;

pelestarian rahasia dagang yang diproses dengan menggunakan teknologi komputer;

perlindungan hak konstitusional warga negara untuk menjaga kerahasiaan pribadi dan kerahasiaan data pribadi yang tersedia dalam sistem informasi.

Untuk mencapai tujuan perlindungan, solusi efektif dari tugas-tugas berikut harus dipastikan:

Perlindungan terhadap campur tangan dalam proses berfungsinya perusahaan oleh orang yang tidak berwenang;

perlindungan terhadap tindakan tidak sah dengan sumber daya informasi perusahaan oleh orang yang tidak berwenang dan karyawan yang tidak memiliki wewenang yang sesuai;

Memastikan kelengkapan, keandalan dan efisiensi dukungan informasi untuk adopsi keputusan manajemen manajemen perusahaan;

Menjamin keamanan fisik sarana teknis dan perangkat lunak perusahaan serta melindunginya dari tindakan sumber ancaman buatan manusia dan alami;

pendaftaran peristiwa yang memengaruhi keamanan informasi, memastikan kontrol penuh dan akuntabilitas pelaksanaan semua operasi yang dilakukan di perusahaan;

identifikasi tepat waktu, penilaian dan peramalan sumber ancaman terhadap keamanan informasi, penyebab dan kondisi yang berkontribusi pada kerusakan kepentingan subjek, gangguan fungsi normal dan perkembangan perusahaan;

analisis risiko penerapan ancaman terhadap keamanan informasi dan penilaian kemungkinan kerusakan, pencegahan konsekuensi yang tidak dapat diterima dari pelanggaran keamanan informasi perusahaan, penciptaan kondisi untuk meminimalkan dan melokalisasi kerusakan yang ditimbulkan;

Memastikan kemungkinan pemulihan keadaan perusahaan saat ini jika terjadi pelanggaran keamanan informasi dan penghapusan konsekuensi dari pelanggaran ini;

· Penciptaan dan pembentukan kebijakan keamanan informasi yang bertujuan dari perusahaan.

2.3 Tindakan dan sarana untuk meningkatkan sistem keamanan informasi

Untuk mencapai tujuan yang ditetapkan dan menyelesaikan masalah, perlu dilakukan kegiatan di tingkat keamanan informasi.

Tingkat administrasi keamanan informasi.

Untuk membentuk sistem keamanan informasi, perlu untuk mengembangkan dan menyetujui kebijakan keamanan informasi.

Kebijakan keamanan adalah seperangkat hukum, aturan, dan norma perilaku yang ditujukan untuk melindungi informasi dan sumber daya terkaitnya.

Perlu dicatat bahwa kebijakan yang dikembangkan harus konsisten dengan undang-undang dan peraturan yang ada yang berkaitan dengan organisasi, yaitu. undang-undang dan peraturan ini perlu diidentifikasi dan diperhitungkan dalam pengembangan kebijakan.

Semakin andal sistemnya, semakin ketat dan beragam kebijakan keamanannya.

Bergantung pada kebijakan yang dirumuskan, Anda dapat memilih mekanisme khusus yang menjamin keamanan sistem.

Tingkat perlindungan informasi organisasi.

Berdasarkan kekurangan yang dijelaskan pada bagian sebelumnya, langkah-langkah berikut dapat diusulkan untuk meningkatkan keamanan informasi:

Organisasi kerja untuk melatih staf dalam keterampilan bekerja dengan yang baru produk perangkat lunak dengan partisipasi spesialis yang berkualifikasi;

Pengembangan langkah-langkah yang diperlukan yang bertujuan untuk meningkatkan sistem keamanan ekonomi, sosial dan informasi perusahaan.

Melakukan pengarahan agar setiap karyawan menyadari pentingnya dan kerahasiaan informasi yang dipercayakan kepadanya, sebagai aturan, alasan pengungkapan informasi rahasia adalah kurangnya pengetahuan karyawan tentang aturan untuk melindungi rahasia dagang dan kesalahpahaman (atau kesalahpahaman) tentang perlunya kepatuhan yang cermat.

Kontrol ketat atas kepatuhan karyawan terhadap aturan untuk bekerja dengan informasi rahasia;

Memantau kepatuhan terhadap aturan untuk menyimpan dokumentasi kerja karyawan perusahaan;

Rapat terjadwal, seminar, diskusi tentang masalah keamanan informasi perusahaan;

Pemeriksaan dan pemeliharaan rutin (terjadwal) semua sistem informasi dan infrastruktur informasi untuk pengoperasian.

Tunjuk administrator sistem secara permanen.

Tindakan perangkat lunak dan perangkat keras untuk melindungi informasi.

Perangkat lunak dan perangkat keras adalah salah satunya komponen kritis dalam implementasi informasi keamanan perusahaan, oleh karena itu, untuk meningkatkan tingkat perlindungan informasi, langkah-langkah berikut perlu diperkenalkan dan diterapkan:

Memasukkan kata sandi pengguna;

Untuk mengatur akses pengguna ke sumber daya informasi perusahaan, Anda harus memasukkan daftar pengguna yang akan masuk ke sistem di bawah login mereka. Menggunakan OS Server Windows 2003 Std terinstal di server, Anda dapat membuat daftar pengguna dengan password yang sesuai. Bagikan kata sandi kepada karyawan dengan instruksi yang sesuai untuk penggunaannya. Anda juga perlu memasukkan tanggal kedaluwarsa kata sandi, setelah itu pengguna akan diminta untuk mengubah kata sandi. Batasi jumlah upaya masuk dengan kata sandi yang salah (misalnya, hingga tiga).

Pengenalan permintaan kata sandi di 1C: Program perusahaan saat bekerja dengan database, saat mengubah data. Ini bisa dilakukan dengan alat perangkat lunak komputer dan program.

Diferensiasi akses ke file, direktori, disk.

Diferensiasi akses ke file dan direktori akan dilakukan administrator sistem, yang akan memungkinkan akses ke drive, folder, dan file yang sesuai untuk setiap pengguna secara khusus.

Pemindaian workstation secara teratur dan memperbarui basis data program anti-virus.

Memungkinkan Anda mendeteksi dan menetralkan program jahat, menghilangkan penyebab infeksi. Diperlukan untuk melakukan instalasi, konfigurasi dan pemeliharaan alat dan sistem perlindungan antivirus.

Untuk melakukan ini, Anda perlu mengonfigurasi program antivirus untuk memindai PC Anda secara teratur dan memperbarui database secara teratur dari server.

Pemasangan firewall Agnitum Outpost FireWall di komputer server, yang memblokir serangan dari Internet.

Manfaat menggunakan Agnitum Outpost FireWall:

¾ mengontrol koneksi komputer Anda ke orang lain, memblokir peretas, dan mencegah akses jaringan eksternal dan internal yang tidak sah.

Setelah menganalisis keamanan informasi perusahaan, kami dapat menyimpulkan bahwa perhatian yang tidak memadai diberikan pada poin-poin berikut dalam keamanan informasi:

– pencadangan tidak teratur dari basis data perusahaan;

– data tidak dicadangkan di komputer pribadi karyawan;

– pesan Surel disimpan di server layanan surat di Internet;

– beberapa karyawan tidak memiliki keterampilan yang memadai dalam bekerja dengan sistem otomatis;

karyawan memiliki akses ke komputer pribadi kolega mereka;

- ketidakhadiran program antivirus di beberapa workstation;

- Kontrol akses yang buruk sumber daya jaringan;

– Tidak ada dokumen peraturan tentang keselamatan.

Semua hal di atas adalah kekurangan yang sangat penting dalam memastikan keamanan informasi suatu perusahaan.

Analisis resiko

Bahaya ancaman ditentukan oleh risiko jika penerapannya berhasil. Risiko adalah potensi bahaya. Toleransi risiko berarti bahwa kerusakan jika terjadi ancaman tidak akan menimbulkan konsekuensi negatif yang serius bagi pemilik informasi. Organisasi menghadapi risiko berikut:

1. Pencadangan tidak teratur dari database perusahaan;

Konsekuensi: hilangnya data pada operasi perusahaan.

2. Tidak ada cadangan data di komputer pribadi karyawan;

Konsekuensi: Saat peralatan rusak, beberapa data penting mungkin hilang.

3. Pesan email disimpan di server layanan email di Internet;

4. Beberapa karyawan tidak memiliki keterampilan yang memadai dalam bekerja dengan sistem otomatis;

Konsekuensi: Dapat menyebabkan data yang salah muncul di sistem.

5. Karyawan memiliki akses ke komputer pribadi rekan kerja mereka;

6. Kurangnya program anti-virus di beberapa workstation;

Konsekuensi: munculnya program virus, perangkat lunak berbahaya di dalam sistem

7. Diferensiasi hak akses yang buruk ke sumber daya jaringan;

Konsekuensi: karena kelalaian dapat menyebabkan hilangnya data.

8. Tidak ada dokumen normatif tentang keselamatan.

Maksud dan tujuan sistem keamanan informasi

Tujuan utama dari sistem keamanan perusahaan adalah untuk mencegah kerusakan pada aktivitasnya karena pencurian material dan sarana teknis serta dokumentasi; penghancuran properti dan barang berharga; pengungkapan, kebocoran, dan akses tidak sah ke sumber informasi rahasia; pelanggaran sarana teknis untuk memastikan kegiatan produksi, termasuk alat informasi, serta mencegah kerusakan pada personel perusahaan.

Tujuan dari sistem keamanan adalah:

perlindungan hak-hak perusahaan, divisi struktural dan karyawannya;

· Pelestarian dan penggunaan sumber daya keuangan, material dan informasi secara efisien;

· Meningkatkan citra dan pertumbuhan keuntungan perusahaan dengan menjamin mutu pelayanan dan keamanan pelanggan.

Tugas sistem keamanan perusahaan:

deteksi tepat waktu dan eliminasi ancaman terhadap personel dan sumber daya; sebab-sebab dan kondisi-kondisi yang menyebabkan kerugian finansial, material dan moral bagi kepentingan perusahaan, gangguan fungsi dan perkembangan normalnya;

kategorisasi informasi akses terbatas, dan sumber daya lainnya - untuk berbagai tingkat kerentanan (bahaya) dan tunduk pada konservasi;

penciptaan mekanisme dan kondisi untuk respons cepat terhadap ancaman keamanan dan manifestasi tren negatif dalam fungsi perusahaan;

penindasan yang efektif terhadap perambahan sumber daya dan ancaman terhadap personel berdasarkan pendekatan terintegrasi terhadap keamanan;

Organisasi dan fungsi sistem keamanan harus didasarkan pada prinsip-prinsip berikut:

Kompleksitas. Ini melibatkan memastikan keamanan personel, materi dan sumber daya keuangan, informasi dari semua kemungkinan ancaman dengan semua cara dan metode hukum yang tersedia, secara keseluruhan lingkaran kehidupan dan di semua mode operasi, serta kemampuan sistem untuk berkembang dan meningkat dalam proses operasi.

Keandalan. Zona keamanan yang berbeda harus sama-sama dapat diandalkan dalam hal kemungkinan terjadinya ancaman.

Ketepatan waktu. Kemampuan sistem untuk menjadi proaktif berdasarkan analisis dan prediksi ancaman keamanan dan pengembangan langkah-langkah efektif untuk melawannya.

Kontinuitas. Tidak ada gangguan dalam pengoperasian sistem keamanan yang disebabkan oleh perbaikan, penggantian, pemeliharaan, dll.

Legalitas. Pengembangan sistem keamanan berdasarkan peraturan perundang-undangan yang ada.

kecukupan yang wajar. Penetapan tingkat keamanan yang dapat diterima, di mana probabilitas dan jumlah kemungkinan kerusakan akan digabungkan dengan biaya maksimum yang diperbolehkan untuk pengembangan dan pengoperasian sistem keamanan.

Sentralisasi manajemen. Fungsi independen dari sistem keamanan sesuai dengan prinsip organisasi, fungsional dan metodologis yang seragam.

Kompetensi. Sistem keamanan harus dibuat dan dikelola oleh orang-orang yang memiliki pelatihan profesional yang cukup untuk menilai situasi dengan benar dan membuat keputusan yang memadai, termasuk dalam kondisi risiko yang meningkat.

Tempat paling rentan dalam sistem keamanan dapat disebut karyawan perusahaan dan perangkat lunak dan perangkat keras. Secara khusus, data tidak dicadangkan di komputer pribadi jika terjadi kegagalan peralatan, beberapa data penting mungkin hilang; pembaruan tidak berjalan sistem operasi MS Windows XP dan perangkat lunak yang digunakan, yang dapat menyebabkan akses tidak sah ke informasi yang tersimpan di PC atau kerusakannya karena kesalahan pada perangkat lunak; akses karyawan ke sumber daya Internet tidak dikontrol, yang dapat mengakibatkan kebocoran data; bisnis korespondensi email dilakukan melalui Internet melalui saluran tidak aman, pesan email disimpan di server layanan surat di Internet; beberapa karyawan memiliki keterampilan yang tidak memadai dalam bekerja dengan sistem otomatis yang digunakan di akademi, yang dapat menyebabkan munculnya data yang salah di sistem; karyawan memiliki akses ke komputer pribadi rekan mereka, yang karena kelalaian dapat menyebabkan hilangnya data; semua anggota fakultas memiliki akses ke arsip, akibatnya beberapa file pribadi mungkin hilang atau pencariannya mungkin memakan waktu lama; tidak ada peraturan keselamatan.

Tujuan utama dari sistem keamanan informasi adalah untuk memastikan pengoperasian fasilitas yang stabil, mencegah ancaman terhadap keamanannya, melindungi kepentingan sah perusahaan dari perambahan yang melanggar hukum, mencegah pengungkapan, kehilangan, kebocoran, distorsi, dan penghancuran informasi layanan dan pribadi. informasi, memastikan kegiatan produksi normal dari semua departemen fasilitas.

Tujuan lain dari sistem keamanan informasi adalah untuk meningkatkan kualitas layanan yang diberikan dan jaminan keamanan.

Tugas membentuk sistem keamanan informasi dalam suatu organisasi adalah: integritas informasi, keandalan informasi dan kerahasiaannya. Ketika tugas selesai, tujuan akan terwujud.

Pembuatan sistem keamanan informasi dalam SI dan TI didasarkan pada prinsip-prinsip berikut:

Pendekatan sistematis untuk membangun sistem perlindungan, yang berarti kombinasi optimal dari organisasi, perangkat lunak, perangkat keras, fisik dan properti lainnya yang saling terkait, dikonfirmasi oleh praktik pembuatan sistem perlindungan dalam dan luar negeri dan digunakan pada semua tahap siklus teknologi pemrosesan informasi .

Prinsip pengembangan berkelanjutan dari sistem. Prinsip ini, yang merupakan salah satu dasar sistem informasi komputer, bahkan lebih relevan untuk NIS. Cara untuk mengimplementasikan ancaman terhadap informasi di TI terus ditingkatkan, dan oleh karena itu memastikan keamanan IP tidak dapat dilakukan satu kali. Ini adalah proses berkelanjutan, yang terdiri dari membuktikan dan menerapkan metode, metode, dan cara paling rasional untuk meningkatkan ISS, pemantauan berkelanjutan, mengidentifikasi hambatan dan kelemahannya, saluran kebocoran informasi potensial, dan metode baru akses tidak sah.

Pemisahan dan minimalisasi kekuasaan untuk mengakses informasi yang diproses dan prosedur pemrosesan, mis. memberikan pengguna dan karyawan IS dengan kekuatan minimum yang ditentukan secara ketat yang cukup bagi mereka untuk melakukan tugas resmi mereka.

Kelengkapan kontrol dan pendaftaran upaya akses yang tidak sah, yaitu. kebutuhan untuk menetapkan identitas setiap pengguna secara akurat dan merekam tindakannya untuk kemungkinan penyelidikan, serta ketidakmungkinan melakukan operasi pemrosesan informasi apa pun di TI tanpa pendaftaran sebelumnya.

Memastikan keandalan sistem proteksi, mis. ketidakmungkinan untuk mengurangi tingkat keandalan jika terjadi kegagalan, kegagalan, tindakan yang disengaja dari peretas atau kesalahan yang tidak disengaja dari pengguna dan personel pemeliharaan dalam sistem.

Memastikan kontrol atas fungsi sistem perlindungan, mis. penciptaan sarana dan metode untuk memantau kinerja mekanisme perlindungan.

Penyediaan berbagai sarana pertempuran malware.

Memastikan kelayakan ekonomi dari penggunaan sistem proteksi, yang dinyatakan dalam kelebihan kemungkinan kerusakan IS dan IT dari penerapan ancaman atas biaya pengembangan dan pengoperasian ISS.

Tindakan perlindungan yang diambil harus memadai untuk kemungkinan implementasi dari jenis ini ancaman dan potensi kerusakan yang dapat ditimbulkan jika ancaman tersebut terwujud (termasuk biaya untuk mempertahankannya).

Harus diingat bahwa banyak tindakan perlindungan memerlukan sumber daya komputasi yang cukup besar, yang pada gilirannya memengaruhi proses pemrosesan informasi secara signifikan. Oleh karena itu, pendekatan modern untuk memecahkan masalah ini adalah dengan menerapkan prinsip manajemen situasional keamanan sumber daya informasi dalam sistem kontrol otomatis. Inti dari pendekatan ini terletak pada kenyataan bahwa tingkat keamanan informasi yang diperlukan diatur sesuai dengan situasi yang menentukan rasio antara nilai informasi yang diproses, biaya (penurunan kinerja sistem kontrol otomatis, tambahan memori akses acak dll.), yang diperlukan untuk mencapai tingkat ini, dan kemungkinan kerugian total (materi, moral, dll.) dari distorsi dan penggunaan informasi yang tidak sah.

Karakteristik yang diperlukan dari perlindungan sumber daya informasi ditentukan selama perencanaan situasional selama persiapan langsung proses teknologi pemrosesan informasi yang aman, dengan mempertimbangkan situasi saat ini, dan juga (dalam volume yang dikurangi) selama proses pemrosesan. Saat memilih tindakan perlindungan, seseorang harus memperhitungkan tidak hanya biaya langsung untuk membeli peralatan dan program, tetapi juga biaya pengenalan produk baru, pelatihan dan pelatihan ulang personel. Keadaan penting adalah kompatibilitas alat baru dengan struktur perangkat keras dan perangkat lunak objek yang ada.

Pengalaman asing di bidang perlindungan kekayaan intelektual dan pengalaman domestik dalam perlindungan rahasia negara menunjukkan bahwa hanya perlindungan komprehensif yang dapat efektif, menggabungkan bidang perlindungan seperti hukum, organisasi dan teknik.

Arah hukum mengatur pembentukan seperangkat tindakan legislatif, dokumen peraturan, peraturan, instruksi, pedoman, yang persyaratannya wajib dalam ruang lingkup kegiatan mereka dalam sistem keamanan informasi.

Arah organisasi- ini adalah pengaturan kegiatan produksi dan hubungan pelaku atas dasar hukum sedemikian rupa sehingga pengungkapan, kebocoran, dan akses tidak sah ke informasi rahasia menjadi tidak mungkin atau terhambat secara signifikan oleh tindakan organisasi.

Menurut para ahli, langkah-langkah organisasi memainkan peran penting dalam menciptakan mekanisme yang andal untuk melindungi informasi, karena kemungkinan penggunaan informasi rahasia yang tidak sah sebagian besar bukan karena aspek teknis, tetapi karena tindakan jahat, kelalaian, kelalaian dan kelalaian pengguna atau keamanan. personil.

Kegiatan organisasi meliputi:

Kegiatan yang dilakukan dalam desain, konstruksi dan peralatan gedung dan bangunan kantor dan industri;

Kegiatan yang dilakukan dalam pemilihan personil;

Organisasi dan pemeliharaan kontrol akses yang andal, keamanan tempat dan wilayah, kontrol atas pengunjung;

Organisasi penyimpanan dan penggunaan dokumen dan pembawa informasi rahasia;

Organisasi keamanan informasi;

Organisasi pelatihan karyawan reguler.

Salah satu komponen utama keamanan informasi organisasi perusahaan adalah Layanan Keamanan Informasi (ISS - badan manajemen sistem keamanan informasi). Itu dari kesiapan profesional karyawan layanan keamanan informasi, kehadiran di gudang senjata mereka sarana modern manajemen keamanan sangat bergantung pada efektivitas langkah-langkah untuk melindungi informasi. Struktur, ukuran, dan komposisi stafnya ditentukan oleh kebutuhan nyata perusahaan, tingkat kerahasiaan informasinya, dan keadaan keamanan secara umum.

Tujuan utama berfungsinya ISS, menggunakan langkah-langkah organisasi dan perangkat lunak dan perangkat keras, adalah untuk menghindari atau setidaknya meminimalkan kemungkinan pelanggaran kebijakan keamanan, sebagai upaya terakhir, untuk memperhatikan dan menghilangkan konsekuensi pelanggaran pada waktunya.

Untuk memastikan keberhasilan pengoperasian SIS, perlu ditentukan hak dan kewajibannya, serta aturan interaksi dengan unit lain tentang masalah perlindungan informasi di fasilitas. Jumlah layanan harus cukup untuk melakukan semua fungsi yang ditugaskan padanya. Staf layanan diharapkan tidak memiliki tugas terkait dengan fungsi objek perlindungan. Layanan keamanan informasi harus dilengkapi dengan semua persyaratan yang diperlukan untuk menjalankan fungsinya.

inti teknik dan arah teknis adalah alat keamanan informasi perangkat lunak dan perangkat keras, yang meliputi teknik mekanis, elektromekanis, elektronik, optik, laser, radio dan radio, radar dan perangkat, sistem, dan struktur lain yang dirancang untuk memastikan keamanan dan perlindungan informasi.

Di bawah perangkat lunak keamanan informasi dipahami sebagai satu set program khusus, mewujudkan fungsi perlindungan informasi dan mode operasi.

Serangkaian tindakan hukum, organisasi, dan teknik yang terbentuk menghasilkan kebijakan keamanan yang sesuai.

Kebijakan keamanan menentukan penampilan sistem keamanan informasi dalam bentuk seperangkat norma hukum, tindakan organisasi (hukum), seperangkat alat perangkat lunak dan perangkat keras, serta solusi prosedural yang bertujuan melawan ancaman untuk menghilangkan atau meminimalkan kemungkinan konsekuensi dari informasi. dampak. Setelah mengadopsi satu atau versi lain dari kebijakan keamanan, tingkat keamanan sistem informasi perlu dinilai. Tentunya penilaian keamanan dilakukan berdasarkan seperangkat indikator yang utamanya adalah biaya, efisiensi, dan kelayakan.

Mengevaluasi opsi untuk membangun sistem keamanan informasi adalah tugas yang agak rumit, membutuhkan penggunaan metode matematika modern untuk evaluasi kinerja multiparametrik. Ini termasuk: metode analisis hierarki, metode ahli, metode konsesi berturut-turut, dan sejumlah lainnya.

Ketika tindakan yang dimaksudkan diambil, perlu untuk memeriksa keefektifannya, yaitu untuk memastikan bahwa risiko residual telah dapat diterima. Hanya dengan demikian tanggal revaluasi berikutnya dapat ditetapkan. Jika tidak, Anda harus menganalisis kesalahan yang dilakukan dan melakukan sesi analisis kerentanan kedua, dengan mempertimbangkan perubahan dalam sistem perlindungan.

Skenario yang mungkin dihasilkan dari tindakan penyusup memerlukan verifikasi sistem keamanan informasi. Tes ini disebut "pengujian penetrasi". Tujuannya adalah untuk memberikan jaminan bahwa tidak ada cara mudah bagi pengguna yang tidak sah untuk melewati mekanisme keamanan.

Satu dari cara yang mungkin pengesahan keamanan sistem - mengundang peretas untuk meretas tanpa pemberitahuan sebelumnya kepada personel jaringan. Untuk ini, sekelompok dua atau tiga orang dengan pelatihan profesional tinggi dialokasikan. Peretas diberikan sistem otomatis yang dilindungi, dan grup tersebut mencoba menemukan kerentanan selama 1-3 bulan dan mengembangkan alat uji berdasarkan kerentanan tersebut untuk melewati mekanisme perlindungan. Peretas yang disewa mengirimkan laporan rahasia tentang hasil pekerjaan dengan penilaian tingkat ketersediaan informasi dan rekomendasi untuk meningkatkan perlindungan.

Seiring dengan metode ini, alat pengujian perangkat lunak digunakan.

Di panggung menyusun rencana perlindungan sesuai dengan kebijakan keamanan yang dipilih, rencana penerapannya dikembangkan. Rencana perlindungan adalah dokumen yang memberlakukan sistem perlindungan informasi, yang disetujui oleh kepala organisasi. Perencanaan tidak hanya tentang penggunaan terbaik semua kemungkinan yang tersedia bagi perusahaan, termasuk sumber daya yang dialokasikan, tetapi juga dengan pencegahan tindakan yang salah yang dapat menyebabkan penurunan efektivitas tindakan yang diambil untuk melindungi informasi.

Rencana keamanan informasi situs harus mencakup:

Deskripsi sistem yang dilindungi (karakteristik utama dari objek yang dilindungi: tujuan objek, daftar tugas yang harus diselesaikan, konfigurasi, karakteristik dan penempatan perangkat keras dan perangkat lunak, daftar kategori informasi (paket, file, set dan basis data di dalamnya) untuk dilindungi, dan persyaratan untuk memastikan akses, kerahasiaan, integritas kategori informasi ini, daftar pengguna dan otoritas mereka untuk mengakses sumber daya sistem, dll.);

Tujuan melindungi sistem dan cara memastikan keamanan sistem otomatis dan informasi yang beredar di dalamnya;

Daftar ancaman keamanan yang signifikan sistem otomatis dari mana perlindungan diperlukan dan rute bahaya yang paling mungkin terjadi;

Kebijakan keamanan informasi;

Rencana pendanaan dan diagram fungsional sistem keamanan informasi di fasilitas;

Spesifikasi alat keamanan informasi dan perkiraan biaya untuk penerapannya;

Rencana kalender untuk melakukan langkah-langkah organisasi dan teknis untuk melindungi informasi, prosedur untuk menerapkan sarana perlindungan;

Aturan dasar yang mengatur aktivitas personel dalam hal memastikan keamanan informasi fasilitas (tugas khusus pejabat yang melayani sistem otomatis);

Prosedur untuk meninjau rencana dan meningkatkan sarana perlindungan.

Rencana proteksi direvisi ketika komponen objek berikut diubah:

Arsitektur sistem Informasi(koneksi jaringan lokal lain, perubahan atau modifikasi peralatan atau perangkat lunak komputer bekas);

Lokasi teritorial komponen sistem otomatis.

Sebagai bagian dari rencana perlindungan, perlu adanya rencana tindakan untuk personel dalam situasi kritis, yaitu. rencana pasokan kerja terus menerus dan pemulihan informasi. Itu mencerminkan:

Tujuan untuk memastikan kelangsungan proses berfungsinya sistem otomatis, memulihkan kinerjanya dan cara mencapainya;

Daftar dan klasifikasi kemungkinan situasi krisis;

Persyaratan, tindakan, dan sarana untuk memastikan pengoperasian dan pemulihan berkelanjutan dari proses pemrosesan informasi (prosedur untuk membuat, menyimpan, dan menggunakan backup informasi, pemeliharaan arsip saat ini, jangka panjang dan darurat; komposisi peralatan cadangan dan tata cara penggunaannya, dll.);

Tanggung jawab dan prosedur tindakan berbagai kategori personel sistem dalam situasi krisis, dalam hal likuidasi konsekuensinya, meminimalkan kerusakan yang disebabkan dan dalam pemulihan fungsi normal sistem.

Jika sebuah organisasi bertukar dokumen elektronik dengan mitra dalam pelaksanaan pesanan tunggal, perlu untuk memasukkan dalam rencana perlindungan kesepakatan tentang prosedur untuk mengatur pertukaran dokumen elektronik, yang mencerminkan masalah-masalah berikut:

Pemisahan tanggung jawab subjek yang berpartisipasi dalam proses pertukaran dokumen elektronik;

Penetapan tata cara penyiapan, pelaksanaan, pengiriman, penerimaan, verifikasi keaslian dan keutuhan dokumen elektronik;

Prosedur untuk menghasilkan, mengesahkan, dan mendistribusikan informasi kunci (kunci, kata sandi, dll.);

Prosedur untuk menyelesaikan perselisihan jika terjadi konflik.

Paket keamanan informasi adalah paket dokumen tekstual dan grafik, oleh karena itu, bersama dengan komponen paket ini di atas, dapat mencakup:

pengaturan tentang rahasia dagang, yang mengatur tentang daftar informasi yang merupakan rahasia dagang dan tata cara penetapannya, serta kewajiban pejabat untuk melindungi rahasia dagang;

Regulasi tentang perlindungan informasi, yang mengatur semua bidang kegiatan untuk implementasi kebijakan keamanan, serta sejumlah instruksi tambahan, aturan, regulasi yang sesuai dengan kekhususan objek perlindungan.

Implementasi rencana proteksi (pengelolaan sistem proteksi) melibatkan pengembangan dokumen yang diperlukan, penyelesaian kontrak dengan pemasok, pemasangan dan konfigurasi peralatan, dll. Setelah pembentukan sistem keamanan informasi, tugas penggunaannya yang efektif, yaitu manajemen keamanan, diselesaikan.

Manajemen adalah proses pengaruh yang disengaja pada suatu objek, dilakukan untuk mengatur fungsinya sesuai dengan program tertentu.

Manajemen keamanan informasi harus:

Tahan terhadap gangguan aktif oleh penyusup;

Berkelanjutan, memberikan dampak yang konstan pada proses perlindungan;

Tersembunyi, tidak memungkinkan untuk mengungkapkan organisasi manajemen keamanan informasi;

Operasional, memberikan kesempatan untuk menanggapi tindakan penyusup secara tepat waktu dan memadai dan mengimplementasikan keputusan manajemen pada tanggal tertentu.

Selain itu, keputusan keamanan informasi harus dibenarkan dalam hal pertimbangan komprehensif kondisi untuk melakukan tugas, aplikasi berbagai model, tugas komputasi dan informasi, sistem pakar, pengalaman dan data lainnya yang meningkatkan keandalan informasi dan keputusan awal.

Indikator efektivitas manajemen keamanan informasi adalah waktu siklus kontrol untuk kualitas keputusan tertentu. Siklus manajemen mencakup pengumpulan informasi yang diperlukan untuk menilai situasi, pengambilan keputusan, pembentukan perintah yang sesuai dan pelaksanaannya. Sebagai kriteria efisiensi dapat digunakan waktu tanggap sistem keamanan informasi terhadap suatu pelanggaran yang tidak boleh melebihi waktu keusangan informasi berdasarkan nilainya.

Seperti yang ditunjukkan oleh pengembangan sistem kontrol otomatis nyata, tidak ada metode (langkah, cara, dan aktivitas) untuk memastikan keamanan informasi yang benar-benar andal, dan efek maksimum dicapai ketika semuanya digabungkan menjadi sistem perlindungan informasi integral. Hanya kombinasi optimal dari langkah-langkah organisasi, teknis dan program, serta perhatian dan kontrol terus-menerus untuk menjaga agar sistem perlindungan tetap mutakhir yang akan memungkinkan untuk memastikan penyelesaian tugas permanen dengan efisiensi terbesar.

Fondasi metodologis untuk memastikan keamanan informasi adalah rekomendasi yang cukup umum berdasarkan pengalaman dunia dalam pembuatan sistem serupa. Tugas setiap pakar keamanan informasi adalah menyesuaikan ketentuan abstrak dengan bidang subjek spesifiknya (organisasi, bank), yang selalu memiliki kekhasan dan kehalusannya sendiri.

Analisis pengalaman dalam dan luar negeri secara meyakinkan membuktikan perlunya menciptakan sistem keamanan informasi terintegrasi untuk perusahaan yang menghubungkan langkah-langkah perlindungan operasional, operasional, teknis dan organisasi. Selain itu, sistem keamanan harus optimal dari segi rasio biaya dan nilai sumber daya yang dilindungi. Sistem membutuhkan fleksibilitas dan adaptasi terhadap faktor lingkungan, organisasi, dan kondisi sosial yang berubah dengan cepat di lembaga. Tidak mungkin mencapai tingkat keamanan seperti itu tanpa menganalisis ancaman yang ada dan kemungkinan saluran kebocoran informasi, serta tanpa mengembangkan kebijakan keamanan informasi di perusahaan. Akibatnya, rencana perlindungan harus dibuat yang mengimplementasikan prinsip-prinsip yang ditetapkan dalam kebijakan keamanan.

Namun ada kesulitan dan "jebakan" lain yang pasti perlu Anda perhatikan. Ini adalah masalah yang telah diidentifikasi dalam praktik dan secara lemah dapat menerima formalisasi: masalah yang bersifat sosial dan politik yang tidak bersifat teknis atau teknologi, yang diselesaikan dengan satu atau lain cara.

Masalah 1. Kurangnya pemahaman di antara staf dan manajer menengah ke bawah tentang perlunya bekerja untuk meningkatkan tingkat keamanan informasi.

Pada anak tangga manajerial ini, sebagai aturan, tugas-tugas strategis yang dihadapi organisasi tidak terlihat. Pada saat yang sama, masalah keamanan bahkan dapat menyebabkan gangguan - masalah tersebut menciptakan kesulitan yang "tidak perlu".

Argumen-argumen berikut sering diberikan untuk menentang bekerja dan mengambil langkah-langkah untuk memastikan keamanan informasi:

Munculnya batasan tambahan untuk pengguna akhir dan spesialis departemen, yang mempersulit mereka untuk menggunakan sistem organisasi otomatis;

Kebutuhan akan biaya material tambahan baik untuk melakukan pekerjaan tersebut maupun untuk menambah staf spesialis yang menangani masalah keamanan informasi.

Masalah ini adalah salah satu yang utama. Semua pertanyaan lain dengan satu atau lain cara bertindak sebagai konsekuensinya. Untuk mengatasinya, penting untuk menyelesaikan tugas-tugas berikut: pertama, meningkatkan keterampilan personel di bidang keamanan informasi dengan mengadakan pertemuan dan seminar khusus; kedua, meningkatkan tingkat kesadaran staf, khususnya tentang tugas-tugas strategis yang dihadapi organisasi.

Masalah 2 Konfrontasi antara layanan otomasi dan layanan keamanan organisasi.

Masalah ini disebabkan oleh jenis kegiatan dan lingkup pengaruhnya, serta tanggung jawab struktur tersebut di dalam perusahaan. Implementasi sistem perlindungan berada di tangan spesialis teknis, dan tanggung jawab keamanannya terletak pada layanan keamanan. Pakar keamanan ingin membatasi dengan segala cara dengan bantuan firewall semua lalu lintas. Tetapi orang-orang yang bekerja di departemen otomasi tidak mau berurusan dengan masalah tambahan yang terkait dengan pemeliharaan alat khusus. Ketidaksepakatan seperti itu tidak memberikan efek terbaik pada tingkat keamanan seluruh organisasi.

Masalah ini, seperti kebanyakan masalah serupa, diselesaikan dengan metode manajerial murni. Penting, pertama, untuk memiliki mekanisme penyelesaian perselisihan semacam itu dalam struktur organisasi perusahaan. Misalnya, kedua layanan dapat memiliki satu bos yang akan menyelesaikan masalah interaksi mereka. Kedua, dokumentasi teknologi dan organisasi harus secara jelas dan kompeten membagi lingkup pengaruh dan tanggung jawab departemen.

Masalah 3. Ambisi dan hubungan pribadi di tingkat manajer menengah dan senior.

Hubungan antar pemimpin bisa berbeda. Terkadang, saat melakukan pekerjaan studi keamanan informasi, satu atau pejabat lain menunjukkan minat yang berlebihan pada hasil pekerjaan tersebut. Memang, penelitian adalah alat yang cukup ampuh untuk memecahkan masalah khusus mereka dan memuaskan ambisi mereka. Kesimpulan dan rekomendasi yang dicatat dalam laporan digunakan sebagai rencana tindakan lebih lanjut dari satu atau tautan lain. Interpretasi "bebas" dari kesimpulan laporan juga dimungkinkan dalam kombinasi dengan masalah 5, yang dijelaskan di bawah ini. Situasi ini merupakan faktor yang sangat tidak diinginkan, karena mendistorsi makna pekerjaan dan memerlukan identifikasi dan eliminasi tepat waktu di tingkat manajemen puncak perusahaan. Opsi Terbaik hubungan bisnis adalah ketika kepentingan organisasi diletakkan di depan, dan bukan pribadi.

Masalah 4. Rendahnya implementasi program aksi yang direncanakan untuk menciptakan sistem keamanan informasi.

Ini adalah situasi yang agak dangkal ketika tujuan dan sasaran strategis hilang pada tingkat eksekusi. Semuanya bisa dimulai dengan sempurna. Direktur Jenderal memutuskan perlunya meningkatkan sistem keamanan informasi. Sebuah perusahaan konsultan independen disewa untuk melakukan audit sistem yang sudah ada perlindungan informasi. Setelah selesai, sebuah laporan dibuat yang mencakup semua rekomendasi yang diperlukan untuk melindungi informasi, menyelesaikan alur kerja yang ada di bidang keamanan informasi, memperkenalkan cara teknis untuk melindungi informasi dan tindakan organisasi, dan selanjutnya mendukung sistem yang dibuat. Rencana perlindungan mencakup tindakan jangka pendek dan jangka panjang. Rekomendasi lebih lanjut ditransfer untuk dieksekusi ke salah satu departemen. Dan di sini penting agar mereka tidak tenggelam dalam rawa birokrasi, ambisi pribadi, kelambanan staf dan segudang alasan lainnya. Kontraktor mungkin kurang mendapat informasi, tidak cukup kompeten, atau tidak tertarik untuk melakukan pekerjaan. Penting bagi CEO untuk memantau pelaksanaan rencana yang direncanakan, agar tidak kehilangan, pertama, dana yang diinvestasikan dalam keamanan pada tahap awal, dan kedua, agar tidak mengalami kerugian akibat kurangnya keamanan ini. .

Masalah 5. Kualifikasi spesialis keamanan informasi yang rendah.

Aspek ini tidak dapat dianggap sebagai kendala yang serius jika tidak menjadi kendala dalam pembuatan sistem keamanan informasi. Faktanya adalah bahwa rencana perlindungan biasanya mencakup acara seperti pelatihan lanjutan spesialis di bidang perlindungan informasi di perusahaan. Seminar tentang dasar-dasar pengorganisasian keamanan informasi dapat diadakan untuk spesialis dari layanan lain. Penting untuk menilai dengan benar kualifikasi sebenarnya dari karyawan yang terlibat dalam implementasi rencana perlindungan. Seringkali, kesimpulan yang salah atau ketidakmampuan untuk menerapkan metode perlindungan dalam praktik menyebabkan kesulitan dalam menerapkan langkah-langkah yang direkomendasikan. Dengan sedikit keadaan seperti itu, jalan keluar yang paling tepat adalah meningkatkan keterampilan spesialis keamanan informasi di pusat pelatihan yang dibuat khusus untuk ini.

Dengan demikian, kegiatan praktis di bidang peningkatan keamanan ekonomi dan informasi dengan jelas menunjukkan bahwa penciptaan sistem keamanan informasi kehidupan nyata sangat bergantung pada solusi tepat waktu dari masalah ini. Namun, akumulasi pengalaman menunjukkan bahwa semua masalah yang dibahas dapat diselesaikan dengan sukses jika perwakilan pelanggan dan perusahaan pelaksana bekerja sama secara erat. Hal utama adalah menyadari pentingnya melakukan pekerjaan seperti itu, mengidentifikasi ancaman yang ada secara tepat waktu dan menerapkan tindakan pencegahan yang memadai, yang, biasanya, khusus untuk setiap perusahaan tertentu. Kehadiran keinginan dan peluang adalah kondisi yang cukup untuk pekerjaan yang bermanfaat, yang tujuannya adalah untuk menciptakan sistem yang terintegrasi untuk memastikan keamanan organisasi.

Sebelumnya

Kirim karya bagus Anda di basis pengetahuan itu sederhana. Gunakan formulir di bawah ini

Pelajar, mahasiswa pascasarjana, ilmuwan muda yang menggunakan basis pengetahuan dalam studi dan pekerjaan mereka akan sangat berterima kasih kepada Anda.

Dihosting di http://www.allbest.ru/

PROYEK KURSUS

Dalam disiplin "Keamanan Informasi"

Pada topik

“Peningkatan sistem keamanan informasi pada

perusahaan LLC "Oven"

Perkenalan

Berbicara tentang keamanan informasi, saat ini sebenarnya yang dimaksud adalah keamanan komputer. Memang, informasi di media elektronik memainkan peran yang semakin penting dalam masyarakat modern. Kerentanan informasi tersebut disebabkan oleh sejumlah faktor: volume besar, multipoint dan kemungkinan anonimitas akses, kemungkinan "sabotase informasi" ... Semua ini membuat tugas memastikan keamanan informasi ditempatkan di lingkungan komputer, masalah yang jauh lebih sulit daripada, katakanlah, menjaga kerahasiaan korespondensi surat tradisional.

Jika kita berbicara tentang keamanan informasi yang disimpan di media tradisional (kertas, cetakan foto, dll.), Keamanannya dicapai dengan memperhatikan langkah-langkahnya. perlindungan fisik(mis., perlindungan terhadap akses tidak sah ke area penyimpanan media). Aspek lain dari perlindungan informasi tersebut terkait dengan bencana alam dan bencana buatan manusia. Dengan demikian, konsep keamanan informasi "komputer" secara keseluruhan lebih luas daripada keamanan informasi dalam kaitannya dengan media "tradisional".

Jika kita berbicara tentang perbedaan dalam pendekatan untuk memecahkan masalah keamanan informasi di tingkat yang berbeda (negara bagian, regional, tingkat satu organisasi), maka perbedaan seperti itu tidak ada. Pendekatan untuk memastikan keamanan "Pilkada" Sistem Otomasi Negara tidak berbeda dengan pendekatan untuk memastikan keamanan jaringan lokal di sebuah perusahaan kecil. Oleh karena itu, prinsip-prinsip memastikan keamanan informasi dalam makalah ini dipertimbangkan pada contoh kegiatan organisasi terpisah.

Tujuan dari proyek kursus ini adalah untuk meningkatkan sistem keamanan informasi Oven LLC. tugas makalah akan - analisis Oven LLC, sumber dayanya, strukturnya, dan sistem keamanan informasi yang ada di perusahaan dan mencari metode untuk peningkatannya.

Pada tahap pertama akan dilakukan analisis sistem keamanan informasi. Dari hasil yang diperoleh, pada tahap kedua akan dilakukan pencarian metode untuk meningkatkan perlindungan informasi, jika ada sisi lemah dalam sistem ini.

1. Analisis sistem keamanan informasi di Oven LLC

1.1 Karakteristik perusahaan. Struktur organisasi perusahaan. Layanan berurusan dengan sumber daya informasi dan perlindungan mereka

Nama lengkap perusahaan dari perusahaan tersebut adalah Perseroan Terbatas "Aries". Nama singkatan Perusahaan adalah Oven LLC. Selanjutnya dalam teks Masyarakat. Perusahaan tidak memiliki cabang dan kantor perwakilan, satu-satunya pusatnya terletak di wilayah Perm, distrik Suksunsky, desa Martyanovo.

Masyarakat dibentuk pada tahun 1990 sebagai pertanian kecil dan memiliki tiga pendiri. Setelah reorganisasi pertanian menjadi ekonomi petani pada tahun 1998, satu-satunya pendiri tetap ada. Reorganisasi terakhir dilakukan pada April 2004. Sejak 1 April, perusahaan tersebut dikenal sebagai Perseroan Terbatas Aries.

Kegiatan utama perusahaan adalah budidaya produk pertanian, bahan benih, penjualan produk pertanian. Saat ini di Rusia, perusahaan menempati tempat ketiga belas di antara pertanian kentang dan yang pertama di Wilayah Perm.

Alamat resmi: Rusia, 617553, Wilayah Perm, Suksunsky, desa Martyanovo.

Tujuan perusahaan secara keseluruhan:

· Menerima keuntungan dari kegiatan utama.

· Meningkatkan daya saing produk dan memperluas pasar penjualan.

· Pemusatan modal dan peningkatan sumber daya investasi untuk pelaksanaan investasi dan proyek lainnya.

Misi perusahaan perusahaan:

1. Terus mengambil posisi terdepan di pasar.

2. Penciptaan peternakan benih.

Struktur organisasi perusahaan.

Perusahaan menggunakan struktur fungsional linier. Dalam struktur fungsional-linier, hierarki layanan terbentuk. Dalam struktur ini, para kepala unit fungsional berhak memberikan perintah kepada manajemen tingkat berikutnya mengenai masalah-masalah fungsional.

Struktur perusahaan ditunjukkan pada Gambar 1.

Dihosting di http://www.allbest.ru/

Dihosting di http://www.allbest.ru/

Gambar 1 - Struktur Organisasi Aries LLC

1.2 Analisis dan karakterisasi sumber informasi perusahaan

Saat ini, semua orang mengkhawatirkan keamanan informasi perusahaan. Program individual dan seluruh kompleks yang dirancang untuk melindungi data menjadi semakin populer. Namun, tidak ada yang memikirkan fakta bahwa Anda dapat memiliki sebanyak yang Anda suka. perlindungan yang handal tapi tetap saja kalah informasi penting. Karena salah satu karyawan Anda akan menganggapnya tidak penting dan memajangnya di depan umum. Dan jika Anda yakin bahwa Anda terlindungi dari ini, maka Anda salah besar. Sepintas, situasi ini terlihat seperti sesuatu yang tidak nyata, seperti lelucon. Namun, ini memang terjadi, dan sering terjadi. Memang, staf teknis, yang dalam sebagian besar kasus menangani masalah keamanan informasi, tidak selalu memahami data mana yang harus disembunyikan dan mana yang tidak. Untuk memahami, Anda perlu memecah semua informasi menjadi jenis yang berbeda, yang biasanya disebut tipe, dan dengan jelas menentukan batas-batas di antara mereka.

Faktanya, semua perusahaan yang berspesialisasi dalam penyediaan sistem yang kompleks untuk memastikan keamanan informasi komputer mempertimbangkan pembagian data menjadi jenis yang berbeda. Di sinilah Anda harus berhati-hati. Faktanya adalah produk Barat mengikuti standar internasional (khususnya, ISO 17799 dan beberapa lainnya). Menurut mereka, semua data dibagi menjadi tiga jenis: terbuka, rahasia, dan sangat rahasia. Sedangkan di negara kita, menurut undang-undang saat ini, digunakan perbedaan yang sedikit berbeda: informasi terbuka, untuk penggunaan internal dan rahasia.

Terbuka berarti setiap informasi yang dapat ditransfer secara bebas kepada orang lain, serta ditempatkan di media. Paling sering, ini disajikan dalam bentuk siaran pers, pidato di konferensi, presentasi dan pameran, elemen statistik yang terpisah (tentu saja, positif). Selain itu, burung nasar ini mencakup semua data yang diperoleh dari sumber eksternal terbuka. Dan tentunya informasi yang ditujukan untuk website perusahaan juga dianggap publik.

Sekilas, informasi terbuka tampaknya tidak membutuhkan perlindungan. Namun, orang lupa bahwa data tidak hanya bisa dicuri, tapi juga diganti. Oleh karena itu, menjaga integritas keterbukaan informasi merupakan tugas yang sangat penting. Jika tidak, alih-alih siaran pers yang telah disiapkan sebelumnya, ini mungkin tidak dapat dipahami. Atau halaman Utama situs web perusahaan akan diganti dengan prasasti yang menyinggung. Jadi informasi publik juga perlu dilindungi.

Seperti perusahaan lain, masyarakat memiliki informasi terbuka terkandung terutama dalam presentasi yang diperlihatkan kepada calon investor.

Informasi untuk penggunaan internal mencakup data apa pun yang digunakan oleh karyawan dalam menjalankan tugas profesionalnya. Tapi itu belum semuanya. Kategori ini mencakup semua informasi yang dipertukarkan di antara mereka sendiri oleh berbagai departemen atau cabang untuk memastikan kinerja mereka. Dan terakhir, jenis data terakhir yang termasuk dalam kategori data ini adalah informasi yang diperoleh dari sumber terbuka dan mengalami pemrosesan (penataan, pengeditan, klarifikasi).

Faktanya, semua informasi ini, meskipun jatuh ke tangan pesaing atau penyusup, tidak dapat menyebabkan kerugian serius bagi perusahaan. Namun, beberapa kerusakan dari penculikannya masih bisa terjadi. Misalkan karyawan telah mengumpulkan berita untuk atasan mereka tentang topik yang menarik baginya, di antaranya mereka telah memilih pesan yang paling penting dan menandainya. Intisari seperti itu jelas merupakan informasi untuk penggunaan internal (informasi yang diperoleh dari sumber terbuka dan diproses). Sekilas, tampaknya pesaing, setelah mendapatkannya, tidak akan dapat memanfaatkannya. Namun nyatanya, mereka bisa menebak ke arah mana manajemen perusahaan Anda tertarik, dan, siapa tahu, mereka bahkan mungkin bisa mendahului Anda. Oleh karena itu, informasi untuk penggunaan internal harus dilindungi tidak hanya dari substitusi, tetapi juga dari akses yang tidak sah. Benar, dalam sebagian besar kasus, Anda dapat membatasi diri pada keamanan jaringan lokal, karena tidak menguntungkan secara ekonomi untuk menghabiskan banyak uang untuk ini.

Jenis informasi ini juga disajikan di perusahaan, yang terkandung dalam berbagai jenis laporan, daftar, kutipan, dll.

Informasi rahasia - informasi terdokumentasi, akses yang dibatasi sesuai dengan hukum Federasi Rusia, yang tidak tersedia untuk umum dan, jika diungkapkan, dapat merusak hak dan kepentingan yang dilindungi secara hukum dari orang yang menyediakannya. Daftar data yang terkait dengan leher ini dibuat oleh negara. Pada saat ini itu adalah sebagai berikut: informasi pribadi, informasi yang merupakan rahasia komersial, resmi atau profesional, informasi yang merupakan rahasia penyelidikan dan pekerjaan kantor. Selain itu, baru-baru ini, data tentang esensi suatu penemuan atau penemuan ilmiah sebelum dipublikasikan secara resmi telah diklasifikasikan sebagai rahasia.

Informasi rahasia dalam suatu perusahaan mencakup data seperti: rencana pengembangan, pekerjaan penelitian, dokumentasi teknis, gambar, distribusi laba, kontrak, laporan, sumber daya, mitra, negosiasi, kontrak, serta informasi yang bersifat manajerial dan perencanaan.

Perusahaan memiliki sekitar dua puluh PC. Adapun keberadaan jaringan lokal di suatu perusahaan, PC di masyarakat tidak disatukan menjadi satu jaringan. Selain itu, semua komputer dilengkapi dengan perangkat standar program kantor Dan program akuntansi. Tiga komputer memiliki akses Internet melalui WAN Miniport. Pada saat yang sama, tidak ada satu pun komputer di perusahaan yang dilengkapi dengan program anti-virus. Pertukaran informasi dilakukan melalui media: flash drive, floppy disk. Semua informasi di media "tradisional" terletak di lemari yang tidak dikunci. Dokumen terpenting disimpan di brankas, kuncinya disimpan oleh sekretaris.

keamanan perlindungan informasi

1.3 Ancaman dan sarana untuk melindungi informasi di perusahaan

Ancaman keamanan informasi - serangkaian kondisi dan faktor yang menciptakan bahaya potensial atau nyata yang terkait dengan kebocoran informasi dan/atau pengaruh yang tidak sah dan/atau tidak disengaja terhadapnya

Menurut metode untuk mempengaruhi objek keamanan informasi, ancaman yang relevan dengan masyarakat tunduk pada klasifikasi berikut: informasional, perangkat lunak, fisik, organisasi, dan hukum.

Ancaman informasi meliputi:

Akses tidak sah ke sumber daya informasi;

Pencurian informasi dari arsip dan database;

Pelanggaran teknologi pemrosesan informasi;

pengumpulan dan penggunaan informasi secara ilegal;

Ancaman perangkat lunak meliputi:

virus komputer dan malware;

Ancaman fisik meliputi:

Pemusnahan atau penghancuran fasilitas pengolahan informasi dan komunikasi;

Pencurian media penyimpanan;

Dampak pada staf

Ancaman organisasi dan hukum meliputi:

Pengadaan teknologi informasi dan sarana informasi yang tidak sempurna atau usang;

Alat keamanan informasi adalah seperangkat perangkat dan perangkat teknik, listrik, elektronik, optik dan lainnya, instrumen dan sistem teknis, serta elemen nyata lainnya yang digunakan untuk menyelesaikan berbagai masalah perlindungan informasi, termasuk mencegah kebocoran dan memastikan keamanan informasi yang dilindungi.

Pertimbangkan alat keamanan informasi yang digunakan di perusahaan. Totalnya ada empat (perangkat keras, perangkat lunak, campuran, organisasi).

Perlindungan perangkat keras- kunci, palang di jendela, alarm keamanan, filter jaringan, kamera pengintai video.

Perlindungan perangkat lunak: alat sistem operasi seperti perlindungan, kata sandi, akun digunakan.

Sarana perlindungan organisasi: persiapan tempat dengan komputer.

2 Meningkatkan sistem keamanan informasi

2.1 Kekurangan yang teridentifikasi dalam sistem keamanan informasi

Titik paling rentan dalam perlindungan informasi di masyarakat adalah perlindungan keamanan komputer. Bahkan dalam analisis dangkal perusahaan, kekurangan berikut dapat diidentifikasi:

§ Informasi jarang dicadangkan;

§ Tingkat perangkat lunak keamanan informasi yang tidak memadai;

§ Beberapa karyawan tidak memiliki keterampilan PC yang memadai;

§ Tidak ada kontrol atas karyawan. Seringkali karyawan dapat meninggalkan tempat kerja tanpa mematikan PC dan memiliki flash drive dengan informasi layanan.

§ Kurangnya dokumen normatif tentang keamanan informasi.

§ Tidak semua komputer menggunakan alat OS seperti kata sandi dan akun.

2.2 Tujuan dan sasaran pembentukan sistem keamanan informasi di perusahaan

Tujuan utama dari sistem keamanan informasi adalah untuk memastikan pengoperasian fasilitas yang stabil, mencegah ancaman terhadap keamanannya, melindungi kepentingan sah perusahaan dari perambahan yang melanggar hukum, mencegah pencurian dana, pengungkapan, kehilangan, kebocoran, distorsi, dan penghancuran. informasi resmi, memastikan kegiatan produksi normal semua departemen fasilitas. Tujuan lain dari sistem keamanan informasi adalah untuk meningkatkan kualitas layanan yang diberikan dan menjamin keamanan hak dan kepentingan properti.

Tugas membentuk sistem keamanan informasi dalam suatu organisasi adalah: integritas informasi, keandalan informasi dan kerahasiaannya. Ketika tugas selesai, tujuan akan terwujud.

Penciptaan sistem keamanan informasi (ISS) di IS dan IT didasarkan pada prinsip-prinsip berikut:

Pendekatan sistematis untuk membangun sistem perlindungan, yang berarti kombinasi optimal dari organisasi, perangkat lunak, perangkat keras, fisik dan properti lainnya yang saling terkait, dikonfirmasi oleh praktik pembuatan sistem perlindungan dalam dan luar negeri dan digunakan pada semua tahap siklus teknologi pemrosesan informasi .

Prinsip pengembangan berkelanjutan dari sistem. Prinsip ini, yang merupakan salah satu dasar sistem informasi komputer, bahkan lebih relevan untuk NIS. Cara untuk mengimplementasikan ancaman terhadap informasi di TI terus ditingkatkan, dan oleh karena itu memastikan keamanan IP tidak dapat dilakukan satu kali. Ini adalah proses berkelanjutan, yang terdiri dari membuktikan dan menerapkan metode, metode, dan cara paling rasional untuk meningkatkan ISS, pemantauan berkelanjutan, mengidentifikasi hambatan dan kelemahannya, saluran kebocoran informasi potensial, dan metode baru akses tidak sah.

Pemisahan dan minimalisasi kekuasaan untuk akses ke informasi yang diproses dan prosedur pemrosesan, yaitu menyediakan pengguna dan karyawan IS sendiri dengan kekuatan minimum yang ditentukan secara ketat yang cukup bagi mereka untuk melakukan tugas resmi mereka.

Kelengkapan kontrol dan pendaftaran upaya akses yang tidak sah, yaitu kebutuhan untuk secara akurat menetapkan identitas setiap pengguna dan merekam tindakannya untuk kemungkinan penyelidikan, serta ketidakmungkinan melakukan operasi pemrosesan informasi apa pun di TI tanpa pendaftaran sebelumnya.

Memastikan keandalan sistem perlindungan, yaitu ketidakmungkinan mengurangi tingkat keandalan jika terjadi kegagalan, kegagalan, tindakan yang disengaja dari peretas atau kesalahan yang tidak disengaja dari pengguna dan personel pemeliharaan dalam sistem.

Memastikan kontrol atas fungsi sistem perlindungan, mis. penciptaan sarana dan metode untuk memantau kinerja mekanisme perlindungan.

Menyediakan semua jenis alat anti-malware.

Memastikan kelayakan ekonomi dari penggunaan sistem proteksi, yang dinyatakan dalam kelebihan kemungkinan kerusakan IS dan IT dari penerapan ancaman atas biaya pengembangan dan pengoperasian ISS.

2.3 Tindakan yang disarankan untuk meningkatkan sistem keamanan informasi organisasi

Kekurangan yang teridentifikasi di perusahaan memerlukan penghapusannya, oleh karena itu, langkah-langkah berikut diusulkan.

§ Cadangan database secara teratur dengan data pribadi karyawan perusahaan, dengan data akuntansi dan database lain yang tersedia di perusahaan. Ini akan mencegah kehilangan data karena kegagalan disk, pemadaman listrik, virus, dan kecelakaan lainnya. Perencanaan yang cermat dan prosedur yang teratur Salinan cadangan memungkinkan Anda memulihkan data dengan cepat jika terjadi kehilangan.

§ Menggunakan alat OS di setiap komputer. Pembuatan akun untuk spesialis dan perubahan kata sandi reguler untuk akun ini.

§ Pelatihan personel perusahaan untuk bekerja dengan komputer. Kondisi yang diperlukan untuk pengoperasian yang benar di stasiun kerja dan pencegahan kehilangan dan kerusakan informasi. Pekerjaan seluruh perusahaan bergantung pada keterampilan staf PC dalam hal pelaksanaan yang benar.

§ Instalasi di komputer program anti-virus seperti: Avast, NOD, Web Dokter dan seterusnya. Ini akan menghindari menginfeksi komputer dengan berbagai program jahat yang disebut virus. Apa yang sangat penting untuk perusahaan ini, karena beberapa PC memiliki akses Internet dan karyawan menggunakan media flash untuk bertukar informasi.

§ Melakukan kontrol terhadap karyawan, dengan menggunakan kamera video. Ini akan mengurangi kasus penanganan peralatan yang ceroboh, risiko pencurian dan kerusakan peralatan, dan juga akan memungkinkan untuk mengontrol "penghapusan" informasi resmi dari wilayah perusahaan.

§ Pengembangan dokumen peraturan "Langkah-langkah untuk melindungi informasi di Oven LLC dan tanggung jawab atas pelanggarannya", yang akan mematuhi undang-undang Federasi Rusia saat ini dan menentukan risiko, pelanggaran, dan tanggung jawab atas pelanggaran ini (denda, hukuman). Serta membuat kolom yang sesuai dalam kontrak kerja perusahaan, yang diketahuinya dan menyanggupi untuk mematuhi ketentuan dokumen ini.

2.4 Efektivitas langkah-langkah yang diusulkan

Langkah-langkah yang diusulkan tidak hanya membawa aspek positif, seperti penghapusan masalah utama di perusahaan yang terkait dengan keamanan informasi. Tetapi pada saat yang sama, mereka akan memerlukan investasi tambahan dalam pelatihan personel dan pengembangan dokumen peraturan yang berkaitan dengan kebijakan keamanan. Ini akan membutuhkan biaya tenaga kerja tambahan dan tidak akan sepenuhnya menghilangkan risikonya. Akan selalu ada faktor manusia, force majeure. Tetapi jika tindakan seperti itu tidak diambil, biaya pemulihan informasi, peluang yang hilang akan lebih mahal daripada yang dibutuhkan untuk mengembangkan sistem keamanan.

Pertimbangkan hasil dari langkah-langkah yang diusulkan:

1. Meningkatkan kehandalan sistem keamanan informasi organisasi;

2. Meningkatkan tingkat kecakapan PC personel;

3. Mengurangi risiko kehilangan informasi;

4. Ketersediaan dokumen peraturan yang menjelaskan kebijakan keamanan.

5. Mungkin mengurangi risiko memasukkan/menghapus informasi dari perusahaan.

3 Model keamanan informasi

Model keamanan informasi yang disajikan (Gambar 2) adalah sekumpulan faktor eksternal dan internal yang objektif dan pengaruhnya terhadap keadaan keamanan informasi di fasilitas dan keamanan materi atau sumber daya informasi.

Gambar 2 - Model sistem keamanan informasi

Model ini mematuhi dokumen peraturan khusus untuk memastikan keamanan informasi yang diadopsi di Federasi Rusia, standar internasional ISO / IEC 15408 "Teknologi informasi - metode perlindungan - kriteria untuk menilai keamanan informasi", standar ISO / IEC 17799 "Manajemen keamanan informasi ", dan mempertimbangkan tren perkembangan kerangka peraturan domestik (khususnya, Komisi Teknis Negara Federasi Rusia) tentang masalah keamanan informasi.

Kesimpulan dan penawaran

Era Informasi telah membawa perubahan dramatis dalam cara orang menjalankan tugas mereka untuk sejumlah besar profesi. Sekarang seorang spesialis non-teknis tingkat menengah dapat melakukan pekerjaan yang biasa dilakukan oleh seorang programmer yang sangat terampil. Karyawan tersebut memiliki informasi yang akurat dan terkini sebanyak yang tidak pernah dia miliki.

Namun penggunaan komputer dan teknologi otomatis menimbulkan sejumlah masalah bagi manajemen organisasi. Komputer, seringkali terhubung bersama, dapat menyediakan akses ke sejumlah besar data yang sangat beragam. Oleh karena itu, orang-orang khawatir tentang keamanan informasi dan risiko yang terkait dengan otomatisasi dan penyediaan lebih banyak akses ke data rahasia, pribadi, atau penting lainnya. Jumlah kejahatan komputer terus meningkat, yang pada akhirnya dapat merusak perekonomian. Jadi harus jelas bahwa informasi adalah sumber daya yang perlu dilindungi.

Dan karena otomatisasi telah mengarah pada fakta bahwa sekarang beroperasi dengan teknologi komputer dilakukan oleh karyawan biasa organisasi, dan bukan oleh personel teknis yang terlatih khusus, pengguna akhir harus menyadari tanggung jawab mereka untuk melindungi informasi.

Tidak ada resep tunggal yang memberikan jaminan 100% keamanan data dan operasi jaringan yang andal. Namun, penciptaan konsep keamanan yang komprehensif dan dipikirkan dengan matang yang mempertimbangkan spesifikasi tugas organisasi tertentu akan membantu meminimalkan risiko kehilangan informasi yang berharga. Keamanan komputer adalah perjuangan terus-menerus melawan kebodohan pengguna dan kecerdasan peretas.

Sebagai kesimpulan, saya ingin mengatakan bahwa perlindungan informasi tidak terbatas pada metode teknis. Masalahnya jauh lebih luas. Kurangnya perlindungan utama adalah manusia, dan oleh karena itu keandalan sistem keamanan bergantung terutama pada sikap karyawan perusahaan terhadapnya. Selain itu, proteksi harus terus ditingkatkan seiring dengan perkembangan jaringan komputer. Jangan lupa bahwa bukan sistem keamanan yang mengganggu pekerjaan, tetapi ketidakhadirannya.

Saya juga ingin, meringkas hasil proyek kursus ini, untuk mencatat bahwa, setelah menganalisis sistem keamanan informasi perusahaan Aries, lima kekurangan diidentifikasi. Setelah pencarian, ditemukan solusi untuk menghilangkannya, kekurangan ini dapat diperbaiki, yang akan meningkatkan keamanan informasi perusahaan secara keseluruhan.

Selama tindakan di atas, keterampilan praktis dan teoretis untuk mempelajari sistem keamanan informasi berhasil, oleh karena itu, tujuan dari proyek kursus tercapai. Berkat solusi yang ditemukan, kami dapat mengatakan bahwa semua tugas proyek telah selesai.

Bibliografi

1. GOST 7.1-2003. Catatan bibliografi. Deskripsi bibliografi. Ketentuan Umum dan aturan kompilasi (M.: Publishing house of standards, 2004).

2. Galatenko, V.A. “Dasar-Dasar Keamanan Informasi”. - M.: "Intuisi", 2003.

3. Zavgorodniy, V. I. “Perlindungan informasi terintegrasi di sistem komputer". - M.: Logos, 2001.

4. Zegzhda, D.P., Ivashko, A.M. “Dasar-dasar Keamanan Sistem Informasi”.

5.Nosov, V.A. Kursus pengantar pada disiplin "Keamanan Informasi".

6. Hukum Federal Federasi Rusia 27 Juli 2006 N 149-FZ “Tentang informasi, teknologi Informasi dan perlindungan informasi"

Dihosting di Allbest.ru

Dokumen Serupa

Karakteristik sumber informasi dari induk pertanian "Ashatli". Ancaman keamanan informasi khusus untuk perusahaan. Langkah-langkah, metode dan sarana perlindungan informasi. Analisis kekurangan yang ada dan kelebihan sistem keamanan yang diperbarui.

makalah, ditambahkan 02/03/2011


Informasi Umum tentang kegiatan badan usaha. Objek keamanan informasi di perusahaan. Langkah-langkah dan sarana perlindungan informasi. Menyalin data ke media yang dapat dipindahkan. Menginstal server cadangan internal. Efisiensi peningkatan sistem IS.

tes, ditambahkan 08/29/2013


Konsep, makna, dan arah keamanan informasi. Pendekatan sistematis untuk mengatur keamanan informasi, melindungi informasi dari akses yang tidak sah. Sarana perlindungan informasi. Metode dan sistem keamanan informasi.

abstrak, ditambahkan 15/11/2011


Sistem pembentukan mode keamanan informasi. Tugas keamanan informasi masyarakat. Sarana perlindungan informasi: metode dan sistem dasar. Perlindungan informasi dalam jaringan komputer. Ketentuan tindakan legislatif terpenting Rusia.

abstrak, ditambahkan 01/20/2014


Analisis risiko keamanan informasi. Evaluasi sarana perlindungan yang ada dan yang direncanakan. Serangkaian tindakan organisasi untuk memastikan keamanan informasi dan perlindungan informasi perusahaan. Contoh kontrol implementasi proyek dan deskripsinya.

tesis, ditambahkan 12/19/2012


Strategi keamanan informasi perusahaan dalam bentuk sistem kebijakan yang efektif yang akan menentukan serangkaian persyaratan keamanan yang efektif dan memadai. Identifikasi ancaman terhadap keamanan informasi. Pengendalian internal dan manajemen risiko.

makalah, ditambahkan 06/14/2015


Deskripsi kompleks tugas dan pembenaran kebutuhan untuk meningkatkan sistem untuk memastikan keamanan informasi dan perlindungan informasi di perusahaan. Pengembangan proyek untuk penggunaan DBMS, keamanan informasi, dan perlindungan data pribadi.

tesis, ditambahkan 17/11/2012


Dokumen peraturan di bidang keamanan informasi di Rusia. Analisis ancaman sistem informasi. Karakteristik organisasi sistem perlindungan data pribadi klinik. Implementasi sistem otentikasi menggunakan kunci elektronik.

tesis, ditambahkan 10/31/2016


Prasyarat untuk membuat sistem keamanan data pribadi. Ancaman terhadap keamanan informasi. Sumber akses tidak sah ke ISPD. Perangkat sistem informasi data pribadi. Sarana perlindungan informasi. Kebijakan keamanan.

makalah, ditambahkan 10/07/2016


Tugas, struktur, fisik, perangkat lunak dan langkah-langkah perangkat keras untuk melindungi sistem informasi. Jenis dan penyebab kejahatan komputer, cara meningkatkan kebijakan keamanan organisasi. Tujuan dan fungsi utama folder "Diary" MS Outlook 97.